Работа через тонкий клиент – Инструкции по 1С от SCLOUD

Что такое виртуальные рабочие столы?

По большому счету, виртуализация рабочих столов — это попытка разделить «рабочее пространство» сотрудника и физическое устройство, с которого он работает. Компания организует в своей инфраструктуре вычислительный кластер (или арендует мощности), разворачивает платформу виртуализации и поднимает виртуальные машины для каждого сотрудника. В образе виртуальной машины имеется весь необходимый сотруднику софт.

Специалисты могут подключаться к своим виртуальным рабочим столам (и доступным им корпоративным ресурсам) с любых устройств — стационарных компьютеров, тонких клиентов, ноутбуков, планшетов. В принципе, можно использовать даже телефон — если удастся подключить к нему клавиатуру, мышь и монитор (некоторые энтузиасты реально работают в такой конфигурации).

• Простота обслуживания: на СХД хранятся заранее сконфигурированные образы виртуальных машин для каждого сотрудника или для рабочих групп со схожими обязанностями. Управляется все это централизованно, снижая нагрузку на IT-службу.
• Масштабируемость: если сотруднику внезапно потребовались вычислительные мощности или увеличение объема оперативной памяти, то ему не придется менять оборудование — администратор «отгрузит» нужные ресурсы.
• Отказоустойчивость: если устройство, с которого сотрудник подключается к виртуальной машине, выйдет из строя, то он просто подключится с другого, не потеряв ни данные, ни время.
• Безопасность. Особенно в случае использования технологии удаленных рабочих столов в паре с тонкими клиентами. Как вы понимаете, с точки зрения «Лаборатории Касперского» это главное преимущество. Поэтому его мы рассмотрим подробнее.

Автоматическое обновление средствами платформы 1С:Предприятие

При запуске информационной базы, подключенной в режиме «На веб-сервере» тонкий клиент 1С:Предприятие получает информацию о требуемой версии платформы и о расположении в интернете файла дистрибутива платформы, если он опубликован. Сервис 1С:БухОбслуживание всегда публикует дистрибутив актуальной версии тонкого клиента.

Установить «тонкий клиент» на Ваш компьютер:

В появившемся окне программы установки нажмите кнопку «Далее».

На следующей странице выберите необходимые для установки языки.

Затем выберите язык интерфейса (по умолчанию будет установлен язык, выбранный в операционной системе) и нажмите «Далее».

Нажмите «Установить» для запуска процесса установки.

После завершения установки, нажмите «Готово».

Примечание: платформа запуска 1С: Предприятие в облаке централизовано обновляется с некоторой периодичностью. Версии тонкого клиента и платформы, установленной на сервере, должны совпадать, следовательно, тонкий клиент требуется обновлять. Эта операция может проходить автоматически, для этого необходимо установить галку «Запуск от имени администратора» в свойствах ярлыка.

Перед запуском 1C Тонкий клиент требуется настроить запуск от имени администратора.

Для этого нажмите на ярлыке запуска правой кнопкой мыши и выберите «Свойства»

В открывшемся окне, во вкладке «Ярлык» нажмите кнопку «Дополнительно»

В следующем окне нужно установить галку «Запуск от имени администратора» и «ОК» и сохранить изменения.

Добавить базы в тонкий клиент

При первом запуске Тонкого клиента появится запрос на добавление информационной базы, следует ответить «Да»

В следующем окне следует выбрать «Добавление в список существующей информационной базы» и «Далее».

На следующем этапе необходимо:

• указать имя базы данных (данное имя будет отображаться в перечне баз данных при запуске 1С),
• выбрать вариант подключения к информационной базе «На Веб-сервере»,
• вставить в данное поле ссылку на базу (данную ссылку мы получили в ЛК на 1 шаге инструкции) нажать «Далее».

И в последнем окне нажать кнопку «Готово».

После этого, появиться окно с перечнем информационных баз. Для входа в информационную базу необходимо выбрать нужную базу и нажать «1С:Предприятие»

В окне «Доступ к веб-серверу» необходимо указать учетные данные, полученные при регистрации.

Если на следующем шаге появится запрос учетных данных для входа в 1С, Необходимо в поле «Пользователь» выбрать нужного Вам пользователя 1С: Предприятие, ввести его пароль (при наличии) и нажать и нажать «ОK».

Настроить дополнительные параметры

Как сделать так, чтобы пароль от облака или базы не запрашивался?

