Портал документации Рутокен

Page tree

Перенос данных из SAM осуществляется при помощи утилиты IndeedCM.Migrate.SAM.exe, расположенной в дистрибутиве сервера RutokenKeyBox (каталог Misc\SAMMigration).

Для работы утилиты необходимо заполнить файлы конфигурации:

Заполнение файла конфигурации IndeedCM.Migrate.SAM.exe.config

Откройте файл ...SAMMigration\IndeedCM.Migrate.SAM.exe.config от имени администратора в текстовом редакторе (например, в Блокнот) и заполните следующие секции:

  • samSettings параметры подключения к хранилищу данных SAM:

MsCAConnectorId  идентификатор коннектора к Microsoft CA. Значение параметра можно найти в xml-файле коннектора в каталоге SAM. Значение по умолчанию: {1A30B883-CD69-4cbb-8D61-E72E9697D8B1}.

Путь по умолчанию C:\Program Files\SafeNet\Authentication\SAM\x64\Bin\MsCAConnectorDescriptor.xml

connectionString путь к  xml-файлу (в названии файла имя домена, в котором развернут SAM) c информацией для подключения к серверу SAM.

Путь по умолчанию  C:\ProgramData\SafeNet\Authentication\SAM\
  • migrateSAMSettings  параметры переноса данных.

ignoreCMCertificateTemplateNotFoundError  параметр импорта устройств. Может иметь два значения:

        • true из SAM импортируется устройство и только те сертификаты, находящиеся на нем, для которых в политике Рутокен KeyBox создан шаблон.
        • false  из SAM не импортируется устройство, если в политике Рутокен KeyBox нет хотя бы одного шаблона для сертификата, выпущенного в SAM.

При этом процесс импорта карт не останавливается ни в одном из случаев. Атрибут не обязательный, значение по умолчанию: "false".

notIssuedTokenAdminPin если ключевой носитель в SAM находится в состоянии "зарегистрирован" и ни разу не выпускался, то в этом параметре задается PIN-код администратора, который будет установлен на устройстве после переноса его в Рутокен KeyBox.

issuedTokenAdminPin если ключевой носитель в SAM находится в любом другом состоянии и выпускался без инициализации, то в параметре задается PIN-код администратора, который будет установлен на устройстве после переноса его в Рутокен KeyBox.

tokenTypes секция, в которой должны быть перечислены все устройства, которые необходимо перенести из SAM в Рутокен KeyBox. Необходимо указать модель устройства (токена, смарт-карты), product name, цвет устройства и значение ATR (Answer To Reset).

Значение ATR для каждого устройства можно получить у производителя или при помощи стороннего ПО, обратившись в службу технической поддержки.

Если при работе утилиты IndeedCM.Migrate.SAM.exe с хранилищем SAM встречается устройство с моделью и product name, которые не указаны в секции tokenTypes, то такие устройства не будут перенесены в хранилище Рутокен KeyBox, а утилита выведет соответствующую ошибку.

  • adPersistenceSettings параметры подключения к хранилищу данных Рутокен KeyBox, расположенному в Active Directory. Содержимое секции должно полностью совпадать с содержимым одноименной секции файла конфигурации Консоли управления Рутокен KeyBox (icm\Web.config).

  • sqlPersistenceSettings параметры подключения к хранилищу данных Рутокен KeyBox в среде Microsoft SQL. По умолчанию секция закомментирована символами: <! - - . . . - ->. Содержимое секции должно полностью совпадать с содержимым одноименной секции файла конфигурации Консоли управления Indeed CM (icm\Web.config).

  • adUserCatalogSettings параметры подключения к каталогу пользователей Рутокен KeyBox, расположенному в Active Directory. Содержимое секции должно полностью совпадать с содержимым одноименной секции файла конфигурации Консоли управления Рутокен KeyBox (icm\Web.config).

Сохраните внесенные изменения.

