Общие сведения

Веб‑интерфейс представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб‑браузере. Веб‑интерфейс реализован клиентским компонентом Центра регистрации Aladdin eRA и предназначен для управления серверным компонентом Центра регистрации Aladdin eRA (выполнения доступных пользователю в рамках его полномочий действий).

Подключение к веб‑интерфейсу Центра регистрации Aladdin eRA выполняется из веб‑браузера удаленно по сети передачи данных с выделенного компьютера, на котором развернута среда функционирования, удовлетворяющая требованиям раздела 2.1.2.

Канал управления является защищенным — организован по протоколу HTTPS/TLS с двусторонней аутентификацией и шифрованием передаваемых данных. Идентификация и аутентификация пользователей выполняется по предъявленному сертификату, который должен быть предварительно установлен в хранилище веб‑браузера или хранилище сертификатов используемой ОС. Пример установки сертификата администратора из контейнера закрытого ключа PKCS#12 приведен в разделе 6.2.

При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента Центра регистрации Aladdin eRA должен быть организован по протоколу TLS ГОСТ с использованием отечественных криптографических алгоритмов.

Для этого на компьютере, предназначенном для подключения к веб‑интерфейсу, должны быть выполнены следующие действия:

  • Установлен криптопровайдер СКЗИ «КриптоПро CSP» в соответствии с инструкцией, описанной в разделе 2 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
  • Установлена клиентская лицензия СКЗИ «КриптоПро CSP», дающая право использовать двустороннюю аутентификацию по протоколу TLS. Порядок установки лицензии описан в разделе 4 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
  • Сертификат учетной записи администратора для взаимодействия с Центром сертификации Aladdin eCA из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, должен быть установлен в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP». Порядок установки сертификата из контейнера закрытого ключа приведен в разделе 2.6.5 документа «СКЗИ «КриптоПро CSP». Инструкция по использованию графического приложения Инструменты КриптоПро (cptools)» ЖТЯИ.00101‑03 92 06.
  • Установлен веб‑браузер Chromium с поддержкой TLS ГОСТ из состава используемой сертифицированной ОС. Данный веб‑браузер входит в состав базовых репозиториев ОС Astra Linux SE, Альт Сервер и РЕД ОС.

Установка сертификата администратора

Для первичной настройки программного комплекса необходимо установить сертификат учётной записи администратора Центра сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, в доверенное хранилище сертификатов веб‑браузера[1].

Процесс установки сертификата рассмотрим на примере браузера Firefox:

  • Откройте браузер Firefox / Настройки / Приватность и Защита / Сертификаты (см. Рисунок 1). Нажмите кнопку <Просмотр сертификатов>.

Рисунок 1 – Окно настроек браузера

  • Выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать> (см. Рисунок 2).

Рисунок 2 – Окно управления сертификатами

  • Выберите предварительно подготовленный файл сертификата, подписанный Центром сертификации Aladdin eCA, который будет принимать обработанные Центром регистрации запросы на сертификаты доступа и находящийся в списке разрешённых Издателей. Нажмите кнопку <Открыть> (см. Рисунок 3).

Рисунок 3 – Окно выбора импортируемого файла сертификата

  • Введите PIN‑код сертификата доступа в открывшемся окне и нажмите кнопку <OK> (см. Рисунок 4).

Рисунок 4 – Окно ввода PIN‑кода сертификата

PIN‑код сертификата устанавливается администратором Центра сертификации Aladdin eCA при выпуске сертификата доступа.

  • В таблице окна «Управление сертификатами» появится запись об импортированном сертификате (см. Рисунок 5). Нажать кнопку <ОК>.

Рисунок 5 – Окно «Управление сертификатами»

[1] Сертификат администратора из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, устанавливается в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP».

Подключение к веб-интерфейсу

Порядок подключения к веб‑интерфейсу:

  • Запустите веб‑браузер и в адресной строке введите IP‑адрес или доменное имя компьютера, на котором установлен Центр регистрации Aladdin eRA (например, https://172.22.5.21).
  • В открывшемся окне выберите сертификат администратора (см. Рисунок 6) и нажмите кнопку <ОК>.

Рисунок 6 – Выбор сертификата для установки двустороннего TLS‑соединения

При этом выбранный сертификат в дальнейшем будет использован для аутентификации, если пользователь выберет способ аутентификации с помощью сертификата. Если пользователь откажется от выбора сертификата, то будет установлено одностороннее TLS‑соединение.

  • На открывшейся странице с предупреждением системы безопасности (см. Рисунок 7) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.

Рисунок 7 – Страница с предупреждением системы безопасности

После установки TLS‑соединения для неаутентифицированного пользователя отображается окно авторизации (см. Рисунок 8).

Рисунок 8 – Окно авторизации

Центр регистрации Aladdin eRA поддерживает следующие способы аутентификации:

  • С использованием сертификата (см. раздел 6.4).
  • С использованием Kerberos‑билета (см. раздел 6.6);
  • По логину и паролю (см. раздел 6.5).

Аутентификация с использованием сертификата

Пользователи Центра регистрации Aladdin eRA могут аутентифицироваться в Центре регистрации Aladdin eRA по своим сертификатам доступа. При этом роль учётной записи в Центр регистрации Aladdin eRA соответствует роли в Центре сертификации Aladdin eCA (администратор или оператор).

Для аутентификации по сертификату следует выполнить следующие шаги:

  • Откройте пользовательский интерфейс Центра регистрации Aladdin eR
  • В появившемся окне «Выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6) выберите установленный ранее сертификат учётной записи. Нажмите кнопку <OK> для подтверждения.
  • В появившемся окне авторизации Центра регистрации Aladdin eCA (см. Рисунок 8) нажмите на кнопку <Сертификат>.