Для этого следует выбрать интересующую Вас базу из списка, нажать “Изменить”. В открывшемся окне параметров нажать «Далее».

Вам нужна строка “Дополнительные параметры запуска”, где через пробел можно указывать следующие параметры:

К примеру, строчка “/WSN scXXXXX /WSP Pa$$W0RD /N НатальяР /P 2021Склауд”

Настройка завершена.

Виртуальные рабочие столы, тонкие клиенты и безопасность

С точки зрения безопасности виртуальные рабочие столы хороши хотя бы тем, что обеспечивают неприкосновенность используемого сотрудником программного обеспечения. Разумеется, пользователь может изменять рабочие файлы и настройки интерфейса. Но они хранятся отдельно от виртуальной машины.

Все изменения в ПО и вредоносный код, который может попасть на виртуальную машину, автоматически исчезнут после перезагрузки. Это не значит, что виртуальные машины можно не защищать, но шансы APT-группировок, которые пытаются затаиться на рабочих компьютерах, это изрядно уменьшает.

Но максимальные преимущества для безопасности, как уже было сказано выше, дает подключение к виртуальным рабочим столам с тонких клиентов — устройств, работающих в терминальном режиме. Зачастую на них нет даже жесткого диска — это просто коробочка, обеспечивающая подключение к серверу и позволяющая подсоединить монитор и периферийные устройства (их набор может быть разным в зависимости от конкретной модели). На тонком клиенте не обрабатываются и не хранятся рабочие данные.

Конечно, для нормальной удаленной работы с такого устройства требуется хороший канал связи. Но в последние годы это не такая уж и проблема. Связь тонкого клиента с сервером, как правило, обеспечивает надежный шифрованный протокол — это решает проблему с ненадежным сетевым окружением.

Да, с точки зрения пользователя это гораздо менее универсальное устройство, чем, скажем, ноутбук. Играть в компьютерные игры или подключаться к посторонним информационным системам с него не получится. Но ведь сотрудник и не должен заниматься этим на рабочем месте. Заодно решается потенциальная проблема с кражей железа — это не приведет к утечке данных.

Судя по растущему интересу компаний к обеспечению информационной безопасности удаленной работы, решения для создания инфраструктуры удаленных рабочих столов «под ключ» будут только набирать популярность. Скорее всего, наиболее удобной схемой станет использование публичных облачных сервисов — так можно обойтись без лишних модификаций физической инфраструктуры компании.

Так что нас, похоже, ждет этап активного перехода крупных компаний на VDI. В том числе поэтому «Лаборатория Касперского» активно развивает экспертные навыки в этой сфере и разрабатывает решения для тонких клиентов на основе собственной операционной системы.

Выбираем архитектуру

С лицензиями определились, теперь выделяем одну (аппаратные лицензии) или две (программные лицензии) виртуальные машины под кластер 1С. Характеристики машин примерно такие:

PostgreSQL можно держать на той же машине что и саму 1С.

Обратите внимание, что виртуальные диски лучше держать на шине SATA или SCSI (виртуальная машина с поддержкой UEFI загрузки, например ovmf), и физически осуществлять хранение на lvm томе или iSCSI/FiberChannel/SAS LUN´e. Это позволит Вам в любой момент увеличить объем диска под нужды операционной системы или базы данных.

Если вы используете KVM, то укажите шину IDE для сервера лицензирования и VirtIO-SCSI для кластера 1С/СУБД.

После подготовки машин устанавливаем туда любимый дистрибутив (для начинающих я рекомендую Ubuntu Server 16.04 LTS), СУБД (например PostgreSQL), серверную часть платформы 1С предприятия на сервера лицензирования и кластер 1С. При желании можно дополнить конфигурацию веб-сервером Apache2.

Добавление базы в тонком клиенте

Открываем 1С и нажимаем «Добавить».

Обратите внимание, что для платформы тонкого клиента нет кнопки «Конфигуратор».

Выбираем вариант «На веб-сервере» и указываем путь к базе.

Нажимаем «Далее» и «Готово».

База добавлена.

Запуск 1с в тонком клиенте

Для начала рассмотрим, как переключаться между тонким и толстым клиентом. Базы на управляемых формах запускаются по умолчанию в тонком клиенте. Проверить это можно, открыв информацию о программе.

Иногда бывает нужно сменить клиента на толстый или же наоборот.

