Aufbau einer Arbeitsumgebung für den Teilnehmerservice
Diese Anleitung richtet sich ausschließlich an die Teilnehmerservice-Mitarbeiter und ist nur aus Transparenzgründen hier öffentlich einsehbar.
Aufsetzen einer VM fuer die neue GUIRA
Pfade ..... und Passwörter
DISKPASSWORT und USERPASSWORT sind
natürlich anzupassen.
(_) und [_] heißen: Häkchen
nicht gesetzt bzw. explizit weggenommen.
(X) und [X] heißen: Häkchen
gesetzt.
Installation des VMware Workstation Player
Die Installation ist betriebssystemspezifisch.
Es braucht kein Licence Key eingegeben zu werden, siehe https://www.vmware.com/de/products/workstation-player/workstation-player-evaluation.html:
„Die kostenlose Version ist bis Version 16 für den nicht gewerblichen, persönlichen und privaten Gebrauch erhältlich. Wir empfehlen Studenten und gemeinnützigen Organisationen, dieses Angebot zu nutzen. Gewerbliche Organisationen benötigen zur Nutzung von Workstation Player eine gewerbliche Lizenz.“
Die Universität Münster ist nicht gewerblich tätig, denn es fehlt die Absicht zur Gewinnerzielung, siehe https://de.wikipedia.org/wiki/Gewerbe.
Konfiguration des VMware Workstation Player
Die VMware-Methoden, um Smartcards von Wirt und mehreren Gästen gleichzeitig nutzen zu können, funktionieren mit neueren eTokens nicht. Daher muss dieses Feature durch manuelle Einträge in der Konfigurationsdatei deaktiviert werden. Dann werden die eTokens wie alle anderen USB-Devices behandelt und können entweder dem Wirt oder einer einzelnen Virtuellen Maschine zugewiesen werden.
Unter Linux heißt die Konfigurationsdatei:
/etc/vmware/config
Zu ergänzen sind folgende zwei Zeilen:
usb.generic.allowCCID = "TRUE"
usb.ccid.disable = "TRUE"
Einrichten der VM "CA20"
Verwendet wird die aktuelle Xubuntu-Langzeit-Version 20.04 LTS in der 64-Bit-Desktop-Version (Download des ISO-Image 20.04.2.0 vom Mirror-Server der Uni Kaiserslautern).
VMware Workstation Player
Create a New Virtual Machine
Install operating system from:
(X) I will install the operating system later.
Next
Guest Operating System:
(X) Linux
Version: Ubuntu 64-bit
Next
Virtual Machine Name
Name: CA20
Location: /...../vmware/CA20
Next
Disk Size
Maximum disk size (in GB): 20,000
(X) Store virtual disk as a single file
Next
The virtual machine will be created with the following settings:
Customize Hardware...
Memory:
Memory for this virtual machine: 2048 MB
Processors:
Number of processor cores: 2
New CD/DVD (SATA):
(X) Use ISO image: /...../xubuntu-20.04.2.0-desktop-amd64.iso
USB Controller:
Connections
USB Compatibility: USB 2.0
(_) Automatically connect new USB devices
(_) Share Bluetooth devices with the virtual machine
Display:
3D Graphics
(_) Accelerate 3D graphics
Close
Finish
Power On
Installation des Betriebssystems
Welcome
Deutsch
Xubuntu installieren
Tastaturbelegung
German
German - German (dead tilde)
Weiter
Aktualisierungen und andere Software
[X] Während Xubuntu installiert wird Aktualisierungen ...
[_] Installieren Sie Software von Drittanbietern ...
Weiter
Installationsart
(X) Festplatte löschen und Xubuntu installieren
Erweiterte Funktionen ...
[X] LVM bei der neuen Xubuntu-Installation verwenden
[X] Die neue Xubuntu-Installation zur Sicherheit verschlüsseln
Ok
Jetzt installieren
Bitte einen Sicherheitsschlüssel auswählen:
Bitte einen Sicherheitsschlüssel auswählen: DISKPASSWORT
Bitte den Sicherheitsschlüssel bestätigen: DISKPASSWORT
[X] Freien Speicherplatz überschreiben
Jetzt installieren
Änderungen auf die Festplatten schreiben?
