Как работать с «определенными» токенами

В состав нашей крупной организации входит более пятидесяти различных юридических лиц, управляемых из единого центра. Бухгалтерия, соответственно, тоже централизованная. И вот уже два с лишним года это создаёт немалые проблемы.

Проблема «некопируемых» токенов

Каждому юридическому лицу соответствующий орган выдаёт один токен для подписи документов. Копировать его нельзя, что в принципе соответствует линейной логике государственного органа. Токен постоянно находится у ответственного сотрудника, который занимается всевозможной отчётностью. Другим он попросту не нужен.

Но реальность часто бывает сложнее умозрительных построений. С чем мы и столкнулись.

Эпидемия привела к удалённой работе, а дистанционная схема — к децентрализации. Сотрудники разошлись по филиалам, разбросанным по всей области. Если раньше все бухгалтеры занимали три соседние комнаты в одном здании, то сейчас между ними десятки километров по пробкам.

Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. Сейчас это стало малореальным. Не гонять же курьера за тридевять земель и обратно — дорого и совершенно неэффективно.

Вернуться к сверхцентрализации? Вряд ли это разумно. Сотрудники уже привыкли работать поближе к дому, да и цены на московскую аренду кусаются.

Выход только один. Надо сделать «некопируемые» токены доступными для всех филиалов.

Решение проблемы — USB over IP

Суть технологии USB over IP заключается в предоставлении дистанционного доступа к USB-устройствам, подключенным к специальному концентратору. Разумеется, при условии, что сам концентратор «виден» пользователю.

Таким образом, теоретически решение проблемы выглядит так. В головном офисе устанавливается концентратор, к которому подключаются все токены. При необходимости подписать какой-либо отчёт сотрудник филиала пользуется соответствующим токеном так, как будто бы ключ физически воткнут в локальный порт его машины.  

Выбор концентратора

Предварительно анализировались три решения: программа FabulaTech, концентратор Digi AnywhereUSB и концентратор DistKontrolUSB. Прежде всего интересовала стоимость одного порта при использовании ста портов. Тут картина получилась такая.

Самым дорогим оказался Digi AnywhereUSB. Стоимость одного порта — более 16 тыс. рублей. Получается, нам придётся выложить больше миллиона. Сумма, честно говоря, не особенно приятная.

FabulaTech подешевле — около 13 тыс. рублей за порт. Но это без учёта расходов на сам компьютер и хабы. За миллион вряд ли перевалим, но получится что-то близкое к этому. Тоже недёшево.

К тому же, что греха таить, импорт — это санкционные риски. А мы политикой не занимаемся — мы деньги зарабатываем.

Стоимость одного порта, при использовании старшей модели DistKontrolUSB-64, начинается от 2.5 тыс. рублей. Нам необходимо решение 16-ти портовой модели, стоимость одного порта составит около 6 тыс.руб. Таким образом, всё решение обойдётся нам примерно в 100 тыс. рублей. Разница с предыдущими вариантами слишком заметная. А поскольку устройство разрабатывается и производится в России, то политических рисков вовсе нет.

DistKontrolUSB — первое знакомство

Существенное достоинство DistKontrolUSB — гарантия совместимости с токенами, так как концентратор «пробрасывает» сам порт, а не эмуляцию USB-устройства, следовательно, ему не особо важно, что находится в пробрасываемом порту. Если есть какие-то сомнения, то можно приехать в офис разработчика и лично убедиться, что всё работает. И вообще потрогать товар руками и посмотреть глазами, что часто бывает очень важно.

Например, мы планируем устанавливать концентратор на стол, расположенный в кабинете главного бухгалтера. По ряду причин размещение в стойку нам не подходит.

3db6838503b8f0d41a66b91e63e70f19.jpg

Для настольной установки DistKontrolUSB комплектуется специальными резиновыми «ножками», а его корпус выполнен из металла. Для физической защиты токенов, как дополнительная опция, предназначены металлические кожухи глубиной 10 см. Благодаря этому нет необходимости обращаться с концентратором, как с хрустальной вазой. Хотя, безусловно, ронять на пол его не стоит.

Важно и то, что корпус универсален. Если мы решим переместить устройство в стойку, то никаких переделок или дополнительных покупок не потребуется. Крепления для стойки 19» идут в комплекте с концентратором, что, в свою очередь, очень приятно.

cc8ef888822df8a784795d7e4ca94899.jpg

Что касается скорости монтажа, то мы решили заранее проверить, сколько времени у нас займёт перенос концентратора со стола в стойку. Оказалось — примерно 10 минут. И это с первой попытки без помощи специалистов компании-разработчика.

Практика — критерий истины

Сразу после установки и подключения к сети DistKontrolUSB работает в режиме «всё доступно всем». По умолчанию все порты находятся в одной группе без каких-либо ограничений прав. Понятно, что главбуха этот не устроило, поскольку в финансовых делах порядок должен быть.

882f4fee0a29e1f2cf77316df76c2240.jpg

С другой стороны, ему не нравилась старая схема, когда каждый токен приходилось выдавать под роспись. Это отнимает слишком много времени, а главбуху и так есть, чем заняться. Методом проб и ошибок пришли к следующей схеме.

Из всех сотрудников, которым должны быть доступны токены, были сформированы группы, причём некоторые работники вошли сразу в несколько групп. Соответственно для каждой группы был разрешён доступ только к тем ключам, которые могут понадобиться. Но доступ к портам по группам, не совсем то, что нужно, поэтому можно, и мы это сделали, «разграничить» права между портами и пользователями в этой самой группе. А чтобы не возникло путаницы назвали каждый ключ по имени его обладателя, а «лишние» порты были убраны в отдельную группу и сделаны невидимыми всем пользователям.

Вопреки нашим опасениям со стороны сотрудников бухгалтерии никаких проблем не возникло. Переход от физического доступа к дистанционному прошёл практически незаметно. Рост количества обращений в техническую поддержку был примерно такой же, как и при прочих новшествах, причём все они были обусловлены не отказами оборудования, а обычным страхом пользователей перед чем-либо непривычным. Через неделю всё пришло в норму.

Спустя некоторое время выяснилось, что некоторые сотрудники не могут получить доступ к ключам. Оказалось, что главбух выключал концентратор, когда был вынужден отлучиться куда-либо по делам и не планировал вернуться в тот же день. Оставлять работающие устройства на ночь он категорически отказывался, поскольку мало ли что.

Проблема была решена при помощи настроек. Сформировали задание, согласно которому отключение всегда производилось в одно и то же время в конце рабочего дня. Главбуха это вполне устроило, тем более, что он ежедневно получал уведомление об отключении концентратора.

Итоги и планы

Благодаря концентратору DistKontrolUSB мы благополучно справились с проблемой «некопируемых» токенов. При этом каких-либо принципиальных сложностей у нас не возникло — все возникающие вопросы решались в рабочем порядке.

В настоящее время обсуждается идея полного отказа от выдачи на руки любых токенов, включая внутренние. Потому что так удобней.

© Habrahabr.ru