JAS может быть использован для обеспечения двухфакторной аутентификации при входе в ОС Microsoft Windows за счет установки на клиентских машинах ПО JAS OTP Logon (JOL). В результате установки дистрибутива JOL на клиентском компьютере будет добавлен дополнительный поставщик учетных данных (Credential Provider), требующий для аутентификации пользователя ввода обычного и OTP- паролей (Рис. 68).

Рис. 68 – Запрос учетных данных для двухфакторной аутентификации JAS OTP Logon

Установка JOL

Чтобы установить на клиентской машине компонент JAS OTP Logon (JOL), выполните следующие действия.

  1. В зависимости от разрядности операционной системы запустите соответствующий файл.
      • 32-бит: OTPLogon_X.X.X.XX_win-x86_XX-XX.msi;
      • 64-бит: OTPLogon_X.X.X.XX_win-x64_XX-XX.msi.

Отобразится следующее окно.

Рис. 69 – Экран приветствия мастера установки JaCarta OTP Logon

  2. Нажмите Далее и следуйте указаниям мастера установки до окончания процедуры инсталляции.

 Важно!  Для корректной работы JOL на рабочих станциях параметр SecurityType в настройках сервера JAS должен иметь значение None (см. раздел «Настройка сетевых программных интерфейсов сервера JAS», с. 21). Включение аутентификации на сетевом интерфейсе JAS (любое значение параметра SecurityType, отличное от None) приведет к появлению ошибки со следующим текстом: «Произошла ошибка аутентификации. Сервер аутентификации недоступен или работает неправильно. Обратитесь к администратору.»

Настройки JOL и порядок их применения

Настройки JOL могут устанавливаться из четырех источников

  • настройки JOL из GPO – групповой политики JAS OTP Logon (JOL) (см. Табл. 18, с. 89; требуется настройка централизованного хранилища групповых политик, см. раздел «Групповая политика JOL», с. 92);
  • настройки JOL из локальной групповой политики (см. раздел «Локальная групповая политика JOL», с. 93).
  • настройки JOL в реестре (см. Табл. 18; могут быть переопределены вручную);
  • настройки по умолчанию (прошиты в исходном коде продукта).

Приоритет в определении конфигурации JOL имеют настройки доменной групповой политики, GPO (Рис. 70, ниже). При отключении доменной групповой политики (или отдельных ее настроек) происходит обращение к локальному объекту GPO (или к отдельным его настройкам). В случае если доменная и локальная групповые политики не заданы, или в них не заданы отдельные параметры, то в силу вступают настройки (или отдельные параметры), определенные в реестре на клиентском компьютере, в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\AladdinRD\JAS OTP Logon], (параметры описаны в Табл. 18, с. 89). Если значения параметров в реестре не будут определены принудительно (вручную), то они установятся автоматически при первом запуске программы в соответствии значениями по умолчанию (см. там же, Табл. 18).

Рис. 70 – Порядок применения настроек JOL

В случае если групповые политики не заданы (или отключены), настройки JOL на конкретном клиентском компьютере могут быть изменены вручную, путем редактирования параметров в реестре (Табл. 18, ниже).

Примечание. Ручное редактирование параметров JOL в реестре должно производиться только в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\AladdinRD\JAS OTP Logon]. Редактировать одноименные параметры реестра в разделе, отвечающем за групповые политики, не следует.

Табл. 18 – Параметры конфигурации JOL

Название пункта настройки JOL в GPO

Параметр настройки JOL в реестре

Описание

Настройки фильтрации поставщиков учетных данных

LogonProvidersFilter

Параметр, определяющий доступные пользователю поставщики учетных данных (Credential Provider) при входе в Windows. Доступные значения:

·   0 – пользователю доступны все поставщики учетных данных (включая JOL);

·   1 – пользователю доступны только JOL и вход по смарт-карте;

·   2 – пользователю доступен только JOL;

·   3 – пользователю доступны только поставщики учетных данных, GUID-идентификаторы которых перечислены в параметре LogonProvidersList, ниже.

Значение по умолчанию: 0 (Пользователю доступны все поставщики учетных данных, включая JOL)

Отображать поставщики учетных данных по списку их GUID

LogonProvidersList

Список GUID-идентификаторов поставщиков учетных данных, доступных пользователю для входа в Windows. Указываются через запятую. (Параметр активен только при значении LogonProvidersFilter=3);

GUIDы следует перечислить в формате: {XXXX-XXXXX-XXXXX-XXXXX}, {YYYY-YYYYY-YYYYY-YYYYY}

Значения по умолчанию не предусмотрено.