Для этого открываем 1С, выделяем нужную базу и нажимаем кнопку «Изменить».

Переходим на последний этап.

Здесь в разделе «Основной режим запуска» указываем настройки.

Тонкий клиент будет запускаться при установке вариантов «Выбирать автоматически» и «Тонкий клиент». Вариант «Толстый клиент» соответственно для толстого клиента.

Коротко о криптон-тк

Программно-аппаратный комплекс КРИПТОН-ТК позволяет создать инфраструктуру тонкого клиента с интегрированными механизмами защиты информации, включая как защиту конфиденциальности данных, так и разграничение доступа к программным и аппаратным ресурсам.

Данный комплекс позволяет обрабатывать информацию, содержащую государственную тайну с высокими грифами секретности.

Обновление тонкого клиента

Процесс обновления тонкого клиента 1С:Предприятие представляет собой установку новой версии программы. При этом удаление старых версий не обязательно, старые версии сохраняют работоспособность. В случае отсутствия нужды в старых версиях они могут быть удалены обычными методами без нарушения функциональности актуальных версий.

Для установки новых версий тонкого клиента 1С:Предприятие могут применяться следующие сценарии:

1. Автоматическое обновление средствами платформы 1С:Предприятие;
2. Обновление вручную.

Выбор конкретного сценария определяется прежде всего требованиями к безопасности локальной информационной системы. Ключевым критерием безопасности является уровень прав пользователя.

В случае ограниченного набора прав пользователь, как правило, не имеет права на установку программного обеспечения. В этом случае установка программного обеспечения может проводиться пользователем с временным повышением уровня прав либо операционной системой. Сценарий установки должен предусматривать такую потребность.

Если же пользователь обладает административными привилегиями, то вопрос достаточности прав для установки программного обеспечения не стоит и допустимо использовать любой сценарий.

Обновление вручную применяется, как правило, на незначительном количестве рабочих мест. При этом процесс установки программы должен быть запущен с повышенными привилегиями.

Определяемся с лицензиями

В 1С есть два типа лицензий — на сервер и на клиент. Лицензии на сервер позволяют работать в режиме клиент-сервера, а именно это нам и нужно для работы 1С-Отчетности в Linux. Лицензии на клиент позволяют запустить клиентское программное обеспечение (толстый, тонкий, веб) и регламентируют одно подключение к базе (программные) или много подключений с одного устройства (аппаратные).

Если у вас нет лицензии на сервер, то теоретически должен работать тонкий клиент при подключении к файловой базе через Apache — но данная конфигурация не проверялась.Если у вас только одна информационная база — то выгоднее использовать программные клиентские лицензии.

Если у вас с каждой базой работает не более 5и человек одновременно, то можно с чистой совестью брать лицензию на Сервер-Мини на 5 подключений. Она и стоит не дорого, и держит 5 1 (клиент конфигуратор) подключений (сеансов) до каждой информационной базы, для 32х и 64х битного варианта сервера.

Если у вас клиентская лицензия программная, и она одна (например в случае с электронной поставкой), то имейте в виду, что программная лицензия в клиент-серверном варианте расходуется на каждое подключение к базе. То есть запустить конфигуратор и клиент одновременно по сети уже не получится.

Ещё момент, и он очень важен: Аппаратная лицензия расходуется на каждого клиента (IP адрес) а программная — на подключение (сеанс) пользователя. Количество программных лицензий равно максимальному количеству подключений. Программная лицензия при этом привязана к оборудованию, и очень жестко, по этому общая рекомендация — выносить сервер лицензирования как отдельную виртуальную машину с 2ГБ (двумя Гибибайтами) оперативной памяти и виртуальным дисковым контроллером SATA или IDE, обязательно указав серийные номера дисков. Сам сервер лицензирования не требует серверной лицензии.

В качестве платформы виртуализации подойдет KVM (qemu), Citrix (Xen) или VMWare (V-Sphere, ESXi), использовать VirtualBox или Hyper-V не рекомендую.

Развертывание, запуск и отладка

Для отладки в этом варианте работы требуется дополнительная
настройка.

Когда конфигурация готова, вы можете создать CF-файл конфигурации, DT-файл информационной базы, собрать их в комплект поставки и
создать дистрибутив (подробнее).

