Подключение к веб-интерфейсу

Веб‑интерфейс представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб‑браузере. Веб‑интерфейс реализован клиентским компонентом Центра регистрации Aladdin eRA и предназначен для управления серверным компонентом Центра регистрации Aladdin eRA (выполнения доступных пользователю в рамках его полномочий действий).

Подключение к веб‑интерфейсу Центра регистрации Aladdin eRA выполняется из веб‑браузера удаленно по сети передачи данных с компьютера получателя сертификатов (субъекта РС). Учетная запись получателя сертификатов автоматически активируется (регистрируется) после первой успешной авторизации в Центре регистрации Aladdin eRA.

Канал управления является защищенным — организован по протоколу HTTPS/TLS с односторонней аутентификацией и шифрованием передаваемых данных. Для проверки подлинности сертификата веб-сервера Центра регистрации Aladdin eRA получите у администратора и установите в хранилище «Доверенные корневые центры сертификации» корневой сертификат издающего Центра сертификации eCA, к которому подключен Центр регистрации Aladdin eRA.

Получатели сертификатов (субъекты РС) (пользователи с доменными учётными записями [1]) могут проходить идентификацию и аутентификацию в Центре регистрации Aladdin eRA по комбинации доменного имени и пароля или по Kerberos‑билету. Для успешной аутентификации в веб-браузере должна быть настроена Kerberos-аутентификации (инструкция по настройке приведена в разделе 3.2). Информация о домене отображена в окне авторизации в поле «Домен».

Порядок подключения к веб‑интерфейсу Центра регистрации Aladdin eRA:

  • Запустите веб‑браузер и в адресной строке введите IP‑адрес или доменное имя компьютера, на котором установлен Центр регистрации Aladdin eRA (например, https://172.22.5.21).
  • На открывшейся странице с предупреждением системы безопасности (см. Рисунок 1) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.

Рисунок 1 – Страница с предупреждением системы безопасности

  • После установки TLS‑соединения для неаутентифицированного пользователя отображается интерфейс для прохождения процедуры идентификации и аутентификации (см. Рисунок 2).

Рисунок 2 – Окно авторизации

  • Для идентификации и аутентификации по комбинации доменного имени и пароля введите в соответствующих полях доменное имя и пароль учетной записи получателя сертификатов (субъекта РС), нажмите на кнопку <Войти>.
  • Для идентификации и аутентификации с помощью Kerberos-билету нажмите кнопку .

Если у пользователя отсутствовала [2] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».

В результате получателю сертификатов (субъекту РС) будет предоставлен доступ к веб-интерфейсу Центра регистрации Aladdin eRA (описание см. в разделе 3.3).

При аутентификации по доменному имени и паролю могут возникать ошибки, приведенные в таблице ниже (Таблица 1).

Таблица 1 – Типовые ошибки при аутентификации по доменному имени и паролю

Ошибка

Описание

«Аккаунт заблокирован»

Доменная учётная запись или учётная запись заблокирована в программе

«Достигнуто предельное число сессий аккаунта»

Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в Центре регистрации Aladdin eRA.

При аутентификации по Kerberos‑билету могут возникать ошибки, приведенные в таблице ниже
 (Таблица 2).

Таблица 2 – Типовые ошибки при аутентификации по Kerberos‑билету

Ошибка

Описание

«Full authentication is required to access this resource»

Браузер не был настроен для аутентификации по Kerberos‑билету – необходимо выполнить инструкцию по настройке браузера.

«Срок действия Kerberos‑билета истек»

Срок действия Kerberos‑билета истек – необходимо получить новый билет или продлить срок его действия.

«Аккаунт заблокирован»

Доменная учётная запись или учётная запись в программе заблокирована.

«Достигнуто предельное число сессий аккаунта»

Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в программе.

[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA.

[2] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных Центра регистрации Aladdin eRA.

Настройка Kerberos в веб-браузере

Для того, чтобы в браузере получателя сертификатов при работе с Центром регистрации Aladdin eRA была доступна аутентификация по Kerberos-билету необходимо внести доменное имя Центра регистрации Aladdin eRA в список доверенных URI, для которых используется аутентификация по Kerberos-билету в соответствии с инструкциями ниже.

Настройка веб-браузера Mozilla Firefox

Далее в примере:

  • sambadc.host– доменное имя Центра регистрации Aladdin eRA;
  • host– домен, (SAMBADC.HOST – realm в Kerberos);
  • Версия браузера: 78.12.0esr (64‑bit).

