- Управление пользователями
- Управление рабочими станциями
- Операции с сертификатами
- Операции с ЭК/ЗНИ
- Жизненный цикл ЭК/ЗНИ
- Регистрация подсоединенных ЭК/ЗНИ в JMS
- Импорт (пакетная регистрация) ЭК/ЗНИ в JMS
- Назначение / отмена назначения ЭК/ЗНИ пользователю
- Выпуск ЭК/ЗНИ администратором
- Отключение/включение возможности использования ЭК/ЗНИ
- Очистка ЭК/ЗНИ
- Синхронизация ЭК/ЗНИ
- Отзыв ЭК/ЗНИ
- Замена ЭК/ЗНИ
- Возврат в эксплуатацию ЭК/ЗНИ
- Разблокировка подсоединенного электронного ключа
- Разблокировка электронного ключа в удаленном режиме
- Удаление ЭК/ЗНИ
- Особенности работы с ЗНИ (ЭН) JaCarta SF/ГОСТ
- Привязка ЭК/ЗНИ к контейнерам ресурсной системы
- Виртуальные электронные ключи WpaStore и MachineStore
- Операции с OTP- и U2F-аутентификаторами
Консоль управления JMS предоставляет собой web-приложение для администрирования JMS и доступна на сетевых компьютерах с web-браузером.
Примечание. Для доступа к web-консоли следует получить IP-адрес серверного приложения «Консоль управления JMS» (подробнее см. руководство по настройке и установке [2]).
Для начала сеанса управления через web-консоль выполните следующие действия.
- В web-браузере выполните подключение к web-консоли JMS по адресу
http://<Адрес_сервера_web-консоли>:5001где <Адрес_сервера_web-консоли> — FQDN-имя или IP-адрес компьютера с установленным серверным web-приложением «Консоль управления JMS».
Примечание. В случае настройки защищенного соединения по SSL/TLS в адресе укажите https:// и порт 5000, при этом допускается указывать только FQDN-имя хоста с серверным web-приложением «Консоль управления JMS» (нельзя указывать IP-адрес).
Отобразится страница следующего вида.
Рис. 1 – Доступ к web-консоли JMS с внешнего компьютера
2. В поле Пользователь введите логин пользователя в формате:
<тип_ресурсной_системы>\<имя_пользователя>,
где <тип_ресурсной_системы> — значение, указанное в поле [accountSystem] -> type файла первоначальной конфигурации (см. [2] «Приложение 1. Параметры файла первоначальной конфигурации сервера JMS»).
Например:
FreeIPA\adminОтобразится страница следующего вида.
Рис. 2 – Интерфейс web-приложения «Консоли управления JMS»
Управление пользователями
Регистрация пользователей в JMS
Чтобы зарегистрировать новых пользователей, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Пользователи.
Страница консоли будет выглядеть следующим образом.
Рис. 3 – Раздел Пользователи консоли управления JMS
2. В верхней панели нажмите Действия и выберите Зарегистрировать пользователей (Рис. 4).
Рис. 4 – Выбор Регистрации пользователей
3. Интерфейс переключится в режим регистрации пользователей (Рис. 5).
Рис. 5 – Режим регистрации пользователей
4. Выберите нужный каталог (например, Accounts) и выберите нужных пользователей, установив напротив соответствующих пользователей флажки, либо установите общий флажок вверху, чтобы выбрать всех пользователей из выбранного каталога и нажмите кнопку Зарегистрировать внизу.
Если во время регистрации пользователей из ресурсной системы, на которую наложены лицензионные ограничения (отображены в вашей лицензии JMS), будет превышен лимит пользователей, то отобразится соответствующее сообщение и регистрация будет прекращена.
5. Добавив пользователей нажмите кнопку Закрыть.
Зарегистрированные пользователи отобразятся в окне консоли управления JMS.
Рис. 6 – Список зарегистрированных пользователей
Установка и отмена назначения временного пароля для работы с JMS
JMS позволяет назначить пользователям временный пароль для работы с JMS. Это может понадобиться в тех случаях, когда пользователь временно не имеет доступа к своему электронном ключу. При установке пароля задается срок его действия, однако отменить действие времени пароля можно и раньше установленного срока действия.
Установка временного пароля
Чтобы установить временный пароль для пользователя JMS, выполните следующие действия.
- В левой части консоли управления JMS перейдите в раздел Объекты -> Пользователи и в дереве ресурсной системы выберите контейнер, содержащий нужного пользователя.
- В таблице справа выберите нужного пользователя, нажмите на нем правой кнопкой мыши и в контекстном меню выберите Установить пользователю пароль для работы в JMS:
Рис. 7 – Выбор установки временного пароля JMS в контекстном меню пользователя
3. Отобразится окно установки пароля JMS.
Рис. 8 – Окно установки временного пароля JMS
4. В полях Пароль и Подтверждение пароля введите временный пароль и подтверждение соответственно.
Вы также можете воспользоваться кнопкой автоматической генерации пароля (), чтобы сгенерировать случайное значение пароля. В этом случае поля Пароль и Подтверждение пароля будут заполнены автоматически.
5. В поле Срок действия пароля (дней) укажите число дней, в течение которых временный пароль будет действителен. По истечении этого срока пароль прекратит свое действие. Либо установите признак Постоянный пароль, в этом случае пароль станет бессрочным.
6. При необходимости воспользуйтесь дополнительными кнопками справа:
– - отображает значение пароля;
– - копирует в буфер значение временного пароля, чтобы его можно было передать пользователю.
7. Нажмите ОК.
Отобразится сообщение следующего вида.
Рис. 9 – Сообщение об успешной установке временного пароля
8. Нажмите OK, чтобы завершить процедуру.
Отмена действия временного пароля
Чтобы отменить временный пароль для пользователя JMS, выполните следующие действия.
- В консоли управления выберите раздел Объекты –> Пользователи, в дереве ресурсной системы выберите контейнер, содержащий нужного пользователя.
- В таблице справа выберите нужного пользователя, нажмите на нем правой кнопкой мыши и в контекстном меню выберите пункт Отменить назначенные пользователю пароль JMS.
- В окне предупреждающего сообщения нажмите ОК, чтобы подтвердить действие.
Блокировка/разблокировка пользователей
JMS позволяет блокировать, а также разблокировать ранее заблокированных пользователей.
При блокировке пользователя будет приостановлена возможность использования всех электронных ключей пользователя и содержащихся в их памяти объектов.
Чтобы заблокировать пользователя, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Пользователи.
- В списке слева выберите контейнер ресурсной системы (например cn=accounts), содержащий пользователей, которых необходимо заблокировать.
- На правой панели выберите учётные записи пользователей и нажмите на ней правой кнопкой мыши, в появившемся меню действий нажмите Заблокировать:
Рис. 10 – Вызов меню для блокировки пользователей
4. После блокировки пользователей в графе Статус их учётных записей отображается статус Заблокирован:
Рис. 11 – Отображение статуса заблокированных пользователей
Для разблокировки пользователя (пользователей) выберите его учётную запись и в меню действий выберите пункт Разблокировать.
Удаление пользователей из JMS
Система позволяет удалить пользователя для прекращения его учета в JMS (т.е. из базы данных JMS).
