Во вкладке Settings задаются настройки протоколирования событий, политика по умолчанию и дополнительные параметры инсталляции Продукта С-Терра Клиент.
Рисунок 80
Для задания настроек Syslog-клиента заполняются следующие поля:
· Server IP-Address – IP-адрес компьютера, на который будут посылаться cообщения о протоколируемых событиях. Значение по умолчанию – 127.0.0.1 означает, что сообщения посылаются на локальный хост.
· Severity – задание общего уровня протоколирования. Содержит выпадающий список значений – emerg, alert, crit, err, warning, notice, info, debug. Значение по умолчанию – info.
· Facility – задание источника сообщений. Значение по умолчанию – local7.
Default Driver Policy (DDP) – политика драйвера по умолчанию. Выпадающий список содержит значения:
· pass all – пропускать все пакеты. Значение по умолчанию.
· pass dhcp – пропускать пакеты только по протоколу DHCP. Т.е. будут уничтожаться все пакеты, кроме исходящих UDP-пакетов на порт 67 и входящих UDP-пакетов на порт 68.
· drop all – не пропускать трафик.
Политика DDP, которая задается администратором, загружается в следующих случаях:
· при ошибке загрузки конфигурации,
· до старта VPN Service,
· при остановке VPN Service.
Log-off policy – специальная политика безопасности, которая задается администратором при подготовке инсталляционного пакета, и служит для безопасности работы пользователя, при которой клиент не может создавать защищенных соединений. Эта политика работает по одному из двух правил:
· default driver policy (DDP) – политика драйвера по умолчанию
· pass dhcp – пропускать пакеты только по протоколу DHCP. Будут уничтожаться все пакеты, кроме исходящих UDP-пакетов на порт 67 и входящих UDP-пакетов на порт 68.
Политика Log-off policy загружается автоматически в следующих случаях:
· до тех пор, пока пользователь не ввел свой пароль,
· при вводе неверного пароля три раза,
· при отказе от регистрации (login), если нажать кнопку Cancel,
· при выходе пользователя из системы,
· при смене пользователя,
· если при загрузке конфигурации обнаружены ошибки (если была ранее загружена Log-off policy).
Use non interactive user login – при установке этого флажка С-Терра Клиент будет использовать неинтерактивный режим логина, а при снятии – интерактивный режим логина:
· Неинтерактивный режим – при входе пользователя в систему производится попытка логина в продукт С-Терра Клиент с пустым паролем (в качестве пароля используется пустая строка). При таком успешном логине окно с запросом пароля не выводится. При неуспешном логине – Продукт ведет себя как при интерактивном режиме.
· Интерактивный режим – выдается окно запроса пароля для регистрации в Продукте С-Терра Клиент. Этот режим используется по умолчанию.
В случае неинтерактивного логина Log-off policy при старте не загружается.
Allow IPsec protection before user login – установка флажка включает функциональность по защите до логина в ОС. По умолчанию защита включена. (Включить и отключить эту опцию можно и для установленного Продукта. Для этого в "Установка и удаление программ" для Продукта выбрать "Изменить". Далее "Modify". Затем установить соответствующую функцию для "Login Protection".)
Примечание: При включении режима неинтерактивного логина в продукт S-TerraClient (Use noninteractive user login) рекомендуется выключить режим, обеспечивающий возможность интерактивного логина пользователя в Продукт до его логина в ОС (Allow IPsec protection before user login). Как правило, за исключением редких сценариев, при включенном режиме "Use non interactive user login" режим "Allow IPsec protection before user login" не требуется. При этом включение двух режимов одновременно может усложнить работу с продуктом.
Enable local management – при установке этого флажка включается возможность изменять настройки Продукта конечным пользователем. По умолчанию эта возможность отключена (пользователь может: менять пароль, уровень логирования, добавлять CRL и сертификаты партнеров, перезагружать локальную политику безопасности, остальные действия выполняемые утилитами ему недоступны).
Additional msiexec parameters – в этом поле можно установить дополнительные параметры запуска WinInstaller.
Например, альтернативный каталог, в который будет установлен Продукт, настройки лога Windows Installer и т.п. Эти параметры можно посмотреть по ссылке https://msdn.microsoft.com/ru-ru/library/windows/desktop/aa367988%28v=vs.85%29.aspx.
/l* C:\Client\install_log_file.txt - протоколирование событий в файл C:\Client\install_log_file.txt при инсталляции С-Терра Клиент (рекомендуется при режиме silent).
INSTALLDIR=каталог установки продукта – переопределение каталога. Указание каталога, несуществущего на компьютере пользователя, приведет к ошибке инсталляции.
