Континент ап линукс установка

Быстрый старт¶

АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).

Инсталляция на аппаратную платформу¶

При инсталляции ПО на аппаратную платформу используются два источника инсталляции:

  • CD-диск (входит в комплекте поставки оборудования)
  • USB Flash drive (так же входит в состав поставки)

Самый распространенный способ — это установка через USB Flash drive. В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки. Образы находятся на CD-диске в директории Setup\Continent\FLASH\IMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:

Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)

По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.

Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:

  • arm_release.flash — АРМ ГК (Генерации Ключей)
  • cgw.aserv_release.flash — КШ-СД
  • cgw_release.flash — КШ
  • csw_release.flash — КК
  • ids_release.flash — ДА
  • ncc.aserv_release.flash — ЦУС-СД
  • ncc_release.flash — ЦУС

При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ», в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему», следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт «Время автоматического входа в систему» может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».

Инсталляция на виртуальную машину¶

Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.

Читайте также:  Linux mint graphics cards

Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:

  • set hint.p4tcc.0.disabled=1
  • set hint.acpi_throttle.0.disabled=1
  • set hint.apic.0.clock=0
  • set kern.hz=50

Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.

Строка инициализации¶

Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.

При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.

Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).

Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.

Строка инициализации имеет простой и понятный формат, например:

  • 00002710 — идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
  • 3 — количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
  • igb0*02BDigb1*02BDigb2*02BD — наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
  • ffff — признак окончания строки инициализации

Интерфейсы и режим работы:

  • em0 (медь) — 02BD
  • igb (оптика) — 3001
  • igb (медь) — 02BD
  • ix (оптика 10G) — 0001
  • ixl (оптика криптоускоритель) — 2E801

Настройка VPN¶

Настройка L3 VPN между КШ¶

Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:

Создание сетевых объектов¶

Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.

Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом «Любой» криптошлюза, за которым этот сетевой объект находится.

Читайте также:  Device file system linux

После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).

Создание парных связей¶

Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.

При создании парной связи между криптошлюзами они строят между собой VPN по дефолтному порту UDP 10000 и начинают обмениваться keepalive-сообщениями. Если криптошлюз не получает данные сообщения от парного криптошлюза, то в ПУ ЦУС напротив него в колонке VPN будет отображаться восклицательный знак.

Создание правил фильтрации¶

После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.

Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).

Настройка L2 VPN между КК¶

L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:

Настройка интерфейсов коммутации¶

Интерфейс коммутации — физический или логический интерфейс (VLAN) КК, который отправляет все присланные на него кадры в виртуальный коммутатор. Для задания интерфейса коммутации необходимо открыть свойства КК, перейти на вкладку Интерфейсы, выбрать нужный интерфейс и назначить ему тип «Порт криптокоммутатора». У КК должен так же быть минимум один внешний интерфейс, который используется для передачи VPN-трафика и управления устройством.

Конфигурация виртуального коммутатора¶

Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.

Настройка удаленного доступа VPN между СД и АП¶

Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).

Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.

Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.

  • установка ПО «Континент АП»
  • создание закрытого ключа пользователя (опционально)
  • импорт сертификата пользователя (опционально с импортом закрытого ключа), выпущенный на СД
  • создание соединения с СД
  • создание объекта защищаемой сети
  • создание правил межсетевого экрана
  • создание пользователя и выпуск сертификата пользователя
  • назначение пользователю правил межсетевого экрана
Читайте также:  Как установить mongodb linux

Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.

© Copyright 2019, g00dvin Revision de3b0298 .

Versions latest old Downloads pdf html epub On Read the Docs Project Home Builds Free document hosting provided by Read the Docs.

Источник

Континент АП не запускается

Установил cts-3.7.6-70.ks1.astra1.6_amd64.deb на Astra Linux 1.6 (Смоленск) установка прошла без ошибок, вышло сообщение , что надо перезагрузить систему. После перезагрузки не запускается Континент АП, ни при загрузке, ни по ярлыку. Никаких сообщений не выдает. Что может быть и где смотреть?

Вложения

Continent_AP.jpg

PavelM

New member

Вложения

Continent_AP_1.jpg

oko

New member

to PavelM
Специально же придуман раздел документации на Континент-АП, в котором сказано, в каком порядке и что устанавливать кроме указанного вами deb-пакета.
Вы явно не установили зависимости, в частности, libopensc.

PavelM

New member

to PavelM
Специально же придуман раздел документации на Континент-АП, в котором сказано, в каком порядке и что устанавливать кроме указанного вами deb-пакета.
Вы явно не установили зависимости, в частности, libopensc.

Continent_AP_2.jpg

где можно скачать его?
по документации ставил *.deb пакеты из папки ‘third party’ но несколько пакетов оттуда не стали ставится, установлены более новые версии

oko

New member

to PavelM
Там же на диске с Континент-АП должно быть все. Выбирайте пакеты под нужную версию Astra Linux. Помнится, ставил без каких-либо проблем, прочитав ReleaseNotice и Руководство администратора в части установки.

PavelM

New member

Выше написал, что устанавливал по документации, но установщик заругался на несколько пакетов в частности opensc_0.16.0-3_amd64.deb и opensc-pkcs11_0.16.0-3amd64.deb, что уже установлены более новые версии (скриншот выше), которые видимо установились, когда настраивал доступ к ssl.budgetplan.minfin.ru и zakupki.gov.ru

Kovlanik

New member

Выше написал, что устанавливал по документации, но установщик заругался на несколько пакетов в частности opensc_0.16.0-3_amd64.deb и opensc-pkcs11_0.16.0-3amd64.deb, что уже установлены более новые версии (скриншот выше), которые видимо установились, когда настраивал доступ к ssl.budgetplan.minfin.ru и zakupki.gov.ru

Более новые версии устанавливаются вместе с пакетом обновлений №3 для Астры Смоленск 1.6. Две нужные библиотеки повышаются до версии 6, вместо 4-й, и отсюда возникают проблемы. Поспешила Астра. Решается просто. Из пакета opensc-pkcs11_0.16.0-3_amd64.deb выдёргиваются две зависимости (можно воткнуть на горячую из MC) libopensc.so.4 и libopensc.so.4.0.0 кинуть по следующему пути \usr\lib\x86_64-linux-gnu\. И всё должно заработать. У нас в крайнем случае именно так и произошло. А вот те библиотеки и пакеты, которые система по вашей просьбе понизила, лучше вернуть на место. Ну не знаю, попробуйте apt dist-upgrade, что-ли

Источник

Оцените статью
Adblock
detector