Пользователь, удаленный из JMS продолжается оставаться зарегистрированным в своей ресурсной системе (например FreeIPA или удостоверяющем центре DogTag). Поэтому удаленный из JMS пользователь может быть в последующем восстановлен путем процедуры регистрации (см. раздел «Регистрация пользователей в JMS», с. 14).
Чтобы удалить пользователя из JMS, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Пользователи.
- В списке слева выберите контейнер ресурсной системы (например cn=accounts), содержащий пользователей, которых необходимо удалить.
- На правой панели выберите учётные записи пользователя (пользователей) и нажмите на ней правой кнопкой мыши, в появившемся меню действий нажмите Удалить:
Рис. 12 – Вызов меню для удаления пользователей
4. В окне запроса на подтверждение удаления нажмите Да:
Рис. 13 – Окно запроса на удаление пользователя из JMS
Управление рабочими станциями
Регистрация рабочих станций в JMS
Чтобы зарегистрировать рабочие станции в JMS, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Рабочие станции.
Страница консоли будет иметь следующий вид.
Рис. 14 – Раздел Рабочие станции консоли управления JMS
2. В меню Действия выберите Зарегистрировать рабочие станции:
Рис. 15 – Выбор действия Зарегистрировать рабочие станции
3. Интерфейс переключится в режим регистрации рабочих станций:
Рис. 16 – Страница регистрации рабочих станций
4. Выберите нужный контейнер (например, cn = accounts) и выберите нужные рабочие станции, установив напротив них флажки, либо установите общий флажок вверху, чтобы пометить все рабочие станции из выбранного контейнера и нажмите кнопку Зарегистрировать внизу.
5. Добавив рабочие станции нажмите кнопку Закрыть.
Зарегистрированные рабочие станции отобразятся в окне консоли управления JMS:
Рис. 17 – Список зарегистрированных рабочих станций
Блокировка/разблокировка рабочих станций
Примечание. В текущей версии продукта блокировка рабочей станции заключается в следующих ограничениях ее функционирования:
- при синхронизации рабочей станции:
- не выполняется учет сертификатов в хранилищах на рабочей станции;
- на рабочей станции не выполняется поиск экземпляров СКЗИ;
- не выполняется передача журналов аудита с клиентского приложения JMS на сервер JMS.
JMS позволяет блокировать, а также разблокировать ранее заблокированные рабочие станции. Чтобы заблокировать или разблокировать рабочую станцию, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Рабочие станции.
- В дереве ресурсных систем (Дерево РС) отметьте контейнер ресурсной системы, содержащий рабочие станции, которые нужно заблокировать или разблокировать (например cn = accounts).
- В таблице справа выберите рабочую станцию, нажмите на ней правой кнопкой мыши и в контекстном меню выберите Заблокировать:
Рис. 18 – Список зарегистрированных рабочих станций
4. В окне подтверждения действия нажиме Да.
Рис. 19 – Запрос на подтверждение операции
В списке рабочих станций заблокированная станция будет отображена со статусом Заблокирована:
Рис. 20 – Отображение статуса заблокированной рабочей станции
Для разблокировки рабочей станции выполните те же шаги, что и для блокировки, только в контекстном меню для заблокированной рабочей станции выберите Разблокировать.
Внедоменные рабочие станции
Сервер JMS позволяет автоматически регистрировать рабочие станции, не входящие в домен Windows, в котором развернута система JMS.
Учет внедоменных рабочих станций предоставляет следующие возможности:
- работа с журналом клиентских уведомлений (журнал Клиентские события) от внедоменных станций;
- привязка профилей к внедоменным рабочим станциям;
- включение внедоменных рабочих станций в глобальные группы;
- использование внедоменных рабочих станций в учете СКЗИ;
- блокировка / разблокировка и удаление внедоменных рабочих станций.
Регистрация внедоменной рабочей станции выполняется только автоматически и только при аутентификации рабочей станции на сервере JMS (внедоменную рабочую станцию нельзя зарегистрировать вручную из консоли управления JMS или в результате выполнения плана обслуживания). После регистрации рабочей станции ее учетная запись появится консоли управления JMS в разделе Объекты -> Рабочие станции в отдельной ресурсной системе с названием Внедоменные рабочие станции (отображается последней в списке зарегистрированных ресурсных систем, Рис. 21).
Рис. 21 – Работа с внедоменными рабочими станциями в JMS
Попытка автоматической регистрации внедоменной станции осуществляется каждый раз при ее аутентификации на сервере JMS. Если в процессе аутентификации внедоменной рабочей станции выяснится, что она еще не зарегистрирована, выполняется ее регистрация; если же станция уже зарегистрирована, то выполняется обновление ее атрибутов (таких, как NetBIOS-имя, DNS-имя и др.), если они изменились со времени ее последней аутентификации.
Операции блокировки / разблокировки и удаления с внедоменными рабочими станциями осуществляется так же, как и с обычными рабочими станциями.
Операции с сертификатами
Операции с сертификатами выполняются в разделе Объекты -> Сертификаты консоли управления JMS. (Рис. 22).
Рис. 22 – Раздел Объекты -> Сертификаты консоли управления JMS
Отзыв сертификата
Операция Отозвать инициирует отзыв сертификата в удостоверяющем центре, выпустившем данный сертификат.
Отзыв сертификата доступен только для сертификатов, находящихся в состоянии Сохранен на КН.
После отзыва сертификат приобретает статус Сохранен на КН и отозван во внешней системе.
Чтобы отозвать сертификат, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Сертификаты.
- В списке справа выберите сертификат, который необходимо отозвать.
- Нажмите в строке выбранного сертификата правой кнопкой мыши и выберите Отозвать.
- В диалоговом окне с запросом на отзыв выбранного сертификата нажмите Да.
Приостановка/восстановление действия сертификата
JMS позволяет временно приостановить, а затем возобновить действие сертификата, выпущенного по запросу из JMS. При этом в удостоверяющем центре, на котором был выпущен сертификат, производятся стандартные операции по приостановке/восстановлению действия данного сертификата.
Операции Отключить/Включить доступны только для сертификатов, находящихся в состоянии Сохранен на КН.
После приостановки действия сертификат приобретает статус Сохранен на КН и заблокирован во внешней системе. (По восстановлении его действия – снова возвращается в состояние Сохранен на КН).
Чтобы приостановить/возобновить действие сертификата, выполните следующее.
- В консоли управления JMS перейдите в раздел Объекты -> Сертификаты.
- В списке справа выберите сертификат, действие которого вы хотите приостановить/возобновить.
- Нажмите в строке выбранного сертификата правой кнопкой мыши и выберите:
- Отключить – чтобы приостановить действие сертификата;
- Включить — чтобы возобновить действие сертификата.
4. В диалоговом окне с запросом на выполняемое действие нажмите Да.
Импорт резервной копии закрытого ключа, связанного с сертификатом
В JMS реализована возможность добавить/восстановить резервную копию закрытого ключа, связанного с сертификатом, для еще не удаленных из JMS сертификатов, которые имеют один из следующих статусов:
- Выпущен на КН;
- Сохранен на КН;
- Заблокирован во внешней системе (действие сертификата приостановлено в выпустившем его удостоверяющем центре);
- Отозван во внешней системе (сертификат отозван в выпустившем его удостоверяющем центре).
Чтобы импортировать в JMS резервную копию закрытого ключа, связанного с сертификатом, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Сертификаты.
