Центр удаленного доступа- Работа  (раздел целиком)  (08.07.2020)
Работа

После установки всех настроек появится запрос на сохранение конфигурации:

Сохранить?

Подтвердите сохранение.

Для запуска сервера нажмите

Запуск

В процессе запуска необходимо зарегистрировать службу Windows, а также может потребоваться внести изменения в сетевые настройки компьютера, чтобы зарегистрировать правило, разрешающее сеFirewall. Перед изменением сетевых настроек конфигуратором будет задан вопрос:

Изменения в сетевые настройки

Отвечайте "Да" при работе в локальном сеансе на выделенном web-сервере. При установке сервиса через терминальный доступ, а также в случае, если на сервере установлено другое работающее в данный момент серверное программное обеспечение (особенно серверы управления базами данных с подключенными к ним пользователями), отвечайте "Нет". В этом случае вам потребуется настроить Firewall (если он используется) вручную. Об успешной установке службы Windows сигнализирует сообщение:

Сервис успешно установлен

После завершения работы инсталлятора необходимо убедиться в наличии службы Windows, а также в том, что она находится в состоянии "Запущен". Для этого в апплете "Службы" (Start --> Control Panel --> Administrative Tools --> Services) найдите службу с именем "DataMill Application Server":

Управление службами

В этом окне с помощью контекстного меню Вы сможете в дальнейшем управлять состоянием службы - останавливать и запускать ее, когда это будет необходимо.

Серверное приложение будет зарегистрировано в качестве службы операционной системы и сервер будет запущен:

Сервис успешно установлен

Главное окно изменит вид:

ГО работа

Кнопка

Останов

Служит для остановки сервиса.

Нажатие ссылки " Активные сессии " открывает список активных в настоящий момент сессий с указанием IP-адреса клиента, имени подключенного пользователя, временем до окончания сессии.

Активные сессии

Для того чтобы новый удаленный клиент мог подключиться к работе, он должен в адресной строке своего браузера набрать адрес сервера (или ip-адрес).

Откроется окно со списком сгенерированных клиентских агетов:

Логин


1. Использование отладочного монитора

Для устранения проблем и локализации ошибок применяется отладочный монитор из состава поставки сервиса:

Отладочный монитор

Отладочный монитор в реальном времени отображает все http и sql-запросы, приходящие через сервис.

Воспользовавшись действием "Сохранить в файл", можно получить почти всю информацию, необходимую разработчику для локализации проблемы, в виде одного файла.

Дополнительно, воспользовавшись действием "Удаленный сервер", можно настроить:

  • пересылку всех получаемых сообщений на удаленный syslog сервер - группа параметров "Параметры подключения к серверу"
  • прием отладочных сообщений по syslog протоколу (в данном случае Отладочный монитор будет выступать syslog сервером) - группа параметров "Параметры локального сервера"

