ПП "Дельта"

----------
Цитата

user-26107767486 пишет:
В тестовой среде всё работает, а в производственной только локально удаётся достучаться X
----------

Ничего дополнительно не настраивали в проде все используют Firefox.
Возможно у сетевиков порты закрыты вот и не можете достучаться до прода

Не могу запустить UAA на Win7x64

Что сделано:
- Развернул архив в корень диска,
- Внес в uaa/uaa.yml настройку на IP дельты,
- Добавил в БАТник set JRE_HOME.
Поначалу ругалась на TLD и, типа, из за этого не стартовала.
Отключил проверку TLD, на который ругалось раньше, теперь на TLD не ругается, но все равно не стартует.
Проверял на JRE 1.8.0 ... 231, 301 и 321 - результат одинаковый
В логах (с JRE 1.8.0 .321) следующее:
catalina.2022-04-06.log:
----------
Цитата

06-Apr-2022 13:44:55.888 INFO [main] org.apache.catalina.startup.HostConfig.deployDirectory Установка веб приложения в папку [C:\apache-tomcat-9.0.38\webapps\uaa]
06-Apr-2022 13:44:55.888 WARNING [main] org.apache.tomcat.util.digester.Digester.endElement No rules found matching [Context/JarScanFilter]
06-Apr-2022 13:44:58.197 SEVERE [main] org.apache.catalina.core.StandardContext.startInternal One or more Filters failed to start. Full details will be found in the appropriate container log file
06-Apr-2022 13:44:58.212 SEVERE [main] org.apache.catalina.core.StandardContext.startInternal Context [/uaa] startup failed due to previous errors
----------


localhost.2022-04-06.log
----------
Цитата

java.lang.UnsupportedClassVersionError: org/cloudfoundry/identity/uaa/web/BackwardsCompatibleScopeParsingFilter has been compiled by a more recent version of the Java Runtime (class file version 55.0), this version of the Java Runtime only recognizes class file versions up to 52.0 (unable to load class [org.cloudfoundry.identity.uaa.web.BackwardsCompatibleScopeParsingFilter])
----------


Куда копать?

Нужна Java 11

----------
Цитата

R@Z3R пишет:
https://www.banki.ru/away/?url=https%3...D3A42EkVUA
Тут в архиве есть инструкция по клоаке

----------


Пытаюсь найти инструкцию по настройке в архиве, но пока тщетно, слишком много информации
Может у кого-то уже настроено? Можете скинуть пример конфигов для application.yml и самого кейклока настройки? Был бы очень благодарен)

pashagreen, спасибо за подсказку.
Оно взлетело, но как то не до конца.
После логина выдает:
OAuth 2.0 Login with Spring Security
You are successfully logged in 25b5516c-6cd9-4ae8-85ba-2a4c7ddff2f5 via the OAuth 2.0 Client gateway

User Attributes:
user_id: 25b5516c-6cd9-4ae8-85ba-2a4c7ddff2f5
user_name: admin
given_name: John
family_name: Romero
email: admin@provider.com
email_verified: true
previous_logon_time:
name: John Romero
sub: 25b5516c-6cd9-4ae8-85ba-2a4c7ddff2f5

И ссылку на логаут.
Goole Chrome
Я помню, на банкире всплывал такой скриншот, но какие рекомендации давали, не помню совершенно.
Может кто подскажет?
«Файл недоступен»

Сам себя уточню:
Каритнку, как в предыдущем сообщении выдает только при логине под рутом.
И оператор, и админ, и АИБ логинятся нормально.

ROOT - атавизм? Под ним работать нельзя?

2 whitebrainless
Посмотрите, что у Вас в адресной строке, попробуйте в конце добавить порт дельты 8181
Ошибка говорит, о том, что Вы уже зашли под рутом

R@Z3R,
Картина поменялась.
После ввода логина/пароля рута выводится следующее сообщение:
----------
Цитата

Whitelabel Error Page
This application has no configured error view, so you are seeing this as a fallback.

Fri Apr 08 09:34:25 MSK 2022
There was an unexpected error (type=Internal Server Error, status=500).
[invalid_user_info_response] An error occurred reading the UserInfo Success response: [invalid_user_info_response] Insufficient scope for this resource
----------

И сразу - с регистром и раскладкой не ошибся.

Оболочка 2.5.8
Повторюсь: под operator, admin, aib интерфейс отображается нормально. Эффект наблюдается только под root.

Хотя, нормально под остальными пользователями - тоже условно. Как минимум не подтягиваются регистрационные данные, забитые в uaa.yml. Почта, имя и т.п.
Вопрос: а должны подтягиваться?

UPD
После десятка рестартов всей связки (причем, иногда сама дельта стартует не с первого раза) оно все же заработало (в т.ч. и под рутом).

А куда весь народ с банкира перебрался? Киньте ссылочку ПЛЗ. Можно в личку.
Здесь какое то мертвое болото.

https://t.me/PP_DELTA

подскажите пожалуйста ув. коллеги как перенести все на MS-SQL?
поэтапто, для савсем уж далеких ,как я :)
буду ждать, СпасибА.
из того что я нашел, - это офиц документация по расширению КО в которой вроде бы что то есть

кароче напишу тут сам, будет где искать а то по телеграмам лазить савсем не в кайф

итак задача перести базу с h2 на ms-sql
или же подругому.... запустить Дельту всю на SQLях

1/ сначала переводим саму дельту
создаем базу sql назавем ее delta (это просто, единственное указываем там Cyrillic_General_CI_AS) владелец sa..
2/находим в папке дельты файло delta.config и добавляем
delta.db.url=jdbc:sqlserver://х,х,х,х:1433;databaseName=delta
delta.db.username=sa
delta.db.password=isamiiymnii
delta.db.driver=com.microsoft.sqlserver.jdbc.SQLServerDriver
delta.db.startpostgresql=no
типа тут все

при запуске дельты смотрим логи, стираем их смотрим снова запукск и таак несколько раз..
кароче несколько запусков и дельта на базе сама чегото поделает посоздает, вобщем готово...

в интерфейсе программы настроек соединения с БД именно самой дельты я не нашел
там есть настройки БД для расширений.. но это позже.

3/далее расширение КО
опять создаем базу но уже название "deltako" (это просто, единственное указываем там Cyrillic_General_CI_AS) владелец sa..
а можно и в туже (даже в телеге рекомендуют все в одну, я тоже в одну все сделал)

на sql делаем по инструкции ЦБ
на базе delta или deltako
========================================
EXEC sp_addlogin 'Adminnsi', 'isamiiymnii2$', 'delta','russian'
EXEC sp_grantdbaccess 'Adminnsi', 'Adminnsi'
create schema delta_ko_nsi
grant alter on schema::delta_ko_nsi to Adminnsi
alter user Adminnsi with default_schema=delta_ko_nsi
grant cre ate to Adminnsi
grant select,update,insert,delete,references on schema::delta_ko_nsi to Adminnsi

========================================
EXEC sp_addlogin 'Adminsys', 'isamiiymnii2$', 'delta','russian'
EXEC sp_grantdbaccess 'Adminsys', 'Adminsys'
grant alter on schema::dbo to Adminnsi
alter user Adminsys with default_schema=dbo
grant cre ate to Adminsys
grant select,update,insert,delete,references on schema::dbo to Adminsys

строчки гоним по одной нажатием f5 и смотрим результаты положительные..

заходим через браузер/сайт в дельту и грузим там плагины(расширения)
они установятся и настроятся на свою базу встроенную...
включаем расширения, они должны стартануть на своей встроенной базе...

далее в настройках расширения КО прописываем строчки подключения к Базе данных adminnsi
там есть кнопка тест кстати...

таким образом 1 концом расширение уже цепанулась к SQL базе
вторым все еще на своей встроенной будет...

далее уже в самом расширении настраиваем путь к базе данных adminsys...
это резервное соединение SQL

далее несколько раз вкл/выкл расширение и вообще лучше перезагрузить комп с дельтой
и несколько раз повкл выключать расширение
если норм идем дальше , если нет смотрим логи расширений....

в принципе базы данных встроенные (а они находятся в папке db каталога Дельта можно и грохнуть/ненужны оны и в принципе файлы БД расширения (тоже находятся в папке db НО уже расширения) тоже можно грохнуть.... но высниться позже НЕЛЬЗЯ!

(интересно что при этом при запуске все равно создадутся файлы (2шт) какие то сервисные...
а в итоге после перезагрузки вообще расширение не запустится...)
КАРОЧЕ все это не трогать!!!!
( я пробовал так.... , чтобы точно убедится что соединение только на sql)

как то так.. все замутно...

1.единственное что я вынес, это расширения к sql подключать !не руками! а программой.
2. полностью расширение дельта у меня не отвязалась на SQL...

даже так, сам дельта да.... отвязалась, а вот расширение КО все равно продолжает зависить от базы данных h2 (встроенная)

вот теперь все понятно и по полкам, а то тут работает тут нет...

Коллеги, добрый день! Выкладываю ответы ТП ЦБ РФ для информации и понимаю общей картины:

Мой вопрос - какая криптография и для чего должна стоять на сервере Дельты.

Ответ :

"Сигнатура используется для отправки по каналу СВК, КриптоПро - для отправки по каналу ЛК.

На портал выложены 3 инструкции.
https://www.cbr.ru/lk_uio/fcsm/?utm_source=w&utm_content=page#t2

-Пилот (тест) ФОР через СВК
-Пилот (тест) ЛК
-Промышленный сбор (через СВК, кроме 310 формы в ЛК)

Сигнатура и КриптоПро устанавливаются на сервер ПП "Дельта". Кроме того на сервере должна быть также установлена "ППИ СКАД «Сигнатура» версия 6 для платформы Java". Данный дистрибутив расположен на официальном сайте Банка России: https://www.cbr.ru/development/mcirabis/itest/prikladnye-programmnye-interfeysy-skzi/

Обращаем внимание, что сначала должна быть установлена Сигнатура, а затем КриптоПро. Последовательность установки важна. В противном случае возможны конфликты двух СКЗИ.
"

Мой вопрос - Правильно ли я понимаю, что сервер Дельты должен смотреть и в открытый интернет и в защищенный сегмент ЦБ РФ ?

Ответ:
"Понимаете правильно.
Однако СВК планируется вывести из эксплуатации с 01.01.2023.
"

Мой вопрос - если СВК (читай сигнатура) будет работать только до 01.01.2023, то можно ли все отчеты, которые мы должны отправлять через СВК, просто выгружать из Дельты в папки, а отправлять "по старинке" ?

Ответ:
"Если под стандартными средствами имеется ввиду отправка через почтовый клиент, настроенный на ящик СВК, (например outlook), то технически все будет работать.
Квитанции придут на тот же ящик. Дальше нужно скачать квитанции из ответных писем распаковать (расшифровать если есть необходимость) и загрузить в ПП Дельта.
В таком случае Сигнатура не нужна на сервере Дельта.
"

-------------------------------------------------------------------------------------------------------------------

Так же запросил у вендоров СКЗИ о возможности реализации схемы, предложенной ЦБ (2 СКЗИ на однои сервере). Ответ от сигнатуры (От криптоПРО пока нет):

"Если Вы зададите это вопрос КриптоПРО, будет стандартный ответ: Использование 2-х СКЗИ на одном компьютере крайне не рекомендуется.

Тем не менее установка и использование двух СКЗИ на одном сервере (или АРМ) возможно. Но с некоторыми ограничениями.
Оба СКЗИ (КриптоПРО и Сигнатура) включают в себя модуль интеграции с ОС. И именно эти модули могут конфликтовать при одновременной установке двух СКЗИ.
Поэтому модуль интеграции с ОС (для КриптоПро это компонент “Криптопровайдер уровня ядра ОС”, для СКЗИ Сигнатура это компонент “СКЗИ СКАД Сигнатура TLS – Интеграция с ОС”) должен быть установлен только в одном из СКЗИ. В противном случае, будет конфликт этих компонент СКЗИ и невозможность загрузки ОС.

Я не знаю какие требования предъявляет ПС Дельта к СКЗИ и его компонентам – мы с не знакомы с этим ПО и не знаем как оно работает. Поэтому мне сложно сказать какие компоненты в каком СКЗИ Вам следует устанавливать. Вам нужно понять для каких целей будет использоваться каждое из СКЗИ и какие из компонентов СКЗИ Вам будут нужны.

При установке двух СКЗИ, также важна последовательность их установки. Мы рекомендуем сначала устанавливать СКЗИ Сигнатура, а потом СКЗИ КриптоПРО CSP
"

-----------------------------------------------------------------------------------------------------------------------

ИМХО мне видится самой красивой схема, вытекающая из 3-го ответа ЦБ. Да это будет чуть более трудозатратнее , но:
1. Это будет правильно с точки зрения фен-шуя
2. Не будет нарушать формуляров СКЗИ (не будет вопросов от ДБ/аудиторов)
3. Будет разрешен удаленный доступ на сервер для администрирования (все помним, что сервер с сигнатурой удаленку запрещает)

Коллеги, как и обещал - выкладываю инструкцию по начальной установке Дельта + UAA. Так же дополнительно имеется настройка на внешнюю MsSQL + HTTPS + FQDN
«Файл недоступен»

Коллеги, добрый день!
Кто-нибудь озадачивался - как на сетевой версии централизованно настроить справочники Сигнатуры, чтобы не загружать их отдельно в профиль каждого пользователя?
Причем выяснилось, что в базу данных загружаются не пути к справочникам, а сами справочники целиком, поэтому при каждой плановой/внеплановой смене ключей справочники придется грузить повторно, что будет весьма напряжно при большом количестве пользователей..

----------
Цитата

user-95018285151 пишет:
Коллеги, добрый день!
Кто-нибудь озадачивался - как на сетевой версии централизованно настроить справочники Сигнатуры, чтобы не загружать их отдельно в профиль каждого пользователя?
Причем выяснилось, что в базу данных загружаются не пути к справочникам, а сами справочники целиком, поэтому при каждой плановой/внеплановой смене ключей справочники придется грузить повторно, что будет весьма напряжно при большом количестве пользователей X
----------

В итоге задали вопрос в поддержку ЦБ, ответили что функционал централизованной настройки справочников Сигнатуры будет в следующем релизе Дельты.

----------
Цитата

user-95018285151 пишет:

В итоге задали вопрос в поддержку ЦБ, ответили что функционал централизованной настройки справочников Сигнатуры будет в следующем релизе Дельты.
----------


Спасибо за информацию. Тоже интересно было, когда же допилят функционал. Еще бы сами справочники централизовано рассылали, а то приходится каждый выковыривать с ФТП сервера.

Вопрос к ЦБ РФ.
Когда закончатся издевательства над банками в виде сдачи отчетности СОБС (бывший ФОР) с ключами СКАД Сигнатура ?
Все отчетности можно сдать с ключами формата КриптоПро, НО вот почему то СОБС сдается с ключами СКАД Сигнатура.
Если уже Вы заявили, что сдавать отчетность можно с любыми ключами, будьте так любезны сделать отчетность СОБС с ключами формата КриптоПро.
.

----------
Цитата

jenyok2 пишет:
Все отчетности можно сдать с ключами формата КриптоПро, НО вот почему то СОБС сдается с ключами СКАД Сигнатура.
----------

Откуда тая информация? На данный момент только отчетность по ф. 310 подписывается УКЭП с использованием КриптоПро и передачей в ЛК УИО.
Остальная с использованием СКАД Сигнатура и в СВК.

Банк всю отчетность сдает с ключами формата КриптоПро, кроме СОБС (ФОР).
Без проблем.
.