воскресенье, 25 марта 2018 г.

Wyse ThinOS шифрование паролей в wnos.ini

Тем, кто работал с тонкими клиентами Dell Wyse с ОС ThinOS, должно быть известно о возможности настройки ТК через конфигурационный файл wnos.ini, загружаемый по сети с FTP или HTTP сервера.

Помимо разнообразных параметров, позволяющих задать настройки подключения, добавлять сертификаты, отключать периферийные устройства, wnos.ini позволяет включить режим ограниченной функциональности, запрещающий рядовым пользователям редактировать настройки ТК, а также, при необходимости, указать имя и пароль административной учетной записи для переключения ТК в привелигированный режим.

Включение режима ограниченной функциональности задается при помощи добавления строки
PRIVILEGE=[None, Low, High]
, где значение High - режим по умолчанию, позволяющий изменять на ТК любые настройки;
значение Low - отключает возможность изменения настроек подключения и сетевых параметров, оставляя настройки периферийных устройств и инструменты для траблшутинга;
значение None - полностью запрещает изменять любые настройки ТК, переведя его в режим киоска.

Для включения возможности переключения ТК из Low или None режима обратно в High используется:
AdminMode={no, yes} [admin-username=<encrypted_ username>] [admin-password=<encrypted_ password>] [Username=<username>] [Password=<password>] [Enc-username=encrypted_username] [Enc-password=encrypted_password]
Вместе с настройкой можно задать ряд дополнительных параметров.

Username= и Password= позволяют указать имя и пароль, которые требуются ввести для переключения ТК в привелигированный режим.

Несмотря на то, что на самом ТК значение Password не отображается, в wnos.ini данный параметр хранится в открытом виде, поэтому пользователи могут легко узнать логин и пароль.

Для решения этой проблемы вместо параметров Username= и Password= можно использовать Admin-Username= и Admin-Password=, позволяющие задать имя и пароль в зашифрованном виде. Возникает закономерный вопрос - как же их зашифровать?

Раньше это можно было сделать довольно простым способом при помощи бесплатной утилиты Configuration Generator. Однако в новых версиях разработчик утилиты убрал данную возможность, и сейчас при создании файла wnos.ini в параметрах Admin-Username и Admin-Password значения указываются в виде виде plain text, что не подходит. Поэтому остается вариант, предлагаемый производителем ТК.

Для начала в конфигурационном файле wnos.ini требуется задать параметры Enc-Username и Enc-Password для включения учетной записи администратора шифрования. Ирония состоит в том, что значения Enc-Username и Enc-Password также должны быть указаны в зашифрованном виде, однако, к счастью, для шифрования используется старый алгоритм. Для получения зашифрованного пароля вы можете воспользоваться указанной выше утилитой. Вставьте полученные значения в wnos.ini и загрузите конфигурацию на ТК.

Либо используйте вот эти значения (логин/пароль: user/user):
Enc-Username=lFnoRgS26LaVU Enc-Password=lFnoRgS26LaVU
Теперь при переключении ТК в административный режим появится кнопка AES Encrypt при помощи которой вы сможете зашифровать любую текстовую строку.

Последнее, что осталось сделать - это бережно переписать зашифрованные строки в конфигурационный файл wnos.ini и выполнить сброс настроек на ТК (factory reset). В примере используется зашифрованное значение adm для имени и пароля администратора:
AdminMode=yes Admin-Username=MJMKFNKBPACHAAHMPPNPAJDJMKMEPHCA Admin-Password=MJMKFNKBPACHAAHMPPNPAJDJMKMEPHCA ShowAdmin=yes
Последний совет - не указывайте в wnos.ini одновременно параметры Password, Admin-Password, Enc-Password, т.к. Enc-Username и Enc-Password всегда имеют приоритет над остальными параметрами.

Комментариев нет:

Отправить комментарий