Weiter
Wo befinden Sie sich?
Berlin
Weiter
Wer sind Sie?
Ihr Name: Zertifizierungsstelle Universität Münster
Name Ihres Rechners: vmware
Wählen Sie einen Benutzernamen: wwuca
Ein Passwort auswählen: USERPASSWORT
Passwort wiederholen: USERPASSWORT
(X) Passwort zum Anmelden abfragen
Weiter
Installation
(abwarten)
Installation abgeschlossen
Jetzt neu starten
Please remove the installation medium, then press ENTER:
Virtual Machine (in der Menüleiste des Player)
Removable Devices | CD/DVD (SATA) | Settings ...
[_] Connect at power on
Save
(Entertaste)
Starten des Betriebssystems (wird immer wieder benötigt)
(VM einschalten) Please unlock disk sda6_crypt DISKPASSWORT Zertifizierungsstelle Universität Münster USERPASSWORT (Xubuntu-Desktop)
Ausschalten oder Neustarten (wird immer wieder benötigt)
Wo "Neustart erforderlich" steht, braucht man nicht sofort neu zu starten, sondern kann man erst noch weitere Installationsschritte durchführen.
Start-Menü
Standby-Symbol
Neustarten (oder) Ausschalten
Aktualisieren des Betriebssystems (wird immer wieder benötigt)
(Nicht die Aktualisierungsverwaltung benutzen, die verstopft bisweilen die /boot-Partition)
Start-Menü
Terminal
wwuca@vmware:~$ sudo -i
[sudo] Passwort für wwuca: USERPASSWORT
root@vmware:~# apt -y update
root@vmware:~# apt -y upgrade --with-new-pkgs
root@vmware:~# apt -y autoremove
# (Dieser Befehl räumt alte Kernes und sonstige Software auf.)
Neustart erforderlich
Installieren weiterer notwendiger Xubuntu-Software
Start-Menü
Terminal
wwuca@vmware:~$ sudo -i
[sudo] Passwort für wwuca: USERPASSWORT
root@vmware:~# apt -y install open-vm-tools pcscd openjdk-11-jdk
# Optional weitere Software zur Nutzung der SOAP-Schnittstelle mit PHP
root@vmware:~# apt -y install php-cli php-soap php-xml
# Optional weitere Software zur Einbindung eines Druckers ueber SMB
root@vmware:~# apt -y install smbclient python3-smbc
Neustart erforderlich
Installieren des Safenet Authentication Client (eToken-Treiber)
Start-Menü
Internetnavigator
Adresse eingeben: https://zivdav.wwu.de/ddfs
Anmelden mit persönlichen Zugangsdaten
Zugangsdaten nicht speichern
-> SOFT.ZIV
-> IVV
-> Security Devices (eToken, SmartCards)
-> eToken
-> SAC_10_7_77_Linux
-> SAC_10_7_77_Linux
-> GA - Build 77
-> Installation
-> Standard
-> DEB
-> safenetauthenticationclient-10.7.77_amd64.deb
[X] Datei speichern
OK
Browser schließen
Start-Menü
Terminal:
wwuca@vmware:~$ sudo -i
[sudo] Passwort für wwuca: USERPASSWORT
root@vmware:~# dpkg -i /home/wwuca/Downloads/safenetauthenticationclient_10.7.77_amd64.deb
Neustart erforderlich
Installieren der Teilnehmerservice-Oberfläche
Vorher den ggf. fälligen Neustart durchführen.
