Am Zesummenhang mat Ännerungen an der Gesetzgebung iwwer Vertrauensdéngschter ("Iwwert elektronesch Vertrauensservicer" Ukraine), huet d'Entreprise e Bedierfnes fir verschidden Departementer fir mat Schlësselen op Tokens ze schaffen (am Moment ass d'Fro vun der Unzuel vun Hardwareschlësselen nach ëmmer op. ).

Als Tool mat de niddregsten Käschten (gratis), ass de Choix direkt gefall usbip. De Server op Ubintu 18.04 huet ugefaang dank der Verëffentlechung ze schaffen Zännbar USB / IP an erfollegräich op e puer Flash Drive getest (wéinst dem Mangel vun engem Token zu där Zäit). Keng speziell Problemer ausser Monopol Besëtz (Reservatioun fir de Benotzer) goufen zu deem Zäitpunkt identifizéiert. Et ass kloer datt fir den Zougang fir e puer Benotzer ze organiséieren (op d'mannst zwee, fir unzefänken), ass et néideg fir hiren Zougang an der Zäit ze trennen an ze zwéngen, ofwiesselnd ze schaffen.

D'Fro war: Wéi kann ech et mat dem mannsten Danz maachen, fir datt alles fir jiddereen funktionnéiert ...

Deen Deel ass knaschteg

Optioun XNUMX. Verschidde Ofkiirzungen fir Fliedermausdateien, nämlech
a) Den Zougangsschlëssel verbannen.
b) Bewosst trennen.

Paragraph "б» ëmstridden, sou gouf decidéiert d'Zäit ze ginn fir mam Schlëssel op 3 Minutten ze schaffen.

D'Besonderheet vum Usbip Client ass datt nodeems se lancéiert ass, bleift et an der Konsole hänken; ouni d'Konsol Sessioun ze ënnerbriechen, kënnt Dir d'Verbindung "ongeféier" vun der Client Säit an och vun der Server Säit zoumaachen.

Hei ass wat fir eis gutt geschafft huet:

éischt: Verbindung op.bat

usbip -a 172.16.12.26 4-1
msg * "Подпись/токен недоступны или заняты "

zweeten: ausschalten off.bat

ping 127.0.0.1 -n 180
taskkill /IM usbip.exe /F

Ouni op d'Bewosstsinn vum Benotzer ze vertrauen, goufen d'Skripte kombinéiert an token.bat

on.bat | off.bat

Wat geschitt: all d'Dateien sinn am selwechten Dossier, lancéiert vun der Token.bat Datei, wann d'Verbindung zou ass, kritt de Benotzer direkt e Message iwwer de Schlëssel net verfügbar, an engem anere Fall, nëmmen no 180 Pings. Déi gegebene Codelinne kënne mat "@ECHO OFF" an der Konsolrichtung op "> nul" ausgestatt sinn, fir de Benotzer net ze vill ze schockéieren, awer et ass net néideg ze testen. Den initialen "Run" op engem USB Drive huet gewisen datt alles prévisibel, zouverlässeg a kloer war. Ausserdeem gi keng Manipulatioune vun der Serversäit erfuerderlech.

Natierlech, wann Dir direkt mam Token schafft, ass alles net wéi erwaart gaang: mat enger kierperlecher Verbindung am Apparatmanager gëtt den Token als 2 Apparater registréiert (WUDF an eng Smart Card), a mat enger Netzwierkverbindung nëmmen als WUDF (obwuel Dëst ass genuch fir e PIN Code ze froen).

Et stellt sech och eraus datt de brutale "Taskkill" net sou schwéier ass, an d'Verbindung op de Client zoumaachen ass problematesch an och wann et erfollegräich war, garantéiert et net datt et op de Server zougemaach gëtt.

Nodeems Dir all Konsolen um Client geaffert huet, huet dat zweet Skript d'Form geholl:

ping 127.0.0.1 -n 180 > nul
taskkill /IM usbip.exe /F /T  > nul
ping 127.0.0.1 -n 10 > nul
taskkill /IM conhost.exe /F /T  > nul

obwuel seng Efficacitéit manner wéi 50% ass, well de Server haartnäckege weider d'Verbindung offen ze betruecht.