- В правой части окна выберите сертификат, копию закрытого ключа для которого необходимо импортировать, нажмите на нём правой кнопкой мыши и выберите Импорт резервных копий
Примечание. Для выполнения операции Импорт резервных копий пользователь должен быть наделен ролью, в которой добавлено право на выполнение операции Ключевые носители -> Импорт резервных копий сертификатов. (Поскольку ни одна из встроенных ролей JMS не содержит такого права, соответствующую роль необходимо создать вручную. Подробнее см. «Создание, редактирование и назначение ролей JMS», с. 300).
Отобразится окно мастера импорта резервных копий сертификата.
Рис. 23 – Приветственное окно мастера импорта резервных копий сертификатов
3. Следуйте указаниям мастера до завершения процедуры импорта резервной копии закрытого ключа.
Операции с ЭК/ЗНИ
Жизненный цикл ЭК/ЗНИ
Обобщенная диаграмма жизненного цикла ЭК/ЗНИ (в пользовательском интерфейсе – ключевого носителя, КН) отображена на Рис. 24. На данной диаграмме в скобках указываются приложение – Консоль управления JMS и/или Клиент JMS, – из которых доступно соответствующее действие (операция), в результате которого происходит переход от одного состояния КН к другому.
Рис. 24 – Диаграмма жизненного цикла ключевого носителя (электронного ключа/ЗНИ)
Ниже приведено краткое описание операций с КН, доступных в зависимости от его текущего состояния в соответствии с Рис. 24.
Регистрация КН (операция Зарегистрировать). В результате регистрации КН привязывается к объекту ресурсной системы и в JMS создается запись с его общими реквизитами. Запись о КН начинает отображаться в разделе Ключевые носители консоли управления JMS. Операция регистрации КН может быть использована для ограничения возможности выпуска из клиентского приложения JMS (используя профиль клиентского агента, см. «Настройка профиля клиентского агента», с. 106) тех КН, которые еще не зарегистрированы в JMS. Подробное описание операции регистрации КН см. в разделе «Регистрация подсоединенных ЭК/ЗНИ в JMS», с. 30.
Назначение КН (операция Назначить пользователю). В результате выполнения операции ключевому носителю назначается пользователь – владелец КН. Операция назначения КН пользователю может быть использована для ограничения возможности выпуска из клиентского приложения JMS (используя профиль клиентского агента, см. «Настройка профиля клиентского агента», с. 106) тех КН, которые еще не назначены пользователю. Подробнее об операции назначения КН см. в разделе «Назначение / отмена назначения ЭК/ЗНИ пользователю», с. 35.
Выпуск КН (операция Зарегистрировать и выпустить). Данная операция выполняет полную подготовку КН к его эксплуатации. В процессе выпуска, в зависимости от профилей, привязанных к пользователю – владельцу КН или к содержащему данного пользователя контейнеру (см. «Привязка профилей», с. 229), КН может быть проинициализирован, в нем может быть сгенерирована ключевая пара, а также записаны необходимые объекты JMS (в т. ч. сертификаты открытого ключа). Подробное описание операции см. в разделе «Выпуск ЭК/ЗНИ администратором», с. 39.
Отключение КН (операция Отключить). В результате отключения КН происходит его временная блокировка в JMS (НЕ ПУТАТЬ с физической блокировкой КН, связанной блокировкой PIN-кода. см. «Разблокировка подсоединенного электронного ключа», с. 59), после чего пользователю становятся недоступным открытие с помощью данного КН открытие пользовательского сеанса в клиенте JMS. Подробнее см. раздел «Отключение/включение возможности использования ЭК/ЗНИ », с. 44.
Включение КН (операция Включить). Включение КН – процедура, обратная его временной блокировке (см. Отключение КН, выше). В результате включения КН пользователь вновь получает возможность выполнять аутентификацию с помощью данного КН в клиенте JMS и производить другие действия, доступные в состоянии КН Используется. Подробнее см. раздел «Отключение/включение возможности использования ЭК/ЗНИ », с. 44.
Отзыв КН (операция Отозвать). В результате отзыва КН переходит на завершающую стадию жизненного цикла (состояние Отозван). При этом в зависимости от настроек привязанного профиля выпуска сертификата из КН могут отзываться (удаляться, а также отзываться из УЦ, в случае сертификата открытого ключа) все объекты, выпущенные с помощью JMS. Операция отзыва производится автоматически при замене одного КН на другой (см. «Замена ЭК/ЗНИ», с. 52), а также вручную при прекращении эксплуатации КН, например, по причине его компрометации или в случае смены его владельца. Подробнее об операции отзыва см. в разделе «Отзыв ЭК/ЗНИ », с. 50.
Удаление КН (операция Удалить). При удалении КН выполняется его отзыв (см. Отзыв КН, выше); КН переходит в состояние Не зарегистрирован; запись о КН перестает отражаться в списке зарегистрированных КН в консоли управления JMS (раздел Объекты -> Ключевые носители). Подробнее об операции удаления КН см. в разделе «Удаление ЭК/ЗНИ », с. 62.
Описание других операций, отображенных на диаграмме жизненного цикла приведено в следующих разделах:
- «Замена ЭК/ЗНИ», с. 52;
- «Синхронизация ЭК/ЗНИ», с. 47;
- «Очистка ЭК/ЗНИ», с. 45;
- «Назначение / отмена назначения ЭК/ЗНИ пользователю», с. 35.
Помимо перечисленных операций с КН, могут быть выполнены и другие, не отраженные на диаграмме жизненного цикла, такие как смена и разблокировка PIN-кода, PIN-кода подписи и т.п. Детальный список доступных операций над КН зависит от его текущего статуса, роли пользователя, выполняющего над ним операции, привязанных к нему профилей и их настроек. Подробное описание этих условий приведено в соответствующих разделах настоящего руководства.
Регистрация подсоединенных ЭК/ЗНИ в JMS
Примечание. Для корректного отображения подсоединённых ЭК в консоли управления следует убедиться, что выполнены действия, описанные в первой части руководства администратора [2] в разделе «Проверка работы JWA c Консолью управления JMS»
Чтобы зарегистрировать подсоединенный электронный ключ в JMS, выполните следующие действия.
- Подсоедините электронный ключ, который вы хотите зарегистрировать, к компьютеру.
- В консоли управления перейдите в раздел Подключенные устройства -> Ключевые носители:
Рис. 25 – Выбор раздела Подключенные устройства -> Ключевые носители в консоли управления JMS
3. Выберите электронный ключ, который необходимо зарегистрировать:
Рис. 26 – Выбор электронного ключа для регистрации
4. В меню действий выберите Зарегистрировать:
Рис. 27 – Выбор действия Зарегистрировать
5. Выберите группу или организационную единицу, к которой будет привязан зарегистрированный электронный ключ, после чего нажмите Далее.
6. При необходимости укажите дополнительные данные (Номер корпуса, Номер СКЗИ и Номер СЗИ) и нажмите Далее.
Примечание. При регистрации электронного ключа как СКЗИ в поле Номер СКЗИ следует ввести регистрационный номер соответствующего СКЗИ, указанный в его паспорте.
7. Дождитесь окончания работы мастера регистрации.
