Исходные данные:
- Astra Linux 1.8. Система подключена к домену Windows
- Доменный пользователь без прав админа в домене и без прав sudo в системе Astra Linux
- Ключ Крипто Про имеется на контейнере, записанном на флешку
- Под Astra Linux установлен Яндекс Браузер (корпоративный)
- Пользователь знает учетные данные локального админа системы. Команды, требующие прав админа, выполнял в терминале, перейдя командой su в профиль локального админа.
Порядок настройки:
- Установил инструменты Крипто Про 5 (cptools). (Версия 4, похоже, не имеет графического интерфейса, но мазохистам подойдёт).
а) с сайта cryptopro.ru скачал дистрибутив Крипто ПРО 5 версии Debian не сертифицированная. Распаковал в файловую систему компа.
б) в консоли выполнил команду sudo полныйпутьк_дистрибутиву/install.sh (очень важно не запускать установку с флешки).
в) В графическом интерфейсе называется «Инструменты криптопро».
- Установил считыватели в Крипто Про. От имени root выполнил:
dpkg -i libnpRutokenPlugin_4.10.1-1_amd64.deb //(для работы с флешкой возможно не требуется)
dpkg -i librtpkcs11ecp_2.17.1.0-1_amd64.deb - Установил контейнер и сертификат. Почему-то для подписания пользователь должен иметь доступ к контейнеру на запись. При монтировании флешки командой mount от имени админа не удается назначить пользователю права на запись к файлам ключа на флешке. Скопировал файлы ключа с флешки в /var/opt/cprocsp/keys/USER_NAME и дал пользователю права на запись (chown ИМЯ_ПОЛЬЗОВАТЕЛЯ) (без этого не работает подписание). В cptools установил сертификат пользователя.
- В Яндекс браузере установил плагин из магазина (запрашивает при первом подписании), скачал предложенные файлы плагинов с расширением .sh 1CCryptoExtensionChrFFSetupLin64.sh и 1CFileExtensionChrFFSetupLin64.sh. От имени админа присвоил этим файлам атрибут выполнения: ‘chmod 0777 имя_файла’ и запустил от имени конкретного пользователя файлы на выполнение.
После этого подписание выполнилось.
Автоматическое монтирование флешки настраивал по инструкции из https://wiki.astralinux.ru/pages/viewpage.action?pageId=44893307 , разместив в системе файл скрипта /usr/local/bin/usb-mount.sh и прописав в /etc/udev/rules.d/99-local.rules указанные в статье правила.
Помогло https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=19915 https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=9991&p=94