2. Объекты схемы, используемые механизмами сервиса
Внутренние механизмы сервиса используют следующие объекты схемы:
  1. Представление V_DMSDOMAINS. Требуется наличие полей :
    • NCRN NUMBER
    • NRN NUMBER
    • SCODE VARCHAR2
    • STYPICAL_NAME VARCHAR2
    • NDATA_TYPE NUMBER
    • SDATATYPE_ORA VARCHAR2
    • SDATATYPE_TEXT VARCHAR2
    • NDATA_SUBTYPE NUMBER
    • SDATATYPE_SUBTEXT VARCHAR2
    • NDATA_LENGTH NUMBER
    • NDATA_PRECISION NUMBER
    • NDATA_SCALE NUMBER
    • NMANDATORY NUMBER
    • SDEFAULT_STR VARCHAR2
    • NDEFAULT_NUM NUMBER
    • DDEFAULT_DATE DATE
    • SDEFAULT_VALUE VARCHAR2
    • NENUMERATED NUMBER
    • NREADONLY NUMBER
    • NPADDING NUMBER
    • NRES_ID NUMBER
    • SRES_TEXT VARCHAR2
    • SPRODUCER VARCHAR2
  2. Процедура P_DMSDOMAINS_CONDTYPE с параметрами
    • NFLAG_SMART NUMBER IN
    • NCOMPANY NUMBER IN
    • SDOMAIN VARCHAR2 IN
    • NTYPE NUMBER OUT
    • NENUMERATED NUMBER OUT
  3. Подпрограммы пакета PKG_SESSION :
    1. Процедура LOGON с параметрами
      • SAPPLICATION VARCHAR2 IN
      • SCOMPANY VARCHAR2 IN
      • SCHECK_SUM VARCHAR2 IN
    2. Процедура LOGON_WIN с параметрами
      • SIMPLEMENTATION VARCHAR2 IN
      • SCOMPANY VARCHAR2 IN
    3. Процедура LOGOFF без параметров
    4. Функция GET_LICENSE_ID или GET_LICENSE без параметров, в зависимости от релиза ПП Парус 8 (решение об использовании функции принимается адаптивно)
  4. Таблица LOGONOFF с полями
    • RN NUMBER
    • CONNECT_TYPE NUMBER
    • CONNECT_EXT VARCHAR2
    • CONNECT_STATE NUMBER
    • DATE_LOGON DATE
    • DATE_LAST DATE
    • DATE_LOGOFF DATE
    • AUTHID VARCHAR2
    • PROGRAM VARCHAR2
    • COMPANY NUMBER
    • IP_ADDRESS VARCHAR2
    • LICENSE_ID NUMBER
    Остальные поля таблицы должны иметь значения по умолчанию, либо допускать сохранение пустого значения.
  5. Таблица USERLIST с полями
    • AUTHID VARCHAR2
    • CLIENT_WEB NUMBER
    • PASSWORD_WEB VARCHAR2
  6. Таблица USERPRIV с полями
    • AUTHID VARCHAR2
    • ROLEID NUMBER
    • COMPANY NUMBER
    • UNITCODE VARCHAR2
  7. Таблица USERROLES с полями
    • AUTHID VARCHAR2
    • ROLEID NUMBER

Поддержка перечисленных объектов является необходимым условием совместимости Сервиса с тем или иным релизом, редакцией или комплектацией ПП Парус 8.


3. Использование различных методов подключения сервера к сети

3.1. Использование NAT

Механизм NAT описан в rfc1631 и в rfc3022 .

Работа через NAT полностью поддерживается, и не должна вызывать каких-либо затруднений. Рассмотрим пример.
NAT

Допустим, на сервере, обозначенном как "наш сервер", установлен наш сервис. "Наш сервер" слушает IP-адрес внутренней сети 192.168.4.110, порт 8090. В таком случае он доступен пользователям во внутренней сети через url http://192.168.4.110:8090. NAT-сервер, имеющий внешний IP 212.158.161.21, устанавливает соответствие своего порта 8099 и порта 8090 локального хоста 192.168.4.110. На рисунке показано это правило для одного из "бытовых" роутеров (нас интересует последнее правило в списке):
NAT на роутере
Благодаря этому, сервис доступен "снаружи" через url http://212.158.161.21:8099.

При настройке удаленного доступа приложений Win32 к этому серверу, вам необходимо указать в поле " Хост сервера " строку " 212.158.161.21:8099 " (без кавычек), поле "Путь серверного proxy" оставить пустым. Во всех случаях номера стандартных портов можно не указывать, а IP-адреса заменить соответствующими им доменными именами.

При использовании механизма "Restricted NAT", "Наш сервер" будет лишен возможности получить реальные IP-адреса удаленных пользователей, все запросы он будет видеть приходящими с одного и того же адреса. Если вы используете Restricted NAT, то вы

  • лишаетесь возможности протоколировать IP-адреса
  • в поле "Способ идентификации сессии" на странице " Параметры сетевых настроек " не сможете использовать способы, опирающиеся на IP-адрес (фактически, вам доступен только способ "Использовать идентификатор"). Это приведет к невозможности работы с сервисом пользователей, не имеющих соединения с постоянным IP-адресом.