Probleemer mat der Verbindung hunn zu Gedanken iwwer d'Upgrade vun der Serversäit gefouert.

Server Deel

Wat Dir braucht:

1. Trennt inaktiv Benotzer vum Service.
2. Kuckt wien de Moment den Token benotzt (oder nach léint).
3. Kuckt ob den Token mam Computer selwer ugeschloss ass.

Dës Probleemer goufen geléist mat de Crontab an Apache Servicer. Déi diskret Natur vun der Iwwerschreiwe vum Zoustand vun den Iwwerwaachungsresultater vun de Punkten 2 an 3, déi eis interesséieren, weist datt de Dateiesystem op der Ramdrive kann lokaliséieren. Zeil op /etc/fstab bäigefüügt

tmpfs   /ram_drive      tmpfs   defaults,nodev,size=64K         0       0

E Skript-Ordner mat Skripte gouf an der Root erstallt: Unmounting-Montage den Token usb_restart.sh

usbip unbind -b 1-2
sleep 2
usbip bind -b 1-2
sleep 2
usbip attach --remote=localhost --busid=1-2
sleep 2
usbip detach --port=00

kréien eng Lëscht vun aktiven Apparater usblist_id.sh

usbip list -r 127.0.0.1 | grep ':' |awk -F ":" '{print $1}'| sed s/' '//g | grep -v "^$" > /ram_drive/usb_id.txt

eng Lëscht vun aktive IPen ze kréien (mat spéider Ännerunge fir d'Benotzer IDen ze weisen) usbip_client_ip.sh

netstat -an | grep :3240 | grep ESTABLISHED|awk '{print $5}'|cut -f1 -d":" > /ram_drive/usb_ip_cli.txt

de crontab selwer gesäit esou aus:

*/5 * * * * /!script/usb_restart.sh > /dev/null 2>&1
* * * * * ( sleep 30 ; /!script/usblist_id.sh > /dev/null)
* * * * * (sleep 10 ; /!script/usbip_client_ip.sh > /dev/hull)

Also hu mir: all 5 Minutten kann en neie Benotzer konnektéieren, egal wien mam Token geschafft huet. Den /ramdrive Dossier ass mam http Server verbonne mat engem Symlink, an deem 2 Textdateien gespäichert sinn, déi de Status vum Usbip Server weisen.

Deel nächst: "Ugly in a wrapper"

Optioun II. Fir de Benotzer e bësse mat op d'mannst e puer manner intimidéierend Interface ze gefalen. Verwonnert vun der Tatsaach datt d'Benotzer verschidde Versioune vu Windows mat verschiddene Kaderen hunn, verschidde Rechter, eng manner problematesch Approche wéi Lazarus Ech hunn et net fonnt (Ech sinn natierlech fir C #, awer net an dësem Fall). Dir kënnt Fliedermausdateien aus der Interface am Hannergrond starten, miniméiert, awer ouni richteg Tester, ech perséinlech sinn der Meenung: Dir musst et visualiséieren fir d'Benotzer Onzefriddenheet ze sammelen.

Déi folgend Aufgaben goufen duerch d'Interface a Software geléist:

1. Weist ob den Token am Moment beschäftegt ass.
2. Beim éischte Start beinhalt den initialen Setup d'"korrekt" Fliedermausdateien ze generéieren déi de Start an d'Ënnerbriechung vun enger Sessioun mam Token Server implementéieren. Bei spéider Starten, Implementatioun vum "Service" Modus mat engem Passwuert.
3. Iwwerpréift d'Präsenz vun enger Verbindung mam Server, als Resultat vun deem et ëmfrot ob et beschäftegt ass oder Messagen iwwer Probleemer affichéiert. Wann d'Kommunikatioun erëmfonnt gëtt, fänkt de Programm automatesch am normale Modus un.

Schafft mam WEB-Server gëtt mam zousätzleche fphttp-Client-Snap-In implementéiert.

hei gëtt e Link op déi aktuell Versioun vum Client ginn

et ginn och weider Iwwerleeungen zum Thema vum Artikel, souwéi deelweis initial Begeeschterung fir de VirtualHere Produkt mat senge Features ...

Source: will.com