Установка платформы «1с:предприятие 8»

Для разных операционных систем минимальный набор компонентов следующий:

При запуске
1C:EDT самостоятельно находит и добавляет в свои
настройки все версии платформы, которые установлены на компьютере. Если этого не произошло или если вы устанавливали платформу в то
время, когда
1C:EDT была запущена, вы можете самостоятельно
добавить новую версию платформы в параметрах
1C:EDT.

Установка тонкого клиента

Распаковываем архив и запускаем файл setup.exe.

Порядок установки такой же, как и для обычной платформы. Отличие на этапе выбора компонентов установки.

Доступен только дистрибутив тонкого клиента.

Нажимаем «Далее» и завершаем установку.

Часть вторая: готовим начинку клиент

Установка клиентской части в чем то тривиальна — устанавливаем общие компоненты из состава сервера и толстый клиент (для рабочих мест можно только тонкий). В качестве клиентской системы я рекомендую что-нибудь простое и удобное для простого пользователя, все таки работать в системе будет либо руководство, либо бухгалтер, возможно ещё кассиры и иной персонал.

В моем случае выбор падает на Linux Mint, вы можете выбрать и другой дистрибутив, например Rosa или Astra Linux, в силу религиозных государственных предпочтений. Нужно отметить что на текущий момент 1С не очень хорошо дружит с Gnome 3.0 и его производными, в частности на момент написания статьи 1С 8.3.

На настоящий момент 1С-Отчетность работает только с СКЗИ КриптоПро (захардкожено в 1С), тем не менее ЭДО можно использовать с тем же VipNet или другим CADES совместимым СКЗИ.

Толстый и тонкий клиент:

mkdir 1c-dist
tar -zxf deb64.tar.gz -C 1c-dist
tar -zxf client-deb64.tar.gz -C 1c-dist
sudo dpkg -i 1c-dist/1c-enterprise83-{common,server,client}*.deb

Только тонкий клиент:

mkdir 1c-dist
tar -zxf thin.client-deb64.tar.gz -C 1c-dist
sudo dpkg -i 1c-dist/1c-enterprise83-thin-client*.deb

Устанавливаем КриптоПро 4.0:

mkdir cp-csp
tar -zxf linux-amd64_deb.tgz -C cp-csp
sudo apt-get install pcscd pcsc-tools opensc lsb-core lsb-release
sudo dpkg -i cp-csp/linux-amd64_deb/cprocsp-{compat-debian,curl,rdr-emv,rdr-gui-gtk,rdr-mskey,rdr-novacard,rdr-pcsc,rdr-rutoken,rsa}*.deb cp-csp/linux-amd64_deb/lsb-cprocsp-{base,ca-certs,capilite,kc1,pkcs11,rdr-64}*.deb

Проверяем и устанавливаем лицензию на КриптоПро (можно остаться на пробной версии и попробовать продукт перед приобретением, или если у вас лицензия на КриптоПро в составе сертификата — ничего не делать):

/opt/cprocsp/sbin/amd64/cpconfig -license -view
/opt/cprocsp/sbin/amd64/cpconfig -license -set <ваш лицензионный ключ>

Теперь подключаем к рабочей станции USB токен, смарт-карту, флешку с контейнером КриптоПро, производим вывод перечня контейнеров и импортируем сертификаты. При импорте с рутокена могут быть проблемы с кодировкой в наименовании контейнера, в этом случае можно воспользоваться inline вызовом iconv для преобразования кодировки, там cp1251.

/opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn

На выходе должны получить список контейнеров вида:.Aktiv Rutoken lite 00 00blahblahblah.Aktiv Rutoken ECPblahblahblah.HDIMAGEmycontЕсли получили крякозяблики в имени контейнера пробуем вывести сведения вот так:

/opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn | iconv -f cp1251

В случае если контейнер создан в ОС Windows и имеет в имени кириллицу, импорт конкретного контейнера будет чуть чуть усложнен, но не невозможен.

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aktiv Rutoken lite 00 00blahblahblah'

Или в случае cp1251

Часть первая: готовим коржи сервер.

Итак, если у Вас ещё нет своего кластера 1С, то самое время его поднять. Если есть — можно приступать к следующему шагу. Я не буду детально разбирать базовые вещи, они и без меня хорошо освещены на портале ИТС и других технических ресурсах, посвященных 1С бухгалтерии. Вместо этого я акцентирую внимание на мелочах, на которые следует обратить внимание и о которых обычно забывают.