Адрес сервиса аутентификации JAS

ServiceUri

Адрес сервера JAS в следующем формате:

http://<FQDN-имя сервера>:8221/api/v4.1

где <FQDN-имя сервера> – полное доменное имя (FQDN) сервера JAS, например, srv01.test.com;

Действия JOL при использовании заблокированных OTP-токенов

TokensNotFoundAction

Действия JOL, если у пользователя, обратившегося с запросом на аутентификацию, в JAS зарегистрированы OTP-токены (хотя бы один), но ни один из них не активен (все отключены/заблокированы). Допустимые значения:

·   Pass (Пропускать запрос)

·   Reject (Отклонять запрос)

Значение по умолчанию: Reject

Действия JOL по запросу от незарегистрированных пользователей

UserNotFoundAction

Действия JOL, если пользователь, который пытается аутентифицироваться, не зарегистрирован в JAS. Доступные значения:

·   Pass (Пропускать запрос)

·   Reject (Отклонять запрос)

Значение по умолчанию: Reject

Автоматически добавлять Windows-пароль пользователя в поле OTP-пароль

ConcatenatePassword

Включить/отключить автоматическое добавление введенного пользователем пароля Windows в поле OTP (при установке для OTP-токена режима аутентификации «Доменный пароль+OTP» или «Доменный пароль + OTP PIN-код + OTP» (см. описание параметра Режим аутентификации в профилях выпуска OTP-токенов в руководстве по функциям управления JMS [3]). Доступные значения:

·   Enable (Включить)

·   Disable (Отключить)

Значение по умолчанию: Disable

Добавлять имя внедоменной рабочей станции

AddWsPrefix

Включить/отключить автоматическое добавление к имени пользователя имени внедоменной рабочей станции (например WKS234\user). Доступные значения:

·   Enable (Включить)

·   Disable (Отключить)

Значение по умолчанию: Disable

Важно! В текущей версии JMS параметр может иметь только значение Disable (использование JOL для аутентификации на внедоменных станциях недоступно)

Язык интерфейса JAS OTP Logon

Culture

Управление языком пользовательского интерфейса. Доступные значения:

·   RU (Русский)

·   EN (Английский)

Значение по умолчанию: RU

Путь к файлам журнала (лог-файлам)

LogFilePath

Путь, по которому буден сохраняться файл журнала.

Значение по умолчанию: C:\ProgramData\AladdinRD\JAS OTP Logon\Logs\

Уровень детализации ведения журнала

LogLevel

Уровень ведения журнала событий (логов).

·   OFF –ведение журнала событий отключено;

·   FATAL – отображать неустранимые ошибки;

·   ERROR – ошибки;

·   WARN – предупреждения;

·   INFO – информация;

·   DEBUG – отладка;

·   ALL – показывать все события.

Каждый последующий уровень включает все предыдущие (кроме OFF), например, если выставлено значение INFO, то будут записываться сообщения уровней: INFO, WARN, ERROR, FATAL

Значение по умолчанию: ERROR

Настройка проверки действительности сертификата сервера

SSLVerifyPeer

Включение/отключение проверки  на клиентском компьютере действительности сертификата сервера при настроенном SSL-соединении. Доступные значения:

·   0 (Отключить)

·   1 (Включить)

Значение по умолчанию: 1

Настройка проверки CN сертификата сервера

SSLVerifyHost

Включение/отключение проверки на клиентском компьютере имени субъекта (CN) сертификата (сервера) с именем, указанным в параметре ServiceUri (выше, в таблице). Доступные значения:

·   0 (Отключить)

·   2 (Включить)

Значение по умолчанию: 2

Использовать JOL для локальной сессии

UseJolInLocalSessions

Настройка определяет, следует ли использовать JOL-провайдер (Credential Provider, поставщик учётных данных) для локального сеанса пользователя, т. е. будет ли запрашиваться OTP-пароль, если вход в Windows осуществляется локально (не через RDP).

В случае если настройка выключена (значение 0), значение параметра LogonProvidersFilter=2 («входить только через JOL», см. выше) игнорируется, и вход на локальном компьютере (не через RDP) будет осуществлен через стандартный поставщик учётных данных.

Настройка не распространяется на RDP-подключения.

Доступные значения:

·   0 (Отключить)

·   1 (Включить)

Значение по умолчанию: 1

Использовать JOL для удаленной сессии

UseJolInRemoteSessions

Настройка определяет, следует ли использовать JOL-провайдер (Credential Provider, поставщик учётных данных) при удалённом подключении к компьютеру, т. е. будет ли запрашиваться OTP-пароль, если вход в Windows осуществляется по RDP.

В случае если настройка выключена (значение 0), значение параметра LogonProvidersFilter=2 («входить только через JOL», см. выше) игнорируется, и вход по RDP будет осуществлен через стандартный поставщик учётных данных.

Настройка не распространяется при подключении к локальному компьютеру.

Доступные значения:

·   0 (Отключить)

·   1 (Включить)

Значение по умолчанию: 1

<Параметр отсутствует в GPO, настройка доступна только локально в реестре компьютера с JOL>

SSLVersionTLS

Параметр устанавливает максимальную версию TLS для работы компонента JOL. Допустимые значения:

·   0 - Использовать TLS версии 1.0;

·   1 - Использовать TLS версии 1.1;

·   2 - Использовать TLS версии 1.2;

·   3 - Использовать TLS версии 1.3

Значение по умолчанию: 2

Групповая политика JOL (административный шаблон GPO)

Управление JOL на рабочих станциях домена Active Directory (AD) можно производить с помощью механизма групповой политики Windows.

