Aufbau einer Arbeitsumgebung für den Teilnehmerservice

Diese Anleitung richtet sich ausschließlich an die Teilnehmerservice-Mitarbeiter und ist nur aus Transparenzgründen hier öffentlich einsehbar.

Aufsetzen einer VM fuer die neue GUIRA

Pfade ..... und Passwörter DISKPASSWORT und USERPASSWORT sind natürlich anzupassen.

(_) und [_] heißen: Häkchen nicht gesetzt bzw. explizit weggenommen.

(X) und [X] heißen: Häkchen gesetzt.

Installation des VMware Workstation Player

Die Installation ist betriebssystemspezifisch.

Es braucht kein Licence Key eingegeben zu werden, siehe https://www.vmware.com/de/products/workstation-player/workstation-player-evaluation.html:

„Die kostenlose Version ist für den nicht gewerblichen, persönlichen und privaten Gebrauch erhältlich. Wir empfehlen Studenten und gemeinnützigen Organisationen, dieses Angebot zu nutzen. Gewerbliche Organisationen benötigen zur Nutzung von Workstation Player eine gewerbliche Lizenz.“

Die WWU ist nicht gewerblich tätig, denn es fehlt die Absicht zur Gewinnerzielung, siehe https://de.wikipedia.org/wiki/Gewerbe.

Konfiguration des VMware Workstation Player

Die VMware-Methoden, um Smartcards von Wirt und mehreren Gästen gleichzeitig nutzen zu können, funktionieren mit neueren eTokens nicht. Daher muss dieses Feature durch manuelle Einträge in der Konfigurationsdatei deaktiviert werden. Dann werden die eTokens wie alle anderen USB-Devices behandelt und können entweder dem Wirt oder einer einzelnen Virtuellen Maschine zugewiesen werden.

Unter Linux heißt die Konfigurationsdatei: /etc/vmware/config

Zu ergänzen sind folgende zwei Zeilen:

usb.generic.allowCCID = "TRUE"
usb.ccid.disable = "TRUE"

Einrichten der VM "CA20"

Verwendet wird die aktuelle Xubuntu-Langzeit-Version 20.04 LTS in der 64-Bit-Desktop-Version (Download des ISO-Image 20.04.2.0 vom Mirror-Server der Uni Kaiserslautern).

VMware Workstation Player
  Create a New Virtual Machine
    Install operating system from:
      (X) I will install the operating system later.
      Next
    Guest Operating System:
      (X) Linux
      Version: Ubuntu 64-bit
      Next
    Virtual Machine Name
      Name: CA20
      Location: /...../vmware/CA20
      Next
    Disk Size
      Maximum disk size (in GB): 20,000
      (X) Store virtual disk as a single file
      Next
    The virtual machine will be created with the following settings:
      Customize Hardware...
        Memory:
          Memory for this virtual machine: 2048 MB
        Processors:
          Number of processor cores: 2
        New CD/DVD (SATA):
          (X) Use ISO image: /...../xubuntu-20.04.2.0-desktop-amd64.iso
        USB Controller:
          Connections
            USB Compatibility: USB 2.0
            (_) Automatically connect new USB devices
            (_) Share Bluetooth devices with the virtual machine
        Display:
          3D Graphics
            (_) Accelerate 3D graphics
        Close
      Finish
    Power On

Installation des Betriebssystems

Welcome
  Deutsch
  Xubuntu installieren
Tastaturbelegung
  German
  German - German (dead tilde)
  Weiter
Aktualisierungen und andere Software
  [X] Während Xubuntu installiert wird Aktualisierungen ...
  [_] Installieren Sie Software von Drittanbietern ...
  Weiter
Installationsart
  (X) Festplatte löschen und Xubuntu installieren
  Erweiterte Funktionen ...
    [X] LVM bei der neuen Xubuntu-Installation verwenden
    [X] Die neue Xubuntu-Installation zur Sicherheit verschlüsseln
    Ok
  Jetzt installieren
Bitte einen Sicherheitsschlüssel auswählen:
  Bitte einen Sicherheitsschlüssel auswählen: DISKPASSWORT
  Bitte den Sicherheitsschlüssel bestätigen: DISKPASSWORT
  [X] Freien Speicherplatz überschreiben
  Jetzt installieren
Änderungen auf die Festplatten schreiben?
  Weiter
Wo befinden Sie sich?
  Berlin
  Weiter
Wer sind Sie?
  Ihr Name: Zertifizierungsstelle Universität Münster
  Name Ihres Rechners: vmware
  Wählen Sie einen Benutzernamen: wwuca
  Ein Passwort auswählen: USERPASSWORT
  Passwort wiederholen: USERPASSWORT
  (X) Passwort zum Anmelden abfragen
  Weiter
Installation
  (abwarten)
Installation abgeschlossen
  Jetzt neu starten
Please remove the installation medium, then press ENTER:
  Virtual Machine (in der Menüleiste des Player)
    Removable Devices | CD/DVD (SATA) | Settings ...
      [_] Connect at power on
      Save
  (Entertaste)