У зарегистрированного электронного ключа значение в поле Статус изменится на Зарегистрирован:
Рис. 28 – Значение статуса у зарегистрированного ЭК
Импорт (пакетная регистрация) ЭК/ЗНИ в JMS
Для пакетной регистрации электронных ключей в JMS следует воспользоваться файлом со списком электронных ключей компании-поставщика (предоставляется только компанией Аладдин для электронных ключей JaCarta по запросу заказчика).
Чтобы импортировать электронные ключи в JMS, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Ключевые носители.
Рис. 29 – Выбор раздела Объекты -> Ключевые носители в консоли управления JMS
2. В дереве ресурсной системы выберите контейнер, в котором необходимо зарегистрировать электронные ключи, нажмите на нем правой кнопкой мыши и выберите +Импорт.
Рис. 30 – Выбор раздела Объекты -> Ключевые носители в консоли управления JMS
3. Откроется страница мастера импорта электронных ключей:
Рис. 31 – Стартовая страница мастера импорта электронных ключей
4. В поле Файл импорта нажмите три точки (…), выберите XML-файл для импорта и нажмите Далее.
5. Следуйте указаниям мастера до окончания процедуры импорта.
6. По окончании импорта отобразится страница завершения работы мастера:
Рис. 32 – Страница завершения мастера импорта электронных ключей
Чтобы завершить работу мастера, нажмите Завершить.
Импортированные ключи отобразятся в разделе Объекты –> Ключевые носители со статусом Зарегистрирован в указанном пользователе контейнере ресурсной системы:
Рис. 33 – Результат пакетной регистрации электронных ключей
Назначение / отмена назначения ЭК/ЗНИ пользователю
Назначение пользователю
Перед назначением электронного ключа пользователю необходимо настроить профиль выпуска электронных ключей. После этого необходимо выполнить привязку настроенного профиля к пользователю либо к группе, в которую входит пользователь, которому назначается электронный ключ.
Подробнее см.:
- «Настройка профилей JMS», с. 100;
- «Настройка профиля выпуска электронных ключей», с. 102;
- «Привязка профилей», с. 229.
Назначить пользователю можно только зарегистрированный ранее электронный ключ (см. «Регистрация подсоединенных ЭК/ЗНИ в JMS», с. 30)
Чтобы назначить пользователю зарегистрированный электронный ключ в JMS, выполните следующие действия.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, для которого необходимо выполнить назначение пользователю, должен быть подключен к компьютеру.
1.1. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, нажмите на нем правой кнопкой мыши и в появившемся меню выберите Назначить;
1.2. На странице назначения пользователя выберите на панели слева контейнер, содержащий пользователя, в центре экрана – пользователя, которому следует назначить электронный ключ, и нажмите Назначить (Рис. 34).
Рис. 34 – Страница назначения ЭК пользователю
2. При действии из раздела Подключенные устройства -> Ключевые носители в центральной части окна отметьте ключ, который вы хотите назначить пользователю:
Рис. 35 – Выбор электронного ключа для назначения пользователю
2.1. вверху, в области выбора действий Назначение, выберите пункт Назначить пользователю:
Рис. 36 – Выбор действия Назначить пользователю
2.2. На странице назначения пользователя выберите на панели слева контейнер, содержащий пользователя, в центре экрана – пользователя, которому следует назначить электронный ключ, и нажмите Назначить (Рис. 34).
У электронного ключа, назначенного пользователю, значение в поле Статус изменится на Назначен:
Рис. 37 – Значение статуса у ЭК, назначенного пользователю
Примечание. В случае если электронный ключ был ранее зарегистрирован как СКЗИ, при назначении его пользователю будет сформирован нормативный документ «Акт передачи СКЗИ новому ответственному пользователю».
Отмена назначения
Отмена назначения электронного ключа пользователю также как и назначение может производиться из следующих разделов консоли управления:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, для которого необходимо выполнить назначение пользователю, должен быть подключен к компьютеру.
Действия по отмене назначения электронного ключа пользователю производятся по аналогии с назначением (см. «Назначение пользователю», выше), при этом в меню действий следует выбирать пункт Отменить назначение.
При нажатии на Отменить назначение следует выполнить следующие действия.
- В окне запроса на отмену назначения нажать Да:
Рис. 38 – Окно запроса на отмену назначения ЭК пользователю
2. На странице выбора контейнера ресурсной системы следует выбрать контейнер, которому будет назначен в JMS данный электронный ключ.
Рис. 39 – Страница выбора контейнера ресурсной системы для назначения ему ЭК
Статус электронного ключа после отмены его назначения пользователю меняется на Зарегистрирован:
Рис. 40 – Значение статуса ЭК после отмены назначения пользователю
Выпуск ЭК/ЗНИ администратором
Примечание. Для корректного отображения подсоединённых ЭК в консоли управления следует убедиться, что выполнены действия, описанные в первой части руководства администратора [2] в разделе «Проверка работы JWA c Консолью управления JMS»
Процедура выпуска электронного ключа может отличаться в зависимости от настроек профилей (см. «Настройка профилей JMS», с. 100).
Чтобы выпустить подсоединенный электронный ключ в JMS, выполните следующие действия.
- Подсоедините электронный ключ, который вы хотите выпустить, к компьютеру.
- В консоли управления перейдите в раздел Подключенные устройства -> Ключевые носители:
Рис. 41 – Выбор раздела Подключенные устройства -> Ключевые носители в консоли управления JMS
3. Выберите электронный ключ, который необходимо выпустить:
Рис. 42 – Выбор электронного ключа для регистрации
4. В меню действий выберите Зарегистрировать и выпустить:
Рис. 43 – Выбор действия Зарегистрировать
5. На странице Выбор пользователя выберите пользователя, на чье имя будет выпущен электронный ключ, после чего нажмите Выбрать:
Рис. 44 – Выбор пользователя для выпуска ЭК
6. Откроется страница мастера выпуска электронных ключей, после чего нажмите Далее:
Рис. 45 – Стартовая страница мастера выпуска ЭК
7. Откроется страница ввода атрибутов ключевого носителя. При необходимости укажите дополнительные данные (Номер корпуса, Номер СКЗИ и Номер СЗИ) и нажмите Далее.
Примечание. При регистрации электронного ключа как СКЗИ в поле Номер СКЗИ следует ввести регистрационный номер соответствующего СКЗИ, указанный в его паспорте.
Рис. 46 – Страница ввод дополнительных параметров ЭК
8. Следуйте указаниям мастера. На странице указания информации о владельце электронного ключа (для моделей JaCarta SF/ГОСТ) при необходимости укажите информацию о владельце и нажмете Далее.
Рис. 47 – Страница для указания информации о владельце ЭК
9. На странице указания параметров приложения при необходимости укажите запрашиваемую информацию и нажмете Далее.
Рис. 48 – Страница для указания параметров приложения на ЭК
10. Следуйте указаниям мастера, после чего дождитесь окончания процедуры выпуска электронных ключей.
По завершении процедуры выпуска отобразится следующая страница:
Рис. 49 – Значение статуса у зарегистрированного ЭК
Чтобы посмотреть результаты работы мастера нажмите Показать отчет о синхронизации.
Чтобы завершить работу мастера, нажмите Завершить.
У электронного ключа, выпущенного на имя пользователя, значение в поле Статус изменится на Используется:
Рис. 50 – Значение статуса у ЭК, выпущенного на имя пользователя
Отключение/включение возможности использования ЭК/ЗНИ
JMS позволяет временно отключить, а затем включить возможность использования электронного ключа. Чтобы отключить/включить возможность использования электронного ключа, выполните следующие действия.