Можно часть текста заключить в символы % (процент) и она будет рассматриваться как имя переменной окружения. И эта часть текста будет заменяться на значение переменной окружения (значения переменных окружения можно просмотреть командой set). Если переменная окружения отсутствует, в команде остается исходный текст.
Поддерживается специальная переменная окружения SfxDir – полный путь к папке, в которую распакованы данные. Таким образом, последовательность символов %SfxDir% заменяется на полный путь к папке, в которую распакованы данные.
REBOOT=F – обязательно запрашивать перезагрузку системы в конце инсталляции, даже если он не инициируется инсталлятором.
REBOOT=S – отключить запрос на перезагрузку системы в конце инсталляции. Не блокировать рестарт в случае ForceReboot action.
REBOOT=R – полностью отключить все запросы на перезагрузку системы, включая ForceReboot action. Используется для установки нескольких продуктов и/или выполнения дополнительных действий после инсталляции. После этого перезапустить систему вручную или с помощью сторонних инструментальных средств.
MAX_SERVICE_START_TIMEOUT= … – время (в секундах) ожидания старта VPN сервиса (vpnsvc). Максимальное значение – 600 секунд. Значение по умолчанию – 120. Можно использовать для предотвращения появления сообщений об ошибке связи с сервисом на этапе логина для медленных и/или находящихся под сильной нагрузкой систем.
AGENT_DB_REMOVE=1 – автоматически (без дополнительных запросов) будет удаляться база локальных настроек при установке или при удалении продукта. Рекомендуется использовать для режима инсталляции silent.
AGENT_DB_REMOVE=0 – база локальных настроек удаляться не будет, запросы пользователю выдаваться не будут. По умолчанию (параметр пустой) – пользователю выдается запрос на удаление базы локальных настроек.
DISABLE_ANTIVIRUS_WARNING=1 – при инсталляции не будет показываться предупреждение 25036 (о необходимости отключения антивирусных программ).
Примечание: пользователь должен знать о необходимости отключения антивируса, иначе данный параметр использовать не следует.
REBOOT_REQUIRED=1 – принудительно инициировать запрос на рестарт системы в конце инсталляции. Параметр обычно выставляется автоматически (при необходимости).
DISABLE_CALL_LOGIN=1 – в конце инсталляции логин не запустится. Устанавливать параметр имеет смысл только для интерактивного логина (NON_INTERACTIVE_LOGIN=0).
GUI_BIO_RNG=1 – в настройках СКЗИ будет прописан GUI-вариант «биологической» инициализации ДСЧ (при инициализации ДСЧ надо будет нажимать на круг, меняющий свое местоположение на экране). По умолчанию – консольный вариант (нужно нажимать запрашиваемые клавиши).
VPNPROXY_DEFAULT_TCP_PORT – параметр DefaultTCPPort секции [Internal NAT] файла vpnproxy.ini. Допустимо задавать как для стандартного файла vpnproxy.ini, так и для заданного в make_inst пользовательского файла vpnproxy.ini (опция -vpnproxy_ini). Во втором случае данная настройка будет действовать для пользовательского файла. Допустимые значения – от 1 до 65535. Значение по умолчанию – 8080.
Примечание. Для успешного создания TCP-соединения партнёр должен слушать указанный TCP-порт. Для этого на стороне партнера в файле vpnproxy.ini, в секции HTTP должен быть задан параметр LocalPort, совпадающий с параметром DefaultTCPPort.
TOKEN_TYPE=etoken или rutoken – настройка типа токена.
TOKEN_LIB_PATH =полный путь к библиотеке токена (обычный путь к библиотеке токенов C:\Windows\System32 или C:\Windows\SysWow64). Можно использовать стандартное форматирование Windows Installer, например [SystemFolder]token_dll_name.dll ([SystemFolder] – полный путь к каталогу System).
Примечание: обязательно требуется выставлять оба параметра вместе (если выставить только один, он игнорируется). Данные настройки изменяют содержимое файлов skzi.conf и s_tknskills.ini в корневой папке продукта.
Примечание: настройки для работы с токенами могут быть выполнены с использованием меню File – Token Settings. Рекомендуется пользоваться каким-то одним способом.
Настройки по умолчанию выполнены для токенов JaCarta:
TOKEN_TYPE=etoken TOKEN_LIB_PATH=[SystemFolder]jcpkcs11-2.dll
Для других типов токенов предлагается использовать один из следующих вариантов:
Для eToken PRO 72K:
TOKEN_TYPE=etoken TOKEN_LIB_PATH=[SystemFolder]eTpkcs11.dll
Для Рутокен:
TOKEN_TYPE=rutoken TOKEN_LIB_PATH=[SystemFolder]rtPKCS11ECP.dll