Starten des Betriebssystems (wird immer wieder benötigt)

(VM einschalten)
Please unlock disk sda6_crypt
  DISKPASSWORT
Zertifizierungsstelle Universität Münster
  USERPASSWORT
(Xubuntu-Desktop)

Ausschalten oder Neustarten (wird immer wieder benötigt)

Wo "Neustart erforderlich" steht, braucht man nicht sofort neu zu starten, sondern kann man erst noch weitere Installationsschritte durchführen.

Start-Menü
  Standby-Symbol
    Neustarten (oder) Ausschalten

Aktualisieren des Betriebssystems (wird immer wieder benötigt)

(Nicht die Aktualisierungsverwaltung benutzen, die verstopft bisweilen die /boot-Partition)

Start-Menü
  Terminal
    wwuca@vmware:~$ sudo -i
    [sudo] Passwort für wwuca: USERPASSWORT
    root@vmware:~# apt -y update
    root@vmware:~# apt -y upgrade --with-new-pkgs
    root@vmware:~# apt -y autoremove
    # (Dieser Befehl räumt alte Kernes und sonstige Software auf.)

Neustart erforderlich

Installieren weiterer notwendiger Xubuntu-Software

Start-Menü
  Terminal
    wwuca@vmware:~$ sudo -i
    [sudo] Passwort für wwuca: USERPASSWORT
    root@vmware:~# apt -y install open-vm-tools pcscd openjdk-11-jdk
    # Optional weitere Software zur Nutzung der SOAP-Schnittstelle mit PHP
    root@vmware:~# apt -y install php-cli php-soap php-xml
    # Optional weitere Software zur Einbindung eines Druckers ueber SMB
    root@vmware:~# apt -y install smbclient python3-smbc

Neustart erforderlich

Installieren des Safenet Authentication Client (eToken-Treiber)

Start-Menü
  Internetnavigator
    Adresse eingeben: https://zivdav.wwu.de/ddfs
    Anmelden mit persönlichen Zugangsdaten
    Zugangsdaten nicht speichern
    -> SOFT.ZIV
    -> IVV
    -> Security Devices (eToken, SmartCards)
    -> eToken
    -> SAC_10_7_77_Linux
    -> SAC_10_7_77_Linux
    -> GA - Build 77
    -> Installation
    -> Standard
    -> DEB
    -> safenetauthenticationclient-10.7.77_amd64.deb
      [X] Datei speichern
      OK
    Browser schließen
Start-Menü
  Terminal:
    wwuca@vmware:~$ sudo -i
    [sudo] Passwort für wwuca: USERPASSWORT
    root@vmware:~# dpkg -i /home/wwuca/Downloads/safenetauthenticationclient_10.7.77_amd64.deb 

Neustart erforderlich

Installieren der Teilnehmerservice-Oberfläche

Vorher den ggf. fälligen Neustart durchführen.