Отключение возможности использования электронного ключа означает, что объекты в его памяти, не будучи измененными, приостанавливают свое действие. При последующем включении возможности использования электронного ключа действие объектов в его памяти возобновляется.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, возможность использования которого вы хотите включить/отключить, должен быть подключен к компьютеру.
2. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, возможность использования которого вы хотите включить/отключить.
2.1. нажмите на нем правой кнопкой мыши и в появившемся меню выберите:
2.1.1. Отключить – чтобы временно отключить возможность использования электронного ключа;
2.1.2. Включить - чтобы возобновить возможность использования электронного ключа;
2.2. в окне запроса на отключение нажмите Да.
3. При действии из раздела Подключенные устройства -> Ключевые носители в центральной части окна отметьте ключ, возможность использования которого вы хотите включить/отключить.
3.1. вверху, в области выбора действий, выберите пункт:
3.1.1. Отключить – чтобы временно отключить возможность использования электронного ключа;
3.1.2. Включить - чтобы возобновить возможность использования электронного ключа;
3.1.3. в окне запроса на подтверждение действия нажмите Да.
Статус «Отключен» отображается в любом из представлений электронного ключа, например в разделе Объекты -> Ключевые носители.
Рис. 51 – Значение статуса у ЭК, отключенного администратором
Очистка ЭК/ЗНИ
Функция очистки позволяет удалить из заданных приложений на электронном ключе все объекты (при этом их копии в JMS также удаляются, т.е. приобретают статус Удаленный), а также инициализировать данные приложениях в соответствии с выбранным профилем их инициализации.
Чтобы очистить электронный ключ, выполните следующие действия.
- Подсоедините электронный ключ, требующий очистки, к компьютеру.
- В консоли управления JMS перейдите в раздел Подключенные устройства -> Ключевые носители.
Примечание. Функция очистки доступна только для электронных ключей, имеющих статус в JMS Зарегистрирован, Назначен или Отозван.
3. Выберите электронный ключ, который необходимо очистить.
4. На панели действий нажмите Очистить:
Рис. 52 – Выбор действия Очистить
5. Откроется страница мастера очистки электронных ключей:
Рис. 53 – Стартовая страница мастера очистки ЭК
6. В каждом из приложений в предложенном списке в зависимости от требований к очистке данного приложения выберите один из вариантов:
- Не очищать – в случае если данное приложение не требует очистки;
- Использовать параметры инициализации по умолчанию – в случае если для инициализации приложения следует использовать соответствующий профиль по умолчанию;
- Использовать профиль инициализации – в случае если необходимо выбрать созданный заранее профиль инициализации из раскрывающегося списка.
7. Нажмите Далее и следуйте указаниям мастера до завершения процедуры очистки.
По окончании процедуры очистки отобразится следующая страница:
Рис. 54 – Страница завершения работы мастера очистки ЭК
Для закрытия мастера очистки нажмите Завершить.
По окончании процедуры очистки электронный ключ своего статуса (например, Отозван) не меняет.
Синхронизация ЭК/ЗНИ
В процессе синхронизации содержимое электронного ключа приводится в соответствие с привязанными профилями выпуска объектов JMS (например, профилями управления ISO-образами, обновления встроенного ПО и др., ).
Примечание. При синхронизации применение профилей выпуска и инициализации ЭК/ЗНИ не выполняется. Данные профили применяются к ЭК/ЗНИ только при его выпуске.
Синхронизации подлежат только электронные ключи, ранее выпущенные в JMS и имеющие статус Используется, Отключен или Отозван.
Примечание. При работе с ЗНИ JaCarta SF/ГОСТ в результате процедуры синхронизации происходит загрузка всех журналов регистрации событий из ЗНИ в БД на сервере JMS, после чего содержимое журналов в ЗНИ удаляется, что позволяет избежать их переполнения.
Чтобы синхронизировать электронный ключ с сервером JMS, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Подключенные устройства -> Ключевые носители (Рис. 25, с. 31).
Синхронизируемый электронный ключ должен быть при этом подсоединен к компьютеру.
- Выберите электронный ключ, который необходимо синхронизировать (Рис. 26, с. 31)
- На верхней панели нажмите Синхронизация:
Рис. 55 – Выбор действия Зарегистрировать
4. Откроется страница мастера синхронизации электронных ключей. Нажмите Далее:
Рис. 56 – Стартовая страница мастера синхронизации ЭК
5. Следуйте указаниям мастера до завершения процедуры синхронизации ЭК.
По окончании процедуры синхронизации отобразится следующая страница:
Рис. 57 – Страница завершения работы мастера очистки ЭК
Для просмотра отчета нажмите Показать отчет о синхронизации.
Для закрытия мастера синхронизации нажмите Завершить.
Типы синхронизации электронных ключей из приложения Клиент JMS
С целью увеличения ресурса постоянной памяти (EEPROM) электронных ключей в JMS дифференцируются два типа их синхронизации, производимой из приложения Клиент JMS:
- обычная синхронизация – выполняется в случае внесения в БД JMS изменений в статус объектов, хранимых на электронных ключах, посредством консоли управления JMS (например удаление/отзыв сертификата) или внесение изменений в профиль выпуска сертификатов, привязанного к данным электронным ключам (включая смену / прекращение привязки такого профиля). Данный тип синхронизации в частности выполняется при наступлении событий, перечисленных на вкладке Синхронизация в профиле настройки клиентского агента (см. «Настройка профиля клиентского агента», с. 106).
- принудительная (расширенная) синхронизация. Во время такой синхронизации помимо процедур, выполняемых в рамках обычной синхронизации, из постоянной памяти электронного ключа производится также считывание объектов с последующим анализом их состава/состояния в сравнении с эталонной информацией о данных объектах, хранимой в БД JMS.
В результате принудительной (расширенной) синхронизации могут выполняться следующие действия:
- в случае если в память электронного ключа были добавлены новые объекты (сертификаты) не средствами JMS, то данные объекты загружаются в БД JMS;
- в случае если из памяти электронного ключа были удалены объекты (не средствами JMS), ранее зарегистрированные в JMS, например сертификаты со статусами Выпущен на КН и Сохранен на КН, то такие объекты будут восстановлены в памяти электронного ключа.
Принудительная (расширенная) синхронизация для электронных ключей производится только при нажатии на кнопку (или пункт меню) Синхронизировать в приложении Клиент JMS на вкладке Устройства (см. документ «Руководство пользователя», [1]).