Start-Menü
Internetnavigator
Adresse eingeben: blog.pki.dfn.de
Link auf guira-3.3.zip (oder neuere Version) anklicken
(X) Datei speichern
Ok
Browser schließen
Start-Menü
Terminal:
wwuca@vmware:~$ unzip Downloads/guira-3.3.zip (oder neuere Version)
wwuca@vmware:~$ nano run-ca
(Der Editor zeigt unten die verfügbaren Befehle an)
---- Diese Datei anlegen: ----
#!/bin/bash
export JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64
export _JAVA_OPTIONS='-Dawt.useSystemAAFontSettings=gasp -Dswing.aatext=true -Dswing.metalTheme=steel -Dswing.defaultlaf=javax.swing.plaf.metal.MetalLookAndFeel -Dswing.boldMetal=true -Dswing.plaf.metal.controlFont=Monospaced -Dswing.plaf.metal.userFont=Monospaced'
cd
dir="$(/bin/ls -1trd /home/wwuca/guira-*|fgrep -v .zip|tail -n 1)"
/bin/cp /home/wwuca/.dfn-pki/configuration.xml-fix /home/wwuca/.dfn-pki/configuration.xml
exec "$dir/guira-linux.sh"
---- Ende der Datei ----
Abspeichern mit ^O Enter ^X
wwuca@vmware:~$ chmod +x run-ca
Rechtsklick auf Start-Menü
Leiste
Neue Elemente hinzufügen
"Starter" mit der Maus rechts neben das Start-Menü-Icon ziehen
Schließen
Rechtsklick auf das neue Starter-Icon
Eigenschaften
Symbol "Rechteck mit Plus" (Neues Objekt hinzufügen) anklicken
Name: GUIRA
Kommentar: TS-Oberfläche starten
Befehl: /home/wwuca/run-ca
Arbeitsverzeichnis: /home/wwuca
Symbol:
Symbolwahl aus: Alle Symbole
emblem-default (oder anderes Symbol nach Wahl)
OK
Erstellen
Schließen
eToken an die Virtuelle Maschine anschließen
eToken am USB-Port der realen Maschine anschließen Es erscheint ein Icon unten im Player-Fenster (Das Icon ist abhängig vom eToken-Typ) Anklicken | Connect (Eventuell:) The specified device is in use ...: OK
Einrichtung des eigenen eToken in der TS-Oberfläche
GUIRA-Icon (Falls das Fenster "Neue CA" nicht direkt erscheint: Datei | Neue CA) (X) Das RA-Zertifikat von einer SmartCard/Token verwenden Weiter PKCS#11-Bibliothek: /usr/lib/libeToken.so Benutzer-PIN: (die PIN des eToken) Weiter Bitte wählen Sie das ...: Eigenes Zertifikat anklicken Weiter
Aktivieren der schnellen Bildschirmsperre
Start-Menü
Einstellungen
Energieverwaltung
Bildschirm:
Schwarzer Bildschirm nach: 1 Minute
Energiesparmodus nach: 2 Minuten
Ausschalten nach: 3 Minuten
Schließen
Bildschirmschoner
Bildschirmschoner
Betrachte den Computer als inaktiv nach: 1 Minute
Schließen
Icon zur sofortigen Bildschirmsperre
Rechtsklick auf Start-Menü
Leiste
Neue Elemente hinzufügen
"Aktionsknöpfe" mit der Maus rechts neben die Uhrzeit ziehen
Schließen
Rechtsklick auf das neue Feld "Zertifizierungsstelle Universität Münster"
Eigenschaften
Erscheinungsbild: Aktionsknöpfe
Aktionen:
[X] Bildschirm sperren
[_] bei allen anderen (optional)
Schließen
Einstellungen sichern
Obiges Skript run-ca setzt die Konfiguration der
Teilnehmerservice-Oberfläche bei jedem Start auf gespeicherte
Standardeinstellungen zurück, falls solche vorhanden sind.
Um alle aktuelle Einstellungen (konfigurierte Zertifizierungsstelle genauso wie wie Fenstergröße und -position) als neue Standardeinstellungen zu speichern, schließt man die (nicht maximierte!) Teilnehmerservice-Oberfläche und kopiert die Einstellungen-Datei:
/bin/cp /home/wwuca/.dfn-pki/configuration.xml /home/wwuca/.dfn-pki/configuration.xml-fix
Solange keine Konfiguration so gespeichert ist, darf die Teilnehmerservice-Oberfläche beim Schließen nicht maximiert sein, denn sonst wird sie mit einer Größe von 1×1 Pixeln wieder geöffnet! (Bug)