- 3.1. Вход пользователя в ОС
- 3.2. Окно блокировки открытого сеанса пользователя
- 3.3. Вход в ОС при сетевой аутентификации с OTP
- 3.4. Вход в ОС при заблокированном электронном ключе
- 3.5. Вход в ОС при подключении к удалённому ПК
- 3.6. Интеграция SecurLogon и SecretDisk
- 3.7. Запуск JaCarta Virtual Token
3.1. Вход пользователя в ОС
3.1.1. Окно входа SecurLogon
Специализированная тема SecurLogon, предназначенная для входа пользователя в ОС перед началом сеанса, представлена в виде графического окна на весь экран (Рисунок 1) и обеспечивает аутентификацию в ОС с использованием поддерживаемых устройств аутентификации или комбинации логина и пароля.
Окно входа SecurLogon отображает текущий механизм входа пользователя в ОС, который зависит от настроенного администратором метода и определяется в процессе настройки программы.
Рисунок 1 – Общий вид графического окна входа SecurLogon
В верхней части окна входа SecurLogon расположена панель со следующими элементами:
- текущая дата;
- текущее время;
- кнопка «» (язык ввода данных). Изменение выбранного языка (английский/русский) осуществляется нажатием на кнопку;
- кнопка «» (индикация сети с возможностью выбора сетевого подключения (Рисунок 2));
Рисунок 2 – Выбор сетевого подключения
- кнопка «» (управление питанием) – выключение или перезагрузка ПК (Рисунок 3).
Рисунок 3 – Меню действий с электропитанием
В центре окна входа SecurLogon расположена панель ввода аутентификационных данных (Рисунок 4), где:
Рисунок 4 – Панель ввода аутентификационных данных
1) в левой части панели ввода данных отображены приложения (апплеты) подключенного электронного ключа, при этом:
- электронный ключ, на котором выбран сертификат, подсвечивается рамкой;
- электронный ключ, не содержащий аутентификационных данных, помечен восклицательным знаком « »;
2) в правой части панели отображены:
- поле для выбора пользователя из выпадающего списка - имя пользователя считывается из поля «CN» выбранного сертификата с указанием домена ПК при сетевой аутентификации или имени ПК при локальной аутентификации. Также доступен ввод имени пользователя с клавиатуры;
- поле ввода пароля или PIN-кода, в соответствии с назначенной политикой входа для выбранного пользователя. Максимальное количество неверных последовательных попыток ввода PIN-кода пользователя, после которого возможность использования PIN-кода пользователя будет заблокирована, определяется при настройке параметров электронного ключа в ПО «Средство администрирования устройств аутентификации «Единый Клиент JaCarta» (далее по тексту – ПО «Единый Клиент JaCarta»). Количество попыток ввода пароля пользователя не ограничено;
- кнопка <Войти>;
- поле вывода уведомлений об ошибках аутентификации, например:
- «Отсутствует подключение к контроллеру домена! Пожалуйста, проверьте подключение к сети или доступность домена»;
- «Пользователь не найден в домене»;
- «Неправильно введен PIN-код пользователя»;
- «Ошибка аутентификации»;
- «Пользователь User заблокирован!»;
- «Электронный ключ заблокирован!».
Примечание. При отсутствии подключенных электронных ключей вход в ОС может осуществляться с использованием логина и пароля пользователя (в зависимости от настроенной политики входа).
3.1.2. Аутентификация на электронном ключе
Порядок выполнения аутентификации на электронном ключе зависит от типа используемого устройства и настроенного способа аутентификации.
В общем случае введите PIN-код пользователя электронного ключа на панели данных (см. Рисунок 4) в окне входа SecurLogon.
Примечание.
- PIN-код сообщает пользователю администратор при передаче электронного ключа.
- Обратите внимание, что полученный PIN-код должен быть в обязательном порядке изменен пользователем с использованием ПО «Единый Клиент JaCarta» согласно документу «Средство администрирования устройств аутентификации «Единый Клиент JaCarta». Руководство оператора. Часть 1. Руководство пользователя для операционных систем семейства Linux».