Часть третья: покрываем глазурью

Завершающий этап самый важный. На этой стадии мы уже имеем установленный и настроенный кластер серверов 1С предприятия, и клиентскую машину с тонким и толстым клиентами 1С. Толстый клиент нам понадобится для первоначального развертывания ИБ, активации лицензий и обновления конфигурации ИБ (режим конфигуратора) в остальных случаях нам хватит тонкого клиента. Сама 1С-Отчетность работает только в тонком клиенте.

P.S. Может быть сотрудники 1С или Калуги-Астрал пояснят такое поведение системы при работе с внешней компонентой взаимодействия с СКЗИ.

Настраиваем подключение к базе:

Запускаем клиент 1С и добавляем новое подключение к информационной базе. Если база данных на кластере серверов ещё не существует, создаем её из толстого клиента, можно пустую с последующим импортом дампа средствами конфигуратора (dt,cf файл) или СУБД.

Настраиваем СКЗИ в 1С:

Все настройки приводятся для интерфейса “Такси”, если вы используете классический интерфейс 1С-Предприятия — выбирайте соответствующие пункты главного меню программы.

Открываем “Администрирование” -> “Настройки программы”: “Обмен электронными документами”.

Из открывшейся вкладки выбираем “Электронная подпись и шифрование”: “Настройки электронной подписи и шифрования”.

Переходим на вкладку “Программы”, находим “КриптоПро CSP (ГОСТ 2001)” и “КриптоПро CSP (ГОСТ 2021)” — для этих программ указываем путь “/opt/cprocsp/lib/amd64/libcapi20.so”. После ввода пути программы можем переключиться на любой пункт списка, состояние результата проверки должно смениться с “Не указан путь к программе” на “Установлена на компьютере”.

Добавляем сертификаты и проверяем работу СКЗИ:

Переходим на вкладку “Сертификаты”, нажимаем кнопку “Добавить” из установленных на компьютере. Выпускать сертификат на стороне тонкого клиента я ещё не пробовал, раньше он не работал. Выбираем сертификат из установленных в хранилище пользователя, нажимаем кнопку “Проверить”, вводим

пинкод

пароль. Должны получить окно с прошедшей проверкой сертификата:

Добавляем оператора документооборота:

Теперь нам нужно добавить оператора документооборота, если он не настроен на уровне Windows клиента ранее. Для этого открываем “Отчеты” -> “1С-Отчетность”: “Регламентированные отчеты”. Из открывшейся вкладки выбираем пункт “Настройки” и далее “Заявление на подключение к 1С-Отчетности” или “Настройки обмена с контролирующими органами”.

В случае ручной настройки обмена с КО, нажимаем на направление сдачи отчетности, которое мы настраиваем, например ФНС. В открывшемся окне выбираем “Документооборот в универсальном формате с использованием встроенного механизма” и создаете новую учетную запись документооборота (или выбираете уже существующую).

В “Назначении” учетной записи указываете направления обмена у данного оператора, выбираете оператора ЗАО “Калуга-Астрал” или ООО “Такском”. Почтовый адрес — указываете адрес электронной почты выданный оператором ЭДО. Идентификатор документооборота — указываете ваш, присвоенный оператором ЭДО и идентификатор оператора (первая часть вашего идентификатора до дефиса).

Осуществляем автонастройку оператора:

Выбираете пользователей и нажимаете “Автонастройка”. Должен пройти обмен данными, расшифроваться xml контейнер с настройками и обновиться сертификаты головных и подчиненных УЦ. Данную операцию (автонастройку) нужно провести первый раз вручную на всех линукс-клиентах.

Настраиваем сервер на автоматический обмен ЭДО и ЭДКО (опционально):

Открываем “Администрирование” -> “Настройки программы”: “Обслуживание”. Далее “Регламентные операции”: “Регламентные и фоновые задания”. Находим в списке “Обновление проверок контролирующими органами”, “Получение результатов отправки отчетности” и “Обмен с контролирующими органами”.

Проверяем работу оператора документооборота, ЭДО и 1С-Отчетности.

К сожалению все ещё остается проблема в реализациях подсистем ЭДО и ЭДКО. Например при получении подтверждения и отправке отчета в контролирующие органы необходимо каждый раз вводить пин-код контейнера для каждого факта подписания данных. Пин-код, сохраненный в настройках ЭДО не учитывается конфигурацией 1С, возможно такое поведение исправят в следующих версиях ПО. Одно можно сказать точно: лед тронулся.