Табл. 3 – Значения параметров по умолчанию профиля настройки клиентского агента
Параметр профиля настройки клиентского агента | Значение параметра по умолчанию |
|---|---|
Запускать проверку синхронизации при возникновении событий | |
Запускать проверку необходимости синхронизации после старта агента | Да |
Запускать проверку необходимости синхронизации после подключения КН | Да |
Запускать проверку необходимости синхронизации по расписанию | Да |
Запускать проверку необходимости синхронизации после разблокировки сессии ОС | Да |
Дополнительные настройки синхронизации клиентского агента | |
Разрешать синхронизацию для отключенного КН | Да |
Разрешать синхронизацию для отозванного КН | Да |
Настройки расписания синхронизации | |
Обычная синхронизация | 60 минут |
Ускоренная синхронизация | 5 минут |
Количество повторов неудачной синхронизации | 5 |
Настройки автоматической разблокировки | |
Разрешать автоматическую разблокировку | Нет |
Настройки самостоятельного выпуска ключевых носителей | |
Самостоятельный выпуск назначенных КН | Запрещен |
Самостоятельный выпуск незарегистрированных КН | Запрещен |
Самостоятельный выпуск зарегистрированных КН | Запрещен |
Работа с ключевыми носителями | |
Разрешать замену | Нет |
Разрешать отключение | Нет |
Разрешать сообщение об утере/поломке | Нет |
Разрешать разблокировку | Да |
Настройки параметров принудительной смены PIN-кода пользователя | |
Время, отводимое пользователю для смены PIN-кода с момента установки опции | 24 часа |
Периодичность напоминания о необходимости смены PIN-кода до истечения срока | 60 минут |
Периодичность напоминания о необходимости смены PIN-кода после истечения срока | 30 минут |
Отзыв ЭК/ЗНИ
Чтобы отозвать электронный ключ, выполните следующие действия.
После отзыва электронного ключа его статус в JMS будет изменен на Отозван, также будут отозваны все объекты в памяти электронного ключа.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, который вы хотите отозвать, должен быть подключен к компьютеру.
1.1. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, который вы хотите отозвать, нажмите на нем правой кнопкой мыши, и в появившемся меню выберите Отозвать;
1.2. При действии из раздела Подключенные устройства -> Ключевые носители в центральной части окна отметьте ключ и вверху, в области выбора действий, выберите пункт Отозвать.
2. Откроется страница мастера отзыва электронных ключей:
Рис. 58 – Стартовая страница мастера выпуска ЭК
3. Введите значения в поля Причина отзыва и Комментарий и нажмите Далее.
4. Следуйте указанием мастера до завершения процедуры отзыва.
По окончании процедуры отзыва отобразится следующая страница:
Рис. 59 – Страница завершения работы мастера отзыва ЭК
Для закрытия мастера отзыва нажмите Завершить.
Статус Отозван отображается в любом из представлений электронного ключа, например в разделе Объекты -> Ключевые носители.
Рис. 60 – Значение статуса у ЭК, отозванного администратором
Замена ЭК/ЗНИ
Предусмотрено два варианта замены электронного ключа: простая замена и замена с восстановлением данных из резервной копии. В первом случае объекты в памяти нового электронного ключа создаются заново, тогда как в случае с восстановлением данных из резервной копии используются резервные копии объектов, содержащихся на старом электронном ключе.
Замена электронного ключа с восстановлением данных из резервной копии возможна только в том случае, если в профиле, который использовался при выпуске или синхронизации заменяемого электронного ключа (например, в профиле выпуска сертификатов в удостоверяющем центре DogTag) была включена настройка резервного копирования объектов.
Чтобы заменить электронный ключ, выполните следующие действия.
Электронный ключ, который выступит заменой прежнему, должен быть подсоединен к компьютеру.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
2. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, который необходимо заменить на другой. Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Заменить.
Рис. 61 – Выбор действия Заменить в меню операций с выбранным ЭК
3. Откроется страница мастера замены электронных ключей. Нажмите Далее:
Рис. 62 – Стартовая страница мастера замены ЭК
4. На следующей странице укажите Причину замены и при необходимости заполните поле Комментарий и нажмите Далее:
Рис. 63 – Страница выбора причины замены ЭК
5. На следующей странице выберите подсоединенный электронный ключ, которым следует заменить выбранный ранее и нажмите Далее:
Рис. 64 – Страница выбора причины замены ЭК
6. Выберите электронный ключ, который выступит заменой старому, и нажмите Далее.
Отобразится страница следующего вида.
Рис. 65 – Страница подготовки к выпуску ключевого носителя
7. Нажмите Далее.
Отобразится следующая страница.
Рис. 66 – Страница ввода данных владельца электронного ключа
8. Введите необходимые данные и нажмите Далее.
Отобразится следующая страница.
Рис. 67 – Страница настройки параметров инициализации
9. Укажите или отредактируйте назначение и метку ключевого носителя, после чего нажмите Далее.
Отобразится следующая страница.
Рис. 68 – Выбор режима замени электронного ключа
10. Выберите режим замены электронного ключа, после чего нажмите Далее:
- Без восстановления данных из резервной копии – данные для выпуска нового электронного ключа будут сформированы непосредственно перед выпуском.
- С восстановлением данных из резервной копии – для выпуска нового электронного ключа будут использованы сохраненные данные предыдущего электронного ключа;
Отобразится страница следующего вида.
Рис. 69 – Страница подтверждения параметров заменяемого ключевого носителя
11. Нажмите Далее.
По окончании процедуры записи данных на ЭК отобразится следующая страница.
Рис. 70 – Страница завершения работы мастера замены ключевого носителя
12. Нажмите Завершить.
По окончании процедуры замены старый электронный ключ приобретет статус Отозван, новый электронный ключ приобретет статус Используется.
Возврат в эксплуатацию ЭК/ЗНИ
JMS позволяет вернуть отозванный электронный ключ (статус Отозван) в эксплуатацию. Для этого выполните следующие действия.
После возврата в эксплуатацию электронного ключа его статус в базе данных JMS принимает значение Зарегистрирован. При этом удаляется привязка электронного ключа к предыдущему владельцу.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, который необходимо вернуть в эксплуатацию, должен быть подключен к компьютеру.
2. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, который необходимо вернуть в эксплуатацию. Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Вернуть в эксплуатацию.
Рис. 71 – Выбор действия Вернуть в эксплуатацию в меню операций с выбранным ЭК
2.1. В окне запроса на подтверждение возврата в эксплуатацию нажмите Да:
Рис. 72 – Окно подтверждения возврата ЭК в эксплуатацию
3. При действии из раздела Подключенные устройства -> Ключевые носители в центральной части страницы выберите ключ, который необходимо вернуть в эксплуатацию. Вверху нажмите Вывод из эксплуатации и выберите Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Вернуть в эксплуатацию.
Рис. 73 – Выбор действия Вернуть в эксплуатацию из раздела Подключенные устройства
3.1. В окне запроса на подтверждение возврата в эксплуатацию нажмите Да:
Рис. 74 – Окно подтверждения возврата ЭК в эксплуатацию
По окончании процедуры возврата в эксплуатацию электронный ключ приобретет статус Зарегистрирован.
Примечание. В случае если электронный ключ был ранее зарегистрирован как СКЗИ, при его возврате в эксплуатацию будет сформирован нормативный документ «Акт получения СКЗИ администратором».
Разблокировка подсоединенного электронного ключа
Предоставление права на разблокировку
По умолчанию встроенная роль Администратор ИБ в JMS не наделена правом разблокировки PIN-кода пользователя в электронных ключах через консоль управления JMS. Для предоставления такого права необходимо выполнить следующие действия:
- создать дополнительную служебную роль (см. «Создание новой роли JMS», с. 301)
- добавить созданной роли право выполнения операции Разблокировка по PIN-коду администратора (см. «Приложение 1. Права на выполнение операций», с. 385 );
- назначить (добавить) созданную роль пользователю, которому должно быть предоставлено право разблокировки электронных ключей (например, администратору, см. «Назначение / отмена назначения ролей пользователям JMS», с. 303).