В случае использования биометрического сканера JaCarta SecurBIO введите на панели данных (в зависимости от настроенного способа аутентификации и установленной политики входа):
- биометрические данные (приложите палец к считывателю для снятия отпечатка) и PIN-код (Рисунок 5);
Рисунок 5 – Панель данных при подключении JaCarta SecurBIO и способе аутентификации
«BIO и PIN»
- биометрические данные (приложите палец к считывателю для снятия отпечатка) или PIN-код (Рисунок 6);
Рисунок 6 – Панель данных при подключении JaCarta SecurBIO и способе аутентификации
«BIO или PIN»
- биометрические данные (приложите палец к считывателю для снятия отпечатка) (Рисунок 7).
Рисунок 7 – Панель данных при подключении JaCarta SecurBIO и способе аутентификации «BIO»
3.2. Окно блокировки открытого сеанса пользователя
В случаях извлечения электронного ключа в процессе открытого сеанса пользователя или его бездействия в течение заданного в системе времени, ОС будет автоматически заблокирована. Это позволяет пользователям покидать рабочее место, забрав электронный ключ с собой, но оставляя защищенным открытый сеанс.
Для возобновления сеанса (без повторного входа в ОС) подключите электронный ключ и введите PIN-код (в зависимости от настроенной политики входа) в окне блокировки (Рисунок 8).
Рисунок 8 – Окно блокировки открытого сеанса пользователя
При необходимости в смене пользователя нажмите кнопку « » на верхней панели окна блокировки. В результате осуществляется переход на окно входа SecurLogon для смены пользователя, при этом открытый сеанс текущего пользователя не завершается.
Описание других кнопок верхней панели окна блокировки приведено в 3.1.1.
3.3. Вход в ОС при сетевой аутентификации с OTP
Для входа в ОС при сетевой аутентификации с OTP необходимо:
- ввести доменное имя пользователя в поле «Имя пользователя»;
- ввести доменный пароль пользователя в поле «Пароль»;
- выбрать способ ОТР аутентификации (в зависимости от настройки сервера JAS может быть доступна аутентификация по числовому паролю ОТР, одноразовому коду PUSH или коду из sms-сообщения) (Рисунок 9);
Рисунок 9 – Окно входа в ОС. Выбор способа аутентификации
- при выборе аутентификации по ОТР необходимо ввести одноразовый пароль, генерируемый программным токеном Aladdin 2FA (Рисунок 10);
Рисунок 10 – Окно входа в ОС. Ввод ОТР пароля
- при выборе аутентификации по PUSH необходимо подтвердить запрос на вход в программном токене Aladdin 2FA;
- при выборе аутентификации по SMS необходимо ввести одноразовый пароль из полученного sms-сообщения.
3.4. Вход в ОС при заблокированном электронном ключе
В случае если при аутентификации пользователя используется заблокированный электронный ключ (например, электронный ключ был заблокирован в результате многократного некорректного введения PIN-кода), происходит автоматическое открытие окна ПО «Единый клиент JaCarta» на экране входа в ОС (Рисунок 11).
Рисунок 11 – Окно входа в ОС при использовании заблокированного электронного ключа
Для разблокировки электронного ключа пользователю необходимо обратиться к администратору.
Примечание. Разблокировка PIN-кода пользователя осуществляется администратором с использованием ПО «Единый Клиент JaCarta» согласно документу «Средство администрирования устройств аутентификации «Единый Клиент JaCarta». Руководство администратора для операционных систем семейства Linux».
После разблокировки электронного ключа пользователь сможет осуществить аутентификацию в обычном порядке при входе в ОС.
3.5. Вход в ОС при подключении к удалённому ПК
Для подключения к удалённому ПК с использованием двухфакторной аутентификации:
- нажмите ярлык для запуска удалённой сессии (Рисунок 12);
Рисунок 12 – Ярлык для запуска подключения к удалённому ПК
- введите PIN-код электронного ключа (Рисунок 13), после чего нажмите кнопку <OK>;
Рисунок 13 – Окно запроса PIN-кода
- в случае успешного подключения появится окно, предоставляющее доступ к удалённому ПК.