3.2. Использование серверного proxy

Допустим, мы имеем следующую схему подключения:
Proxy

Допустим, на сервере, обозначенном как "наш сервер", установлен наш сервис. "Наш сервер" слушает IP-адрес внутренней сети 192.168.4.110, порт 8090. В таком случае он доступен пользователям во внутренней сети через url http://192.168.4.110:8090. На сервере, обозначенном как "Proxy-сервер", установлен web-сервер apache, конфигурационный файл которого содержит, помимо прочего, следующие строки:

  Listen 8099
  ...
  LoadModule proxy_module modules/mod_proxy.so
  ...
  ProxyPass /mysite/mysite1/mysite2/ http://192.168.4.110:8090/
  ...
  <Proxy /mysite/mysite1/mysite2/*>
    Order allow,deny
    Allow from all
    ...
  </Proxy>
  ....
Proxy-сервер имеет внешний IP 212.158.161.21. То есть, все обращения, поступающие на proxy-сервер на url вида http://212.158.161.21:8099/mysite/mysite1/mysite2/.... будут перенаправлены им на наш сервер, а ответ нашего сервера будет возвращен удаленному клиенту (в этом смысл работы механизма proxy). Благодаря этому, сервис доступен "снаружи" через url http://212.158.161.21:8099/mysite/mysite1/mysite2/parusproxyjs/index.html (вам придется указывать полный путь именно в таком виде, иначе мы не сможем разрешить относительные ссылки на страницах).

При настройке удаленного доступа приложений Win32 к этому серверу, вам необходимо указать в поле " Хост сервера " строку " 212.158.161.21:8099 " (без кавычек), в поле " Путь серверного proxy " указать строку " /mysite/mysite1/mysite2 " (без кавычек). Во всех случаях номера стандартных портов можно не указывать, а IP-адреса заменить соответствующими им доменными именами.

При использовании серверного proxy "Наш сервер" будет лишен возможности получить реальные IP-адреса удаленных пользователей, все запросы он будет видеть приходящими с одного и того же адреса. Если вы используете серверный proxy, то вы

  • лишаетесь возможности протоколировать IP-адреса (протоколирование должно быть возложено на proxy-сервер)
  • в поле "Способ идентификации сессии" на странице " Параметры сетевых настроек " не сможете использовать способы, опирающиеся на IP-адрес (фактически, вам доступен только способ "Использовать идентификатор"). Это приведет к невозможности работы с сервисом пользователей, не имеющих соединения с постоянным IP-адресом.

4. Использование SSL сертификатов c ГОСТ алгоритмами

Для использования SSL сертификатов с ГОСТ алгоритмами необходимо произвести описанные ниже настройки.

        каталоги установки (по умолчанию), в которых расположен файл конфигурации сервиса:
  • Win32: C:\Program Files\ParusBalanceOnline\
  • Win64: C:\Program Files\ParusBalanceOnline\WIN64\
  1. Скачать библиотеку из состава OpenSSL, реализующую ГОСТ алгоритмы, в соответствии с используемой разрядностью приложения, которое будет использовать данную библиотеку.
    Если настраивается серверная сторона Сервиса, то в соответствии с его разрядностью, если настраивается клиентская сторона - приложение для удаленного доступа, то в соответствии с его разрядностью (на текущий момент только Win32).
    В случае настройки Сервиса, скопировать полученный файл в каталог с файлом конфигурации сервиса (см. каталоги установки по умолчанию):
           

    Указанные по ссылкам файлы взяты из версии OpenSSL1.0.2, которая соответсвует версии остальных библиотек распространяемых в стандартной поставке текущего Сервиса.

    Предполагается, что gost.dll должна работать только с соответствующей ей версии OpenSSL из состава которого эта библиотека была взята.

    Начиная с версии OpenSLL 1.1.0 библиотека gost.dll исключена из состава стандартной поставки OpenSSL, и оформилась в виде отдельного  продукта , который по прежнему требует соответствие версий с OpenSSL.

    Поддержка алгоритмов ГОСТ 2001 имеется во всех версиях библиотеки gost.dll. Однако поддержка алгоритмов ГОСТ 2012  реализована только в версиях начиная с  OpenSSL 1.1.0.

  2. Рядом со скопированным файлом создать файл конфигурации OpenSSL следующего вида:
    openssl_conf = openssl_def
    
    [openssl_def]
    engines = engine_section
    
    [engine_section]
    gost = gost_section
    
    [gost_section]
    engine_id = gost
    dynamic_path = ./gost.dll
    default_algorithms = ALL
    CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
        

    В случае использования существующего файла конфигурации, например поставляемого с самим OpenSSL, необходимо 1-ю строчку (openssl_conf = openssl_def) вставить в начало этого файла, а остальные строки в самый конец файла.

    Указанный файл конфигурации является примером, и может быть изменен пользователем в зависимости от требуемых настроек.

           

    Подобным образом возможно подключить любые другие расширения (engine) для OpenSSL.