Порядок разблокировки
Чтобы разблокировать подсоединенный электронный ключ, выполните следующие действия.
- Подсоедините электронный ключ, который необходимо разблокировать, к компьютеру.
- В консоли управления JMS перейдите в раздел Подключенные устройства -> Ключевые носители.
- В центральной части экрана выберите электронный ключ, который нужно разблокировать.
- В верхней выберите PIN-код -> Разблокировать..
Если на электронном ключе содержится несколько приложений, выберите нужное в раскрывающемся списке, после чего продолжите процедуру.
5. В окне предупреждающего сообщения нажмите Да.
6. Отобразится страница смены PIN-кода пользователя.
Рис. 75 – Окно подтверждения возврата ЭК в эксплуатацию
7. В полях Новый PIN-код пользователя и Подтвердите новый PIN-код пользователя задайте новый PIN-код пользователя и введите подтверждение соответственно, после чего нажмите OK.
8. В окне сообщения об успешной разблокировке нажмите OK.
Разблокировка электронного ключа в удаленном режиме
Процедура разблокировки в удаленном режиме неприменима к электронным ключам моделей JaCarta SF/ГОСТ, ГОСТ и ГОСТ-2.
Чтобы разблокировать электронный ключ в удаленном режиме, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Ключевые носители.
- Выберите электронный ключ, который нужно разблокировать.
- Нажмите на нем правой кнопкой мыши и выберите Разблокировать.
Отобразится страница следующего вида.
Рис. 76 – Окно удаленной разблокировки
4. Проинструктируйте пользователя (например, по телефону), как сгенерировать код запроса с помощью Клиента JMS:
4.1. пользователь должен подсоединить электронный ключ с заблокированным PIN-кодом к компьютеру.
4.2. пользователь должен открыть в браузере web-приложение клиента JMS (например, нажав правой кнопкой в области уведомлений на значке выбрать Открыть страницу агента);
4.3. после аутентификации в web-приложении клиента пользователь должен выбрать вкладку Устройства, выбрать электронный ключ с заблокированным PIN-кодом пользователя, нажать на значок управления и выбрать Разблокировка PIN-кода;
4.4. на экране пользователя отобразится страница разблокировки следующего вида;
Рис. 77 – Окно разблокировки PIN-кода в web-клиенте JMS
4.5. На данной странице пользователь должен заполнить поля Новый PIN-код пользователя и Подтвердите PIN-код пользователя, и продиктовать вам значение, отображающееся в поле Строка запроса.
Введите продиктованное пользователем значение запроса в поле Запрос окна удаленной разблокировки, после чего нажмите Сгенерировать ответ. Сгенерированное значение отобразится в поле Ответ окна удаленной разблокировки (см. рис. 78).
Рис. 78 – Сгенерированный код ответа
5. Продиктуйте пользователю значение ответа - пользователь должен ввести его в поле Строка ответа (Рис. 77), после чего нажать Отправить.
Если значение введено верно, на странице отобразится сообщение об успешной разблокировке электронного ключа.
Рис. 79 – Сообщение об успешной проверке значения ответа
PIN-код пользователя разблокирован.
Примечание. Удаленная разблокировка PIN-кодов в приложениях ГОСТ и ГОСТ-2 (например, в электронных ключах JaCarta ГОСТ или JaCarta-2 ГОСТ) в JMS недоступна.
Удаление ЭК/ЗНИ
При удалении электронного ключа в JMS выполняются те же действия, что и при его отзыве (см. «Отзыв ЭК/ЗНИ », с. 50). При этом электронный ключ приобретает в JMS статус Не зарегистрирован, а в базе данных JMS помечается как удаленный (и больше не отражается в разделе Ключевые носители).
Чтобы удалить электронный ключ, выполните следующие действия.
Примечание. В случае если на электронном ключе присутствуют объекты (сертификаты и др.) рекомендуется предварительно выполнить отзыв и очистку ключа (см. соответственно «Отзыв ЭК/ЗНИ », с. 50 и «Очистка ЭК/ЗНИ », с. 45).
6. В консоли управления JMS перейдите в один из следующих разделов:
- Объекты ->Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае электронный ключ, который необходимо удалить, должен быть подсоединен к компьютеру.
7. При действии из раздела Объекты -> Ключевые носители в центральной части окна выберите ключ, который необходимо удалить;
7.1. нажмите на нём правой кнопкой мыши и в появившемся меню нажмите Удалить;
7.2. в окне запроса на удаление нажмите Да.
8. При действии из раздела Подключенные устройства -> Ключевые носители в центральной части окна выберите ключ, который необходимо удалить;
8.1. вверху, в области выбора действий, нажмите кнопку Удалить;
8.2. в окне запроса на удаление нажмите Да.
После удаления электронный ключ, отображаемый в разделе Подключенные устройства -> Ключевые носители приобретает статус Не зарегистрирован:
Рис. 80 – Значение статуса у ЭК, удаленного из JMS
Особенности работы с ЗНИ (ЭН) JaCarta SF/ГОСТ
Согласно документации из комплекта поставки ЗНИ JaCarta SF/ГОСТ (в заводской документации – ЭН, электронные носители) данные ЗНИ в зависимости от способа их инициализации бывают двух видов:
- «ЭН пользователя», т.е. электронный ключ, используемый конечным пользователем. Далее по тексту – ЭН пользователя;
- «ЭН администратора доступа», т.е. электронный ключ, используемый администратором безопасности для конфигурирования «ЭН пользователей» (электронных ключей) и управления правами доступа к данным электронным ключам; далее по тексту – ЭН администратора доступа.
Один ЭН администратора доступа (условно «родительский» электронный ключ) может использоваться для управления доступом к нескольким связанным с ним ЭН пользователя. (Подробное описание функционирования электронных ключей JaCarta SF/ГОСТ и правил их использования приводится документации из комплекта их поставки).
JMS позволяет выпускать и администрировать оба вида данных электронных ключей.
Важно! Для выпуска электронного ключа JaCarta SF/ГОСТ и проведения с ним любых других операций последний должен быть подключён к компьютеру с Консолью управления JMS (или Клиентом JMS) непосредственно, либо с помощью среды виртуализации, например средств виртуализации VMware. Не допускается подключение электронного ключа к компьютеру посредством протокола удаленного рабочего стола (Remote Desktop Protocol).
Запись ISO-образов
ISO-образы могут быть записаны в разделы CD-ROM (скрытые и закрытые) электронных ключей JaCarta SF/ГОСТ автоматически при синхронизации данных ключей, в частности при их выпуске.
При необходимости записи ISO-образов в разделы CD-ROM электронных ключей JaCarta SF/ГОСТ при их синхронизации следует:
- выполнить необходимую настройку размеров CD-ROM-разделов на вкладке Параметры профиля Инициализация JaCarta/SF ГОСТ (см. раздел «Вкладка Параметры», с. 126);
- создать профиль типа Управление ISO-образами (см. раздел «Профиль управления ISO-образами JaCarta SF/ГОСТ», с. 216);
- привязать профиль управления ISO-образами к пользователю (контейнеру пользователя в ресурсной системе), см. раздел «Привязка профилей», с. 229.
Обновление встроенного ПО в ЗНИ JaCarta SF/ГОСТ
Электронные ключи (ЗНИ) JaCarta SF/ГОСТ позволяют обновлять встроенное в них микропрограммное обеспечение (далее – встроенное ПО), в частности, посредством системы JMS как в консоли администрирования JMS, так и в клиенте JMS.
