для будущих поколений можно сразу прописать в политику настройку, которая не блокирует работу криптопро в домене: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN" "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd"> <policyconfig> <vendor>The PCSC-lite Project</vendor> <vendor_url>https://pcsclite.apdu.fr/</vendor_url> <!-- <icon_name>smart-card</icon_name> --> <action id="org.debian.pcsc-lite.access_pcsc"> <description>Access to the PC/SC daemon</description> <message>Authentication is required to access the PC/SC daemon</message> <defaults> <allow_any>yes</allow_any> <allow_inactive>yes</allow_inactive> <allow_active>yes</allow_active> </defaults> </action> <action id="org.debian.pcsc-lite.access_card"> <description>Access to the smart card</description> <message>Authentication is required to access the smart card</message> <defaults> <allow_any>yes</allow_any> <allow_inactive>yes</allow_inactive> <allow_active>yes</allow_active> </defaults> </action> </policyconfig>
В пакете pcsc-lite есть аналогичная политика только с единственным отличием: $ cat /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy | grep -E "allow_any|allow_inactive|allow_active" <allow_any>no</allow_any> <allow_inactive>no</allow_inactive> <allow_active>yes</allow_active> <allow_any>no</allow_any> <allow_inactive>no</allow_inactive> <allow_active>yes</allow_active> Нужно ли добавлять предложенную вами политику пусть решает мейнтейнер пакета.
(Ответ для Alexander Makeenkov на комментарий #1) > В пакете pcsc-lite есть аналогичная политика только с единственным отличием: > > $ cat /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy | grep -E > "allow_any|allow_inactive|allow_active" > > <allow_any>no</allow_any> > <allow_inactive>no</allow_inactive> > <allow_active>yes</allow_active> > <allow_any>no</allow_any> > <allow_inactive>no</allow_inactive> > <allow_active>yes</allow_active> > > Нужно ли добавлять предложенную вами политику пусть решает мейнтейнер пакета. Эта политика и делает со временем блокировку в домене
Небезопасное поведение: для всех разрешать. В Fedora так не делают. Я могу сделать %config(noreplace) для того, чтобы исправление не заменялось. Или сделайте переопределение как описано в https://access.redhat.com/documentation/ru-ru/red_hat_enterprise_linux/7/html/desktop_migration_and_administration_guide/policykit