С помощью внутреннего каталога вы можете создавать учетные записи для внешних пользователей в Рутокен KeyBox. Внутренний каталог пользователей настраивается в базе данных Microsoft SQL или PostgreSQL.
Внутренний каталог является дополнительным. Перед тем как подключить внутренний каталог, настройте основной каталог пользователей LDAP или в ЦР КриптоПро УЦ 2.0.
Подключение к созданной базе данных настраивается в Мастере настройки Рутокен KeyBox в разделе Каталог пользователей.
Настройка базы данных
Чтобы настроить базу данных для внутреннего каталога пользователей:
- Создайте базу данных.
- Настройте сервисную учетную запись.
- Используйте скрипт из дистрибутива Рутокен KeyBox, чтобы наполнить базу данных.
Microsoft SQL
База данных
Создайте базу данных в среде SQL Server Management Studio с произвольным именем:
- В окне Обозреватель объектов (Object Explorer) нажмите правой кнопкой мыши по вкладке Базы данных (Databases).
- Выберите Создать базу данных... (New Database...).
- Укажите Имя базы данных: (Database name:) и нажмите OK.
Сервисная учетная запись
Используйте локальную учетную запись SQL или учетную запись Active Directory и наделите ее необходимыми правами для работы с созданной базой данных. Эта учетная запись будет использоваться для выполнения операций чтения и записи в базу данных. Подключение к базе с использованием указанной учетной записи настраивается в Мастере настройки Рутокен KeyBox.
- Определите Имя для входа (Logins) для созданной базы.
- Нажмите Безопасность (Security)→Имя для входа (Logins), из списка выберите учетную запись.
- Перейдите на вкладку Сопоставление пользователей (User Mapping).
- Выдайте права на работу с базой для выбранного имени входа, укажите разрешения db_owner и public и нажмите ОК.
Наполнение базы данных
Выберите в Обозревателе объектов (Object Explorer) созданную базу данных и выполните скрипт UserCatalog.sql:
- Выберите меню Файл (File)→Открыть (Open)→Файл...(File...), укажите путь к файлу UserCatalog.sql (\RutokenKeyBox.WindowsServer\Misc) и нажмите Открыть (Open).
- До запуска скрипта раскомментируйте
--USE\[<database name>]--GOи укажите название базы данных, для которой применяется скрипт, или выберите базу данных в выпадающем списке. - Нажмите Выполнить (Execute).
Postgre SQL
База данных
Создайте базу данных в среде pgAdmin с произвольным именем:
- В окне Обозреватель (Browser) нажмите правой кнопкой мыши по пункту Базы данных (Databases).
- Выберите Создать (Create)→База данных...(Database...).
- На вкладке Общие (General) укажите название базы данных в поле База данных (Database), выберите созданную сервисную учетную запись в списке Владелец (Owner) и нажмите Сохранить (Save).
Сервисная учетная запись
- Откройте pgAdmin, укажите мастер пароль и подключитесь к серверу.
- В разделе Обозреватель (Browser) правой кнопкой мыши нажмите по пункту меню Роли входа/группы (Login/Group Roles).
- Выберите Создать→Роль входа/группы (Create→Login/Group Role…).
- На вкладке Общие (General), в поле Имя (Name), укажите произвольное имя пользователя.
- На вкладке Определение (Definition), в поле Пароль (Password), укажите пароль пользователя. В поле Роль активна до (Account Expires) должно быть указано значение No Expiry. При создании сервисной учетной записи требуется отключить срок действия пароля.
- На вкладке Права (Privileges) включите параметр Вход разрешен? (Can Login?).
- Оставьте остальные значения по умолчанию и нажмите Сохранить (Save).
Наполнение базы данных
Выберите в Обозревателе (Browser) созданную базу данных, выполните скрипт UserCatalog-Postgre.sql и предоставьте сервисной учетной записи привилегии на таблицы базы данных:
- Выберите меню Инструменты (Tools)→Запросник (Query Tool).
- В меню запросника нажмите
и укажите путь к файлу UserCatalog-Postgre.sql (\RutokenKeyBox.WindowsServer\Misc). Нажмите Выбрать (Select). - В меню запросника нажмите на кнопку Выполнить (Execute/Refresh)
. - Нажмите
в меню запросника и выберите Clear Query, чтобы очистить поле запроса к базе данных. - Введите текст запроса, указав в запросе имя учетной записи:
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "имя сервисной учетной записи";
Пример запроса
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO servicepg;
- В меню запросника нажмите на кнопку Выполнить (Execute/Refresh)
.
Удаленное подключение к базе данных
- Откройте конфигурационный файл pg_hba.conf. В ОС Windows файл находится по пути C:\Program Files\PostgreSQL\<номер версии>\data. В ОС Linux – /etc/postgresql/<номер версии>/main.
- Добавьте строку следующего формата:
CONNECTIONTYPE DATABASE USER ADDRESS METHOD
Где:
CONNECTIONTYPE– тип подключения. Укажитеhost, чтобы использовать подключение по TCP/IP;DATABASE– имя базы данных, для которой предоставляется доступ;USER– имя пользователя, для которого будет доступно подключение;ADDRESS– IP-адрес удаленного сервера RutokenKeyBox;METHOD– метод аутентификации пользователя.
host KeyBoxStorage servicepg 192.200.1.0/24 md5
Список атрибутов
Для работы с внутренним каталогом пользователей Рутокен KeyBox использует следующие атрибуты:
Основные атрибуты
| Атрибут пользователя | Общее имя атрибута | Отображаемое имя атрибута |
|---|---|---|
| cn | Common Name | Общее имя |
| dn | Distinguished Name | Уникальное имя |
| givenName | First Name | Имя |
| sn | Last Name | Фамилия |
| sAMAccountName | Logon Name | Логин |
| Адрес электронной почты |
Дополнительные атрибуты
| Атрибут пользователя | Отображаемое имя атрибута |
|---|---|
| telephoneNumber | Телефонный номер |
| countryName | Страна/регион |
| stateOrProvinceName | Область |
| localityName | Город |
| streetAddress | Адрес |
| organizationName | Организация |
| organizationUnitName | Подразделение |
| title | Должность |
В Мастере настройки можно редактировать дополнительные атрибуты и добавить собственные.