    Например, в случае если приватный ключ сертификата хранится на аппаратном носителе (USB токен, смарт карт) который не допускает их экспортирования в файл, но при этом предосталяет возможность их использования через свой интерфейс. Обычно в таких случаях криптопровайдер распространяет расширения для интеграции с OpenSSL.

    В таких случаях, в процессе конфигурирования вместо указания пути к файлу (Параметры сетевых настроек, поле Закрытый ключ) необходимо указать через какое расширение можно обращаться к закрытому ключу:

    engine:<id расширения>:путь к закрытому ключу согласно документации криптопровайдера
            

    Например:

    engine:gostengy:www.techmill.ru
            

  3. Установить переменную окружения Windows с именем OPENSSL_CONF, и значением с полным путем к файлу конфигурации OpenSSL.
            В случае настройки клиента удаленного доступа для приложения Win32, это удобно настроить (как подключение файл конфигурации OpenSSL, так и установка переменной окружения OPENSSL_CONF) в процессе конфигурирования на странице Дополнительные модули и переменые окружения в составе клиента удаленного доступа.
  4. В случае настройки сервера приложений: в файле MillAppServer.conf в элемент /config/object[@class="{91D7A767-7222-4463-BC7F-AD40589E3426}"] найти изменить, или в случае его отсутствия, добавить узел <param name="CipherList" value="GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89"/>

4.1. Выбор браузеров для взаимодействия с веб-серверами использующими SSL сертификаты с ГОСТ алгоритмами

Для взаимодействия браузера с веб-серверами, использующими SSL сертификаты с ГОСТ алгоритмами, необходимо, чтобы эти браузеры "понимали" эти алгоритмы. "Понимание" криптоалгоритмов, обеспечивается путем взаимодействием браузера с определенным криптопровайдером, через ту или иную инфраструктуру криптопровайдеров.

На ОС Windows инфраструктура криптопровайдеров обеспечивается Microsoft CryptoApi. Различные браузеры могут использовать какую-то определенную инфраструктуру криптопровайдеров. Например Internet Explorer может использовать только Microsoft CryptoApi, а Chrome и Firefox - только NSS.

Таким образом, для работы с веб серверами, использующими SSL ГОСТ-сертификатами требуется установленный на клиенте криптопровайдер с поддержкой ГОСТ, и браузер, который умеет опосредовано через инфраструктуру, использовать этот криптопровайдер.

Рассмотрим на примере продуктов CryptoPro (это 1 из примеров, по аналогии могут быть использованы любые другие криптопровайдеры, добавляющиеся в Microsoft CryptoApi, и реализующие поддержку ГОСТ алгоритмов).

Установка CryptoPro CSP добавляет в Microsoft CryptoApi криптопровайдер, реализующий поддержку ГОСТ алгоритмов:

  • Internet Explorer - полная поддержка
  • Firefox, непосредственно официальные сборки - не поддерживаются, но можно использовать третьесторонние сборки, например КриптоПро Fox.

            Установка брайзера КриптоПро Fox, должна производится после установки криптопровайдера.

    Если после установки КриптоПро Fox - соединение с сервером не устанавливается с кодом ошибки "SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT", то необходимо проверить, что модуль для связи брайзера с КриптоПро CSP, загружен брайзером:

    • Открыть Меню -> Настройки -> Дополнительные -> Сертификаты -> Устройства защиты
    • В открывшемся диалоге, найти модуль CryptoPro PKCS11, у которого должен быть дочерний модуль CryptoPro Token. Если дочернего модуля нет, то необходимо переустановить данный брайзер.

    Если после установки КриптоПро Fox - соединение с сервером считается ненадежным, то необходимо сделать изменения в его настройках:

    • Открыть вкладку с адресом about:config
    • Найти настройку с именем security.tls.version.max, и изменить значение с 3 на 2
  • Chrome - не поддерживается из-за использования им криптопровайдеров NSS. Однако можно использовать стороннюю сборку Chromium от КриптоПро - Chromium Gost , в которую включена возможность поддержки ГОСТ алгоритмов, в случае работы совместно с КриптоПро CSP.

        На текущий момент, на сколько известно, использование продукта CryptoPro CSP, только лишь для использования в браузерах (добавление поддержки ГОСТ алгоритмов) - не требует приобретения лицензии КриптоПро CSP.