| КриптоПро TSP SDK: Групповые политики клиента |
Интерфейс клиентских приложений КриптоПро TSP может настраиваться с помощью групповых политик (group policy), описанных в файле административного шабона tspcli.adm. На компьютере, где установлен КриптоПро TSP Client, этот файл располагается в папке %SystemDir%\GroupPolicy\Adm и уже подключен в оснастке Групповая политика. Для настройки политик в домене потребуется скопировать шаблон на контроллер домена и подключить его в оснастке Групповая политика.
Все политики могут задаваться как для пользователя, так и для компьютера, причем политика компьютера имеет преимущество перед политикой пользователя. Политики располагаются в узле Крипто-Про\Клиент службы штампов времени. В настоящем разделе приводится описание этих групповых политик.
Для Unix-систем значения групповых политик задаются в конфиграционном файле. Задать или прочитать значение
политики можно с помощью утилиты cpconfig из состава КриптоПро CSP:
/opt/cprocsp/sbin/< arch >/cpconfig -ini "\config\cades\ocsppolicy" -add <тип значения> "<имя политики>" "<значение>"
Определяет, будет ли клиент по умолчанию включать поле 'nonce' в запросы на
штамп времени.
Имя в Unix: UseNonceByDefault, тип: bool.
Позволяет запретить клиенту включать поле 'nonce' в запросы на штамп.
См. также политику "Nonce: требовать использование поля 'nonce' в запросах".
Имя в Unix: DisableNonce, тип: bool.
Определяет размер поля 'nonce' (в байтах), включаемого клиентом в запросы.
Имя в Unix: NonceLength, тип: long.
Позволяет запретить клиенту отправлять запросы не имеющие поля 'nonce'.
См. также политику "Nonce: запретить использование поля 'nonce' в запросах".
Имя в Unix: RequireNonce, тип: bool.
Определяет идентификатор (OID) алгоритма хэширования, используемого клиентом по
умолчанию.
Значением, установленным политикой является часть строки до пробела, остальная
часть строки считается комментарием.
Имя в Unix: DefaultHashAlg, тип: string.
Определяет идентификаторы (OID) алгоритмов хэширования, которые не могут
использоваться клиентом службы штампов времени.
Если политика не задана, то запрещенные алгоритмы отсутствуют.
Запрещающая политика имеет больший приоритет, чем разрешающая.
Имя в Unix: HashAlgsDenied, тип: multistring.
Определяет алгоритмы хэширования, которые могут использоваться клиентом.
Если политика не задана, то разрешены все алгоритмы хэширования.
Имя в Unix: HashAlgsAllowed, тип: multistring.
Определяет типы аутентификации, которые запрещено использовать для подключения к
прокси-серверу.
Если необходимо, например, запретить соединения без использования SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
прокси-серверу при использовании SSL-соединения.
Если необходимо, например, запретить соединения с использованием SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Позволяет задать тип аутентификации, используемый по умолчанию при соединении с
прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.
Не поддерживается в Unix.
Позволяет задать тип аутентификации (с SSL), используемый по умолчанию при
соединении с прокси-сервером. Если данная политика не задана, то при соединении с
прокси-сервером будет использоваться анонимная аутентификация.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
службе штампов.
Если необходимо, например, запретить соединения без использования SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Определяет типы аутентификации, которые запрещено использовать для подключения к
службе штампов при использовании SSL.
Если необходимо, например, запретить соединения с использованием SSL, то можно
запретить все типы аутентификации в данной политике.
Не поддерживается в Unix.
Позволяет задать тип аутентификации, используемый по умолчанию для подключения к
службе штампов времени. Если данная политика не задана, то при подключении будет
использоваться анонимная аутентификация.
Не поддерживается в Unix.
Позволяет задать тип аутентификации (с SSL), используемый по умолчанию для
подключения к службе штампов времени. Если данная политика не задана, то при
подключении будет использоваться анонимная аутентификация.
Не поддерживается в Unix.
Определяет, нужно ли требовать наличия сертификата службы в штампе по умолчанию
(поле "CertReq" запроса на штамп времени).
Имя в Unix: DefaultCertReq, тип: bool.
Здесь можно указать допустимые идентификаторы (OID) политик службы штампов.
Клиент позволяет создавать запросы с указанием только разрешенных
идентификаторов политик.
Если политика не задана, то разрешены все идентификаторы.
Имя в Unix: AllowedPolicyID, тип: multistring.
Запретить задание идентификатора политики в запросах.
Имя в Unix: DisablePolicyID, тип: multistring.
Идентификатор политики в запросе по умолчанию.
Имя в Unix: DefaultPolicyID, тип: string.
Определяет адрес прокси-сервера, используемый по умолчанию при подключении к службе
штампов времени.
Формат адреса: "<протокол>://[<пользователь>:<пароль>@]<сервер>[:порт]". Здесь в
качестве протокола можно указать "http" или "https".
При указании имени пользователя и пароля в адресе прокси сервера также следует
задать соответствующий тип аутентификации в политике "Аутентификация
(прокси-сервер): тип по умолчанию" или "Аутентификация (прокси-сервер):
тип по умолчанию (с использованием SSL)".
Не поддерживается в Unix.
Определяет адреса разрешенных прокси-серверов.
Если политика не задана, то разрешены любые прокси-серверы.
Не поддерживается в Unix.
Определяет адрес службы штампов времени Microsoft по умолчанию.
Формат адреса: "<протокол>://[<пользователь>:<пароль>@]<сервер>[:порт][/путь]". Здесь в
качестве протокола можно указать "http" или "https".
Не поддерживается в Unix.
Определяет адреса служб штампов времени Microsoft, к которым может обращаться
клиентский ИПП службы штампов времени.
Если политика не задана, то разрешены любые службы штампов.
Не поддерживается в Unix.
Определяет адрес службы штампов времени по умолчанию.
Формат адреса: "<протокол>://[<пользователь>:<пароль>@]<сервер>[:порт][/путь]". Здесь в
качестве протокола можно указать "http" или "https".
При указании имени
пользователя и пароля в адресе службы штампов также следует задать тип
аутентификации в политике "Аутентификация: тип по умолчанию" или
"Аутентификация: тип по умолчанию (с использованием SSL)".
Имя в Unix: DefaultTSPURL, тип: string.
Определяет адреса служб штампов времени, к которым клиент может обращаться.
Если этот параметр задан, то обращение к не указанным в данной политике
службам приведет к ошибке.
Если политика не задана, то разрешены любые службы штампов.
Имя в Unix: AllowedTSPs, тип: multistring.
Данная политика определяет максимально возможное расхождение времени получения
штампа от службы штампов и времени, когда служба выдала штамп. Эта политика
используется в случае, если ни в запросе, ни в штампе не присутствует поле
'nonce', для подтверждения соответствия выданного штампа времени запросу на
него.
Значение задается в миллисекуднах.
Если расхождение больше, чем указано в политике, то штамп признается
некорректным.
Если политика не задана, то используется значение 3 минуты.
Имя в Unix: StampAccuracy, тип: long.