@MHEMOHuK

Не видит USB-токен при аутентификации в web-приложении, ОС Windows Server 2016. Как победить?

Для обмена налоговыми накладными бухгалтерия использует ПО MEDoc, где для получения/подписания документов использовали файл электронной подписи. Сказали, что файл -это не безопасно, а вот USB-токен – самое то. Приобрели USB-токен Avest PKCS#11, физически подключили к серверу, где установлена серверная часть MEDoc. Пользователи с рабочих станций подключаются, клиенты видят токены, есть возможность выбора. Да и сам сервер, OC Windows Server 2016, видит их как «Устройство чтения смарт-карт Microsoft Usbccis(WUDF)» и Смарт-карту «AvestUA AvestKey». Всё было бы хорошо, если бы эти ключи использовали только для работы с MEDoc, но они ещё используются для авторизации в личных кабинетах, в которые можно зайти только через Web-страницу, к примеру "Кабінет платника податків" от ДФС. Вот в этом случае браузер их не видит, ни Chrome, ни Explorer, ни FF. Если токен физически подключен к Пк пользователя с WIndows 10, то всё замечательно заходит. Служба поддержки сетует на паранойю Microsoft и блокировку в Windows Server взаимодействия браузера с токенами, чуть ли не на уровне ядра. Допускаю что так и есть, но ничего внятного найти не смог. Какие варианты: пробрасывать флешки на ПК пользователей, виртуализация на хосте ОС не Windows Server?
  • Вопрос задан
  • 3239 просмотров
Решения вопроса 1
@MHEMOHuK Автор вопроса
Решение найдено - использовать VNC :(
А теперь к сути проблемы: всё плохо и виной всему RDP клиент, в частности winscard.dll. Начиная с Windows Server 2008, эта библиотека определяет смарт-карты при своём первом запуске и получается так, что если логин был локальным, то смарт-карты считываются с хоста, если логин был удалённым - то с ПК пользователя. При этом, если вы залогинились локально, а потом подключились к этой сессии через RDP, то он продолжит видеть смарт-карты установленные на хосте, но не видеть смарт-карты на ПК пользователя. Это работает и в обратном направлении, если вы зашли через RDP, а потом подключились к этой сессии локально - то он будет видеть смарт-карты на ПК пользователя, который инициировал эту сессию, но не видеть локальные.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Francyz
@Francyz
Photographer & SysAdmin
Знаю, что Сбис работает через USB-ключ, но с веб-формой он коннектится при помощи доп. устанавливаемого плагина их разработки. Ставишь его и можно заходить в ЛК при помощи ЭЦП. Вероятно ваша веб-форма не приспособлена. Либо нужно какой то посредник для работы, по типу Крипто-Про и аналогов.
Ответ написан
@UPSA
anykey
Процесс Chrome, Explorer, FF не может получить доступ к ПО по шифрованию, например, КриптоПРО. НЕ ПРОСТО не может получить, а не должен, иначе заходя на сайт можно было запускать все что угодно и не только вирусы. )))
Нужен в браузерах плагин, прослойка между браузером и криптографическим ПО. Например, для КриптоПРО - это КриптоПро ЭЦП Browser plug-in

UPD
Опять до конца не прочитал вопрос )))
1. gpedit.msc - в помощь. Политика безопасности запрещает доступ к физическим устройствам если пользователь подключен по RDP (сильно ограничивает).
2. Лицензия? Например у КриптоПРО клиентские лицензии работать не будут на серверных ОС, нужны серверные лицензии.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы