Розділ 6. Довідник адміністратора

У «Довіднику адміністратора» описано способи налаштування Kleopatra, доступ до яких не можна отримати за допомогою графічного інтерфейсу: ці параметри налаштовуються лише за допомогою файлів налаштування.

У цьому розділі ми припускаємо, що читач знайомий з технологіями, які використовуються у налаштуванні програм KDE, зокрема компонуванням вікна програми, структурою файлової системи і ієрархією файлів налаштування KDE, а також оболонкою KIOSK.

Налаштування майстра створення сертифікатів

Налаштування полів DN

Kleopatra надає вам змогу налаштувати поля, значення яких буде дозволено вводити користувачеві для створення власного сертифіката.

Створіть групу з назвою CertificateCreationWizard у загальносистемному файлі kleopatrarc. Якщо вам потрібен специфічний порядок атрибутів, або якщо вам потрібно, щоб у списку атрибутів були лише певні записи, створіть у файлі ключ з назвою DNAttributeOrder. Аргументом ключа може бути одне або декілька значень, CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,EMAIL Якщо ви бажаєте, щоб якесь з полів початково містило певне значення, введіть щось на зразок Атрибут=значення. Якщо вам потрібно, щоб програма вважала атрибут необхідним, додайте знак оклику (наприклад CN!,L,OU,O!,C!,EMAIL!, які є типовими у налаштуваннях).

За використання режиму KIOSK модифікатор $e надає змогу отримувати значення зі змінних середовища і виводу скрипту або бінарного файла. Якщо ви бажаєте заборонити редагування відповідного поля, скористайтеся модифікатором $i. Якщо ви бажаєте заборонити використання кнопки Вставити мою адресу встановіть для змінної ShowSetWhoAmI значення false.

Підказка

Природа оболонки KIOSK KDE за використання прапорця блокування ($i) зробить неможливим для користувача зняття цього прапорця. Так зроблено навмисне. Прапорцями $i і $e можна скористатися і у інших ключах налаштування програм KDE.

У наведеному нижче прикладі у загальних рисах показано можливості налаштування:

[CertificateCreationWizard]
;Заборонити копіювання особистих даних з адресної книги, не дозволяти локальне перевизначення
ShowSetWhoAmI[$i]=false

;встановити значення імені користувача рівним змінній $USER
CN[$e]=$USER

;встановити назву компанії «Моя компанія», заборонити зміну назви
O[$i]=Моя компанія

;встановити назву відділу у значення, яке буде повернуто скриптом
OU[$ei]=$(lookup_dept_from_ip)

; встановити назву країни у значення UA, але дозволити зміну назви користувачем
C=UA

Обмеження типів ключів, які може створювати користувач

Крім того, Kleopatra надає змогу обмежити тип сертифікатів, які може створювати користувач. Однак, ви маєте пам’ятати, що ці обмеження дуже легко обійти за допомогою відповідних команд, відданих у командному рядку.

Алгоритми відкритих ключів

Щоб обмежити перелік алгоритмів, якими можна користуватися, додайте ключ налаштування PGPKeyTypeCMSKeyType, але для CMS все одно підтримується лише RSA) до розділу CertificateCreationWizard файла kleopatrarc.

Можливими значеннями є RSA для ключів RSA, DAS для ключів DSA (лише підписування) та DSA+ELG для ключів DSA (лише підписування) з підключем Elgamal для шифрування.

Типові значення буде прочитано з GpgConf або RSA, якщо у GpgConf не вказано типового значення.

Розмір відкритого ключа

Щоб обмежити перелік доступних розмірів ключів алгоритму створення відкритого ключа, додайте до ключ налаштування <Алгоритм>KeySizes (де Алгоритм може приймати значення RSA, DSA або ELG) до розділу CertificateCreationWizard файла kleopatrarc, зі списком відокремлених комами розмірів ключів (у бітах). Типовий розмір ключа позначається додаванням до відповідного запису знаку «мінус» (-).

RSAKeySizes = 1536,-2048,3072
            

Наведений вище запис обмежить дозволені розміри ключів RSA значеннями 1536, 2048 і 3072. Типовим буде значення 2048.

Окрім самих розмірів ключів, ви можете також вказати мітки для кожного з розмірів. Для цього просто встановіть значення ключа налаштування АлгоритмKeySizeLabels (слід вказати список відокремлених комами міток).

RSAKeySizeLabels = weak,normal,strong
            

У разі використання таких міток та попереднього прикладу матимемо такий набір варіантів:

weak (1536-бітовий)
              normal (2048-бітовий)
              strong (3072-бітовий)
            

Типовими значеннями будуть такі:

RSAKeySizes = 1536,-2048,3072,4096
              RSAKeySizeLabels =
              DSAKeySizes = -1024,2048
              DSAKeySizeLabels = v1,v2
              ELGKeySizes = 1536,-2048,3072,4096