Для создания групповой политики JAS OTP Logon (JOL) в выбранном домене AD выполните следующие действия.

  1. В центральное хранилище административных шаблонов на контроллере домена добавьте поставляемый в комплекте с JAS административный шаблон определения групповой политики, включающий в себя ADMX- и ADML-файлы:
  • admx;
  • ru-RU\JASOTPLogon.adml (для русской локализации);
  • en-US\JASOTPLogon.adml (для английской локализации).

Порядок создания центрального хранилища для административных шаблонов и добавления в него административных шаблонов групповых политик описан в соответствующей документации компании Microsoft (см. веб-ссылки [3], с. 156).

  2. Настройте групповую политику на контроллере домена с помощью Редактора управления групповыми политиками (Рис. 71) руководствуясь Табл. 18, с. 89, или интерактивными подсказками редактора политик.

Рис. 71 – Настройка групповой политики JAS OTP Logon (JOL)

  3. Дождитесь обновления групповой политики на рабочих станциях (задержка обусловлена настройками операционной среды), или выполните принудительное обновление групповой политики на соответствующей рабочей станции из командной строки (команда gpupdate /force).

Примечание. По умолчанию шаблон добавляется в групповую политику Default Domain Policy, распространяющую свое действие на компьютеры всего домена. Для ограничения (в применении к отдельным доменным компьютерам) или диверсификации действия шаблона групповой политики JOL используйте стандартные механизмы управления групповыми политиками и Active Directory (например, создание отдельных политик для подразделений OU; запрет на использование политики на отдельных компьютерах через настройки ее свойств – вкладка Безопасность; и др.).

Локальная групповая политика JOL

Шаблон, определяющий локальную групповую политику JOL, устанавливается в локальное хранилище административных шаблонов (каталог C:\Windows\PolicyDefinitions) автоматически в процессе инсталляции JOL на рабочей стации.

Локальная групповая политика обеспечивает дополнительную гибкость в настройках JOL и может быть использована при необходимости с помощью стандартных средств управления Windows. Набор параметров совпадает с административным шаблоном доменной групповой политики JOL (см. Табл. 18, с. 89).

Порядок аутентификации в Windows с помощью JOL

Для аутентификации в Windows c помощью JOL выполните следующие действия.

  1. На экране входа в систему (Рис. 72) для выбора поставщика учетных данных JOL нажмите Другие учетные записи. (В случае если все поставщики учетных данных, кроме JOL, отключены, перейдите к шагу 5).

Рис. 72 – Стандартный экран входа в систему (ОС Windows)

  2. Среди отображенных поставщиков учетных данных (Рис. 73) выберите Разблокировка по OTP.

Рис. 73 – Выбор JOL как поставщика учетных данных

  3. На экране входа по OTP (Рис. 74) в поле Пароль введите пароль Windows (в случае внедоменной рабочей станции – пароль локального пользователя, в случае доменного компьютера – пароль доменного пользователя).

Примечание. В текущей версии JMS аутентификация с помощью JOL на внедоменных станциях недоступна

Рис. 74 – Ввод данных в окне JOL

В поле OTP-пароль в зависимости от настроек JOL введите следующее значение:

  • пароль OTP, полученный из OTP-токена пользователя, если для данного токена режим аутентификации имеет значение:
    • «OTP» (см. описание параметра Режим аутентификации в профилях выпуска OTP-токенов в руководстве по функциям управления JMS [3]);
    • «Доменный пароль + OTP», но при этом в групповой политике включена настройка «Автоматически добавлять Windows-пароль пользователя в поле OTP-пароль» (см. Табл. 18, с. 89, значение Enable; настройка через реестр описана там же);
  • PIN-код OTP и пароль OTP (без пробела), если для данного токена режим аутентификации имеет значение:
    • «OTP PIN-код + OTP» (см. описание параметра Режим аутентификации в профилях выпуска OTP-токенов в руководстве по функциям управления JMS [3]);
    • «Доменный пароль + OTP PIN-код + OTP», но при этом в групповой политике включена настройка «Автоматически добавлять Windows-пароль пользователя в поле OTP-пароль» (см. Табл. 18, с. 89, значение Enable; настройка через реестр описана там же);
  • все необходимые значения, в соответствии с режимом аутентификации («OTP», «OTP PIN-код + OTP», «Доменный пароль + OTP»или «Доменный пароль + OTP PIN-код + OTP»; для трех последних – параметры вводятся без пробела), если в групповой политике выключена настройка «Автоматически добавлять Windows-пароль пользователя в поле OTP-пароль» (см. Табл. 18, с. 89, значение Disable; настройка через реестр описана там же).

  4. Для аутентификации нажмите ввод.