Для внесения доменного имени в список доверенных URI, для которых будет использоваться аутентификация Kerberos выполните следующие шаги:

  • Запустите веб-браузер Mozilla Firefox.
  • В адресной строке введите about:config и нажмите Enter.
  • Нажмите на кнопку Принять риск и продолжить.
  • В поле «Поиск» (Filter) введите negotiate, чтобы ограничить список опций.
  • Выполните двойное нажатие мышью на строке с параметром negotiate‑auth.trusted‑uris.
  • В диалоговом окне введите:
    • Чтобы разрешить SPNEGO аутентификацию только по конкретной ссылке, введите полностью домен из ссылки (например, sambadc.host);
    • Чтобы разрешить SPNEGO аутентификацию для целого домена, введите имя домена с точкой в начале (например, .sambadc.host);
    • Чтобы разрешить SPNEGO аутентификацию для нескольких доменов, введите их через запятую (например, sambadc.host,ra246.sambadc.host).
  • После запятой можно ставить пробел.
  • Продублируйте введённое значение параметра negotiate‑auth.trusted‑uris в параметр network.negotiate‑auth.delegation‑uris.
  • При необходимости удалите cookie, связанные с доменом Центра регистрации Aladdin eRA.

Настройка веб браузера Chromium

Далее в примере:

  • sambadc.host– доменное имя Центра регистрации Aladdin eRA;
  • host– домен, (SAMBADC.HOST – Realm в Kerberos);
  • Версия браузера: Version 130.0.6723.69 (Official Build) (64‑bit).

Для внесения доменного имени в список доверенных URI, для которых будет использоваться аутентификация Kerberos выполните следующие шаги:

  • Кликните правой кнопкой мыши на ярлыке "Chromium".
  • Выберите "Свойства".
  • В поле "Объект" к строке запуска браузера допишите
    • Чтобы разрешить SPNEGO аутентификацию только по конкретной ссылке, введите полностью домен из ссылки:
    • ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host";
    • Чтобы разрешить SPNEGO аутентификацию для целого домена, введите имя домена со звёздочкой и точкой в начале:
    • ‑‑args ‑‑auth‑server‑whitelist="*.sambadc.host";
    • Чтобы разрешить SPNEGO аутентификацию для нескольких доменов, введите их через запятую:
    • ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host,ra247.sambadc.host ".
  • При необходимости удалите cookie, связанные с доменом Центра регистрации Aladdin eRA.

Пример консольной команды: chromium ‑‑args ‑‑auth‑server‑whitelist="ra246.sambadc.host"

Описание элементов веб-интерфейса

Главный экран веб-интерфейса Центра регистрации Aladdin eRA для получателя сертификатов (субъекта РС) представлен на рисунке ниже (Рисунок 3).

Рисунок 3 – Основные элементы веб-интерфейса

Цифрами на рисунке обозначены:

1 Верхняя панель (заголовок)

Заголовок отображается на всех страницах веб-интерфейса ViPNet TIAS и содержит следующие инструменты:

  • Меню авторизованного получателя сертификатов (Рисунок 4).

Название меню соответствует имени учетной записи пользователя. Меню предназначено завершения рабочей сессии текущего пользователя. Для этого выберите в меню пункт <Выход>.

Рисунок 4 – Завершение рабочей сессии

  • - значок предназначен для предоставления сведении о текущей версии программы, контактной информация разработчика, правах на программное обеспечение (Рисунок 5).

Рисунок 5 – Информация о программе

2 Боковая панель (панель навигации)

Боковая панель закреплена и отображается на любом шаге или переходе между разделами при ширине окна браузера больше или равной 1200 px. При ширине окна браузера менее 1200 px боковая панель скрыта и отображается только при нажатии на кнопку , которая отображается только в данном режиме.

Полный вид боковой панели показан на рисунке ниже (Рисунок 6). Скрытый вид боковой панели показан на рисунке выше (Рисунок 3. Выбор вида боковой панели происходит по нажатию кнопки , расположенной внизу данной панели.

Рисунок 6 – Полный и скрытый виды боковой панели

Для получателя сертификатов боковая панель состоит из одного раздела «Заявки», предоставляющего следующие возможности:

  • Просмотр списка заявок в табличном виде.
  • Просмотр карточки заявки.
  • Создание заявки на выпуск сертификата на основании запроса.
  • Создание заявки на выпуск сертификата с закрытым ключом PKCS#12.
  • Создание заявки на выпуск сертификата на ключевом носителе.
  • Отмена заявки.
  • Выгрузка сертификата.
  • Импорт сертификата на ключевой носитель.
  • Выгрузка цепочки сертификатов.
  • Выгрузка контейнера закрытого ключа PKCS#12.
  • Выгрузка CRL издателя.
  • Выгрузка цепочки сертификатов издателя.
  • Отзыв сертификата.

3 Панель инструментов

Панель предназначена для размещения элементов управления информацией, представленной на панели просмотра (кнопки, поле поиска, меню).

4 Панель просмотра

Панель предназначена для отображения информации раздела (списка заявок и карточки выбранной заявки).