В результате будет выполнена аутентификация по сертификату. В ходе аутентификации по сертификату могут возникать следующие ошибки (Таблица 8):

Таблица 8 – Типовые ошибки при аутентификации по сертификату

Ошибка

Описание

«Невозможно выполнить авторизацию с использованием сертификата. Сертификат не привязан к пользователю»

Учётная запись не найдена для данного сертификата

«Аккаунт заблокирован»

Учётная запись заблокирована

«Невозможно выполнить авторизацию с использованием сертификата, находящегося в данном состоянии»

Сертификат не является действующим

(истек, приостановлен или отозван)

«Ошибка проверки издателя»

Сертификат был выпущен Центром сертификации Aladdin eCA, не входящим в список разрешённых издателей сертификатов доступа, к которому подключён Центр регистрации Aladdin eRA

«Достигнуто предельное число сессий аккаунта»

Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи

(параметр session_max_count в конфигурационном файле)

Аутентификация по логину и паролю

Для аутентификации с помощью логина и пароля, предварительно нужно зарегистрировать в Центре сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, ресурсную систему, содержащую субъект, под которым будет проходить аутентификация, в соответствии с инструкцией в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 2. Функции управления Центра сертификации Aladdin Enterprise Certification Authority».

Доменные учётные записи[1] могут аутентифицироваться в Центре регистрации Aladdin eRA по комбинации доменного имени и пароля. Информация о домене отображена в окне авторизации в поле «Домен».

Для аутентификации по комбинации доменного имени и пароля следует выполнить следующие шаги:

  • Откройте пользовательский интерфейс Центра регистрации Aladdin eR

Пропустите шаг с выбором сертификата в появившемся окне «выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6).

  • В появившемся окне авторизации Центра регистрации Aladdin eRA (см. Рисунок 8) введите доменное имя, пароль и нажмите на кнопку <Войти>.
  • При успешной доменной аутентификации по введённому доменному имени и паролю, пользователю будет предоставлен доступ к Центру регистрации Aladdin eR

Если у пользователя отсутствовала[2] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».

При аутентификации по доменному имени и паролю могут возникать следующие ошибки (Таблица 9).

Таблица 9 – Типовые ошибки при аутентификации по доменному имени и паролю

Ошибка

Описание

«Аккаунт заблокирован»

Доменная учётная запись или учётная запись в программе заблокирована

«Достигнуто предельное число сессий аккаунта»

Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в Центре регистрации Aladdin eRA.

(Параметр session_max_count в файле /opt/aecaRa/scripts/config.sh)

[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA (адрес сервера AD задан в параметре kerberos_ad_server в файле /opt/aecaRa/scripts/config.sh)

[2] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных.

Аутентификация с использованием Kerberos-билета

Для аутентификации с использованием Kerberos‑билета, предварительно нужно зарегистрировать в Центре сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, ресурсную систему, содержащую субъект, под которым будет проходить аутентификация, в соответствии с инструкцией в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 2. Функции управления Центра сертификации Aladdin Enterprise Certification Authority».

Доменные учётные записи[1] могут аутентифицироваться в Центре регистрации Aladdin eRA по Kerberos‑билету. Информация о домене отображена в окне авторизации в поле «Домен».

Предварительно на клиенте должен быть настроен браузер для работы с Kerberos[2], а также должен быть получен Kerberos‑биллет.

Для аутентификации по Kerberos‑билету следует выполнить следующие шаги:

  • Откройте пользовательский интерфейс Центра регистрации Aladdin eR

Пропустите шаг с выбором сертификата в появившемся окне «выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6).

  • В появившемся окне авторизации Центра регистрации Aladdin eRA (см. Рисунок 8) нажмите на кнопку «Kerberos».
  • При успешной доменной аутентификации по введённому доменному имени и паролю, пользователю будет предоставлен доступ к Центру регистрации.

Если у пользователя отсутствовала[3] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».

При аутентификации по Kerberos‑билету могут возникать следующие ошибки (Таблица 10).

Таблица 10 – Типовые ошибки при аутентификации по Kerberos‑билету

Ошибка

Описание

«Full authentication is required to access this resource»

Браузер не был настроен для аутентификации по Kerberos‑билету – необходимо выполнить инструкцию по настройке браузера[4]

«Срок действия Kerberos‑билета истек»

Срок действия Kerberos‑билета истек – необходимо получить новый билет с помощью команды kinit

«Аккаунт заблокирован»

Доменная учётная запись или учётная запись в программе заблокирована

«Достигнуто предельное число сессий аккаунта»

Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в программе.

(Параметр session_max_count в файле /opt/aecaRa/scripts/config.sh)

[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA (адрес сервера AD задан в параметре kerberos_ad_server в файле /opt/aecaRa/scripts/config.sh)

[2] Инструкцию по настройке Kerberos-аутентификации в браузерах см. в «Настройка Kerberos в веб-браузере»

[3] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных.

[4] Инструкцию по настройке Kerberos-аутентификации в браузерах см. в «Настройка Kerberos в веб-браузере»

Выход из программы

Выход из программы доступен для аутентифицированных пользователей. Для выхода следует выполнить следующие шаги:

  • На верхней панели (см. Рисунок 9) веб‑интерфейса Центра регистрации нажмите на имя учётной записи пользователя.
  • В появившемся меню нажмите на кнопку <Выйти>.

После этого будет произведен выход и отобразится окно авторизации Центра регистрации Aladdin eRA (см. Рисунок 8).

Если выход был выполнен после аутентификации по сертификату, то для входа по другому сертификату необходимо перезагрузить веб‑браузер.