Пример заполненных секций файла IndeedCM.Migrate.SAM.exe.config приведен ниже. В примере SAM развернут в домене demo.local, хранилище SAM, Рутокен KeyBox и каталог пользователей в Active Directory.
Пример заполненных секций:

<samSettings MsCAConnectorId="{1A30B883-CD69-4cbb-8D61-E72E9697D8B1}"
connectionString="C:\ProgramData\SafeNet\Authentication\SAM\demo.local.xml" />
<migrateSAMSettings ignoreCMCertificateTemplateNotFoundError="true"
notIssuedTokenAdminPin="adminpass"
issuedTokenAdminPin="adminpass2">
<tokenTypes>
<tokenType model="Token 12.0.0.0 12.0.12"
productName="SafeNet eToken 5110"
color="8"
atr="3bd5180081313a7d8073c8211030" />
<tokenType model="Token JC"
productName="eToken PRO Java 72K OS755"
color="4"
atr="3bd518008131fe7d8073c82110f4" />
</migrateSAMSettings>
<adPersistenceSettings path="LDAP://CN=Indeed CM,CN=Indeed Identity,
DC=demo,DC=local" userName="DEMO\cmadmin" password="Password1"
cryptoAlgName="AES"
cryptoKey="11d2f5051684451860ad177ebc39b55cacaf2a0a843b05ddf273b955c93ae015" />
<adUserCatalogSettings>
<rootContainers>
<container path="LDAP://OU=SAM_USERS,DC=demo,DC=local" userName="DEMO\cmadmin"
password="Password1" />
</rootContainers>
</adUserCatalogSettings>

Заполнение файла конфигурации unity.config

Откройте файл ...SAMMigration\unity.config от имени администратора в текстовом редакторе (например, в Блокнот) и заполните секцию container:

  • Все строки до <register type="ISAMDbContext". . . /> должны совпадать с теми, что указаны в файле конфигурации Консоли управления Рутокен KeyBox (icm\unity.config).

Добавлять секции, которых по умолчанию нет в unity.config утилиты миграции (но есть в icm\unity.config) не нужно.

  • register type="IMigrateReporter" mapTo="IndeedCM.Migrate.SAM.Reporter.CSVMigrateReporter, IndeedCM.Migrate.SAM"/> – определяет режим вывода отчета по работе утилиты миграции.

Если секция не закомментирована символами <! - - . . . - ->, то отчет будет записываться в csv-файл, созданный в папке расположения утилиты с именем IndeedCM.Migrate.SAM.Report_dd-MM-yyyy_HH-mm-ss.csv. По умолчанию отчет не будет создаваться.

  • <register type="IMigrateReporter" mapTo="IndeedCM.Migrate.SAM.Reporter.NullMigrateReporter, IndeedCM.Migrate.SAM"/> – отключает создание отчета о работе утилиты миграции данных. По умолчанию секция закомментирована символами <! - - . . . - ->.

Использование двух активных секций с параметрами IndeedCM.Migrate.SAM.Reporter.CSVMigrateReporter, IndeedCM.Migrate.SAM и IndeedCM.Migrate.SAM.Reporter.NullMigrateReporter, IndeedCM.Migrate.SAM не допускается. Одна из них обязательно должна быть закомментирована или удалена.

Сохраните внесенные изменения.

В примере RutikenKeyBox развернут с использованием хранилища данных и каталога пользователей в Active Directory, разрешено создание отчета о работе утилиты миграции в csv-файле.
Пример заполненной секции файла unity.config:

<container>
    <register type="ICardRepository" mapTo="IndeedCM.Persistence.AD.CardRepository, IndeedCM.Persistence.AD" />
    <register type="IUserDataRepository" mapTo="IndeedCM.Persistence.AD.UserDataRepository, IndeedCM.Persistence.AD" />
    <register type="IPolicyRepository" mapTo="IndeedCM.Persistence.AD.PolicyRepository, IndeedCM.Persistence.AD" />
    <register type="ICardTypeRepository" mapTo="IndeedCM.Persistence.AD.CardTypeRepository, IndeedCM.Persistence.AD" />
    <register type="ILicenseRepository" mapTo="IndeedCM.Persistence.AD.LicenseRepository, IndeedCM.Persistence.AD" />
    <register type="ISkziRepository" mapTo="IndeedCM.Persistence.AD.SkziRepository, IndeedCM.Persistence.AD" />
    <register type="IUserCatalog" mapTo="IndeedCM.UserCatalog.AD.UserCatalog, IndeedCM.UserCatalog.AD" />
    <register type="ISAMDbContext" mapTo="IndeedCM.Migrate.SAM_8_0.Core.SAMDbContext, IndeedCM.Migrate.SAM_8_0" />
    <register type="ISAMHelpers" mapTo="IndeedCM.Migrate.SAM_8_0.Utils.SAMHelpers, IndeedCM.Migrate.SAM_8_0" />
    <register type="IMigrateReporter" mapTo="IndeedCM.Migrate.SAM.Reporter.CSVMigrateReporter, IndeedCM.Migrate.SAM" />
</container>

  • No labels