Если при подключении к удалённому ПК с использованием усиленной аутентификации (без PKI) выяснится, что пароль пользователя на профиле не совпадает с паролем доменного пользователя, пользователю будет предложено заменить пароль (Рисунок 14).
Рисунок 14 – Смена пароля
После ввода нового пароля и нажатия кнопки <ОК> появится сообщение «Пароль успешно изменен!» (Рисунок 15), а также произойдёт подключение к удалённому ПК.
Рисунок 15 – Уведомление об изменении пароля
Если при подключении к удалённому ПК с использованием усиленной аутентификации (без PKI) выяснится, что на электронном ключе отсутствует нужный профиль, пользователю будет предложено создать этот профиль (Рисунок 16).
Рисунок 16 – Создание профиля
После ввода пароля пользователя и нажатия кнопки <ОК> появится сообщение «Профиль успешно создан» (Рисунок 17), а также произойдёт подключение к удалённому ПК.
Рисунок 17 – Уведомление о создании профиля
3.6. Интеграция SecurLogon и SecretDisk
Интеграция SecurLogon и SecretDisk (SD) реализована следующим способом:
- SecretDisk предоставляет интерфейс для аутентификации в своей сессии, а также интерфейс для регистрации специального пароля (секрета SD) пользователя;
- секрет сохраняется на электронном ключе в момент регистрации;
- для пользователя может существовать только один секрет, после повторной регистрации предыдущий секрет теряет актуальность и перезаписывается на новый.
3.6.1. Регистрация секрета SD для пользователя
Если на ПК предварительно установлен «Агент SecretDisk» и настроен SecurLogon, то на окне входа в ОС появится кнопка доступа к виджету регистрации секрета SD (Рисунок 18).
Рисунок 18 – Окно входа: кнопка доступа к виджету регистрации секрета SD
После нажатия кнопки появится виджет для регистрации секрета SD (Рисунок 19).
На виджете присутствуют поля для ввода имени пользователя, PIN-кода электронного ключа, пароля пользователя SecretDisk; а также кнопка <Отмена> – для возврата на панель аутентификации, и кнопка <Применить> – для запуска процесса регистрации.
Рисунок 19 – Виджет регистрации секрета SD
При этом кнопка <Применить> станет активной только после подключения электронного ключа (Рисунок 20).
Рисунок 20 – Виджет регистрации с активной кнопкой <Применить>
Для запуска процесса регистрации и записи секрета SD на электронный ключ пользователя введите аутентификационные данные и нажмите кнопку <Применить>.
После окончания процесса вновь появится виджет регистрации с уведомлением о статусе выполненной операции: «Контейнер для секрета SD успешно создан» (Рисунок 21).
Рисунок 21 – Виджет регистрации с уведомлением о статусе операции
При подключении электронного ключа с поддержкой биометрии (JaCarta SecurBIO) изменится набор полей и кнопок виджета, в частности будет добавлена информация с описанием действий для осуществления процесса регистрации (Рисунок 22).
Рисунок 22 – Виджет регистрации при подключении JaCarta SecurBIO
3.6.2. Автоматический вход в сессию пользователя SecretDisk в процессе аутентификации в ОС
Автоматический вход в сессию SecretDisk производится в случае, если пользователь осуществляет вход в ОС по электронному ключу, на котором записан секрет SD для этого пользователя и этот секрет успешно проверен SecretDisk.
3.7. Запуск JaCarta Virtual Token
Если на ПК предварительно установлен «Клиент JaCarta Virtual Token» и настроен SecurLogon, то на окне входа в ОС появится кнопка доступа к панели управления JaCarta Virtual Token (Рисунок 23).
Рисунок 23 – Окно входа: кнопка доступа к панели управления JaCarta Virtual Token
После нажатия кнопки появится панель управления JaCarta Virtual Token (Рисунок 24), позволяющая управлять конфигурацией подключения к «Серверу JaCarta Virtual Token» и регистрацией «Мобильного приложения JaCarta Virtual Token» на ПК.
Рисунок 24 – Окно входа: панель управления JaCarta Virtual Token