Start-Menü
  Internetnavigator
    Adresse eingeben: blog.pki.dfn.de
    Link auf guira-3.3.zip (oder neuere Version) anklicken
      (X) Datei speichern
      Ok
    Browser schließen
Start-Menü
  Terminal:
    wwuca@vmware:~$ unzip Downloads/guira-3.3.zip (oder neuere Version)
    wwuca@vmware:~$ nano run-ca
      (Der Editor zeigt unten die verfügbaren Befehle an)
---- Diese Datei anlegen: ----
#!/bin/bash
export JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64
export _JAVA_OPTIONS='-Dawt.useSystemAAFontSettings=gasp -Dswing.aatext=true -Dswing.metalTheme=steel -Dswing.defaultlaf=javax.swing.plaf.metal.MetalLookAndFeel -Dswing.boldMetal=true -Dswing.plaf.metal.controlFont=Monospaced -Dswing.plaf.metal.userFont=Monospaced'
cd
dir="$(/bin/ls -1trd /home/wwuca/guira-*|fgrep -v .zip|tail -n 1)"
/bin/cp /home/wwuca/.dfn-pki/configuration.xml-fix /home/wwuca/.dfn-pki/configuration.xml
exec "$dir/guira-linux.sh"
---- Ende der Datei ----
      Abspeichern mit ^O Enter ^X
    wwuca@vmware:~$ chmod +x run-ca
Rechtsklick auf Start-Menü
  Leiste
    Neue Elemente hinzufügen
     "Starter" mit der Maus rechts neben das Start-Menü-Icon ziehen
     Schließen
Rechtsklick auf das neue Starter-Icon
  Eigenschaften
    Symbol "Rechteck mit Plus" (Neues Objekt hinzufügen) anklicken
      Name: GUIRA
      Kommentar: TS-Oberfläche starten
      Befehl: /home/wwuca/run-ca
      Arbeitsverzeichnis: /home/wwuca
      Symbol:
        Symbolwahl aus: Alle Symbole
        emblem-default (oder anderes Symbol nach Wahl)
        OK
      Erstellen
    Schließen

eToken an die Virtuelle Maschine anschließen

eToken am USB-Port der realen Maschine anschließen
Es erscheint ein Icon unten im Player-Fenster
  (Das Icon ist abhängig vom eToken-Typ)
Anklicken | Connect
(Eventuell:) The specified device is in use ...: OK

Einrichtung des eigenen eToken in der TS-Oberfläche

GUIRA-Icon
  (Falls das Fenster "Neue CA" nicht direkt erscheint: Datei | Neue CA)
  (X) Das RA-Zertifikat von einer SmartCard/Token verwenden
  Weiter
  PKCS#11-Bibliothek: /usr/lib/libeToken.so
  Benutzer-PIN: (die PIN des eToken)
  Weiter
  Bitte wählen Sie das ...: Eigenes Zertifikat anklicken
  Weiter

Aktivieren der schnellen Bildschirmsperre

Start-Menü
  Einstellungen
    Energieverwaltung
      Bildschirm:
        Schwarzer Bildschirm nach: 1 Minute
        Energiesparmodus nach: 2 Minuten
        Ausschalten nach: 3 Minuten
        Schließen
    Bildschirmschoner
      Bildschirmschoner
        Betrachte den Computer als inaktiv nach: 1 Minute
        Schließen

Icon zur sofortigen Bildschirmsperre

Rechtsklick auf Start-Menü
  Leiste
    Neue Elemente hinzufügen
     "Aktionsknöpfe" mit der Maus rechts neben die Uhrzeit ziehen
     Schließen
Rechtsklick auf das neue Feld "Zertifizierungsstelle Universität Münster"
  Eigenschaften
    Erscheinungsbild: Aktionsknöpfe
    Aktionen:
      [X] Bildschirm sperren
      [_] bei allen anderen (optional)
    Schließen

Einstellungen sichern

Obiges Skript run-ca setzt die Konfiguration der Teilnehmerservice-Oberfläche bei jedem Start auf gespeicherte Standardeinstellungen zurück, falls solche vorhanden sind.

Um alle aktuelle Einstellungen (konfigurierte Zertifizierungsstelle genauso wie wie Fenstergröße und -position) als neue Standardeinstellungen zu speichern, schließt man die (nicht maximierte!) Teilnehmerservice-Oberfläche und kopiert die Einstellungen-Datei:

/bin/cp /home/wwuca/.dfn-pki/configuration.xml /home/wwuca/.dfn-pki/configuration.xml-fix

Solange keine Konfiguration so gespeichert ist, darf die Teilnehmerservice-Oberfläche beim Schließen nicht maximiert sein, denn sonst wird sie mit einer Größe von 1×1 Pixeln wieder geöffnet! (Bug)