При необходимости обновить встроенное ПО в ЗНИ JaCarta SF/ГОСТ следует создать соответствующий профиль (см. «Профиль обновления встроенного ПО JaCarta SF/ГОСТ», с. 219) и выполнить его привязку (см. «Привязка профилей», с. 229). Обновление встроенного ПО выполняется в момент выпуска/синхронизации ЗНИ.
Примечание. Для обновления встроенного ПО в приложении Клиент JMS требуется соответствующее разрешение в настройках профиля обновления встроенного ПО.
К ЗНИ JaCarta SF/ГОСТ может быть привязан только один профиль обновления встроенного ПО, в противном случае обновление встроенного ПО в данном ЗНИ будет невозможно выполнить (см. раздел «Проверка статуса обновления встроенного ПО», с. 64).
В процессе выпуска/синхронизации ЗНИ JaCarta SF/ГОСТ можно отказаться от обновления встроенного ПО, но при определенных настройках профиля обновления (например, при истечении срока обновления ПО) ЗНИ может быть заблокирован, о чем выдается соответствующее предупреждение. Если же JMS позволяет отказаться от обновления ПО без блокировки ЭН, то при очередной синхронизации данного ЗНИ пользователю/администратору снова будет предложено обновить встроенное ПО.
Проверка статуса обновления встроенного ПО
Чтобы выяснить, требуется ли обновление встроенного ПО на зарегистрированном в JMS электронном ключе JaCarta SF/ГОСТ, а также убедиться в корректности привязки профиля обновления встроенного ПО, следует проверить значение атрибута Статус обновления встроенного ПО (Рис. 81)в свойствах электронного ключа в разделе Ключевые носители (или Подключенные ключевые носители) консоли управления JMS.
Рис. 81 – Проверка статуса обновления встроенного ПО в электронном ключе JaCarta SF/ГОСТ
Атрибут Статус обновления встроенного ПО может принимать следующие значения:
- Не требуется – у электронного ключа нет привязанного профиля обновления встроенного ПО (т.е. обновление встроенного ПО не требуется);
- Действует более одного профиля – к электронному ключу привязано более одного профиля обновления встроенного ПО, что является некорректной настройкой (т.е. обновление встроенного ПО выполнить невозможно);
- Требуется – к электронному ключу привязан профиль обновления встроенного ПО, и в соответствии с настройками данного профиля обновление требуется (версия текущего ПО в электронном ключе устарела);
- Версия актуальна – в электронном ключе установлена актуальная версия встроенного ПО (т.е. совпадает по номеру с версией, установленной в привязанном профиле обновления).
Создание контейнера автономного монтирования скрытых дисков (.kko)
Контейнер автономного монтирования скрытых дисков (файл с расширением kko) позволяет в клиенте JMS монтировать скрытые диски RW и CD-ROM на ЗНИ JaCarta SF/ГОСТ (ЭН пользователя) без установки соединения с сервером JMS.
Для экспорта контейнера автономного монтирования скрытых дисков в консоли управления JMS выполните следующие действия.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае ЭН пользователя должен быть подсоединен к компьютеру.
2. Выберите ЗНИ JaCarta SF/ГОСТ со статусом Используется, для которого необходимо создать контейнер .kko . Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Создать контейнер автономного монтирования (.kko):
Рис. 82 – Создание контейнера .kko из консоли управления JMS
3. Отобразится страница следующего вида.
Рис. 83 – Страница установки параметров контейнера .kko
4. Выполните следующие действия.
4.1. Введите пароль и его подтверждение для создаваемого контейнера .kko.
4.2. Установите срок действия контейнера в днях или установите флаг Установить бессрочный срок действия для его бессрочного использования.
Важно! Для того чтобы возможность монтирования скрытых разделов с использованием контейнера .kko была отключена, по истечении указанного срока действия контейнера (или после отзыва контейнера вручную администратором безопасности, см. «Отзыв контейнера автономного монтирования скрытых дисков (.kko)», ниже) электронный ключ (ЗНИ) JaCarta SF/ГОСТ должен быть синхронизирован из консоли управления JMS (см. раздел «Синхронизация ЭК/ЗНИ », с. 47) либо с помощью приложения Клиент JMS (см. Руководство пользователя [1]).
5. Нажмите Создать для создания контейнера.
Файл контейнера .kko будет записан в папку, назначенную по умолчанию для загрузок (для скачанных файлов) используемого web-браузера.
Сохраненный контейнер следует передать пользователю ЗНИ для его использования на удаленном рабочем месте. Для монтирования скрытых дисков ЗНИ JaCarta SF/ГОСТ в автономном режиме пользователь может использовать как клиент JMS, так и ПО из комплекта поставки ЗНИ JaCarta SF/ГОСТ.
Отзыв контейнера автономного монтирования скрытых дисков (.kko)
Отзыв контейнера .kko возможен только у контейнеров с бессрочным использованием, или срок которых с момента выпуска еще не истек.
Важно! Для того чтобы отключить возможность монтирования скрытых разделов с использованием отозванного контейнера .kko, после его отзыва электронный ключ (ЗНИ) JaCarta SF/ГОСТ должен быть синхронизирован из консоли управления JMS (см. раздел «Синхронизация ЭК/ЗНИ », с. 47) либо с помощью приложения Клиент JMS (см. Руководство пользователя [1]).
Для отзыва контейнера автономного монтирования скрытых дисков в консоли управления JMS выполните следующие действия.
- В консоли управления JMS перейдите в раздел Объекты -> Ключевые носители;
- Выберите ЗНИ JaCarta SF/ГОСТ, для которого ранее был выпущен контейнер .kko . Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Отозвать контейнер автономного монтирования:
Рис. 84 – Отзыв контейнера .kko
3. В окне запроса на подтверждение отзыва контейнера .kko нажмите Да.
Рис. 85 – Запрос на подтверждение отзыва контейнера .kko
После отзыва контейнера .kko может быть сгенерирован новый контейнер.
Создание контейнера для локального сервера авторизации (.kkl)
Ключевой контейнер для локального сервера авторизации (файл с расширением kkl) предназначен для использования с комплектом программных средств для USB-носителя «JACARTA SF/ГОСТ», подробнее см. документацию из комплекта поставки USB-носителя [5].
Для экспорта ключевого контейнера для локального сервера авторизации выполните следующие действия.
- В консоли управления JMS перейдите в один из следующих разделов:
- Объекты -> Ключевые носители;
- Подключенные устройства -> Ключевые носители.
В последнем случае ЭН пользователя должен быть подсоединен к компьютеру.
2. Выберите ЗНИ JaCarta SF/ГОСТ со статусом Используется, для которого необходимо создать контейнер .kkl . Нажмите на нем правой кнопкой мыши и в появившемся меню выберите Создать контейнер сервера автоматизации (.kkl).
3. Отобразится страница следующего вида.
Рис. 86 – Страница установки параметров контейнера .kkl
4. Введите пароль и его подтверждение для создаваемого контейнера .kkl.
5. Нажмите Создать для создания контейнера.
Файл контейнера .kko будет записан в папку, назначенную по умолчанию для загрузок (для скачанных файлов) используемого web-браузера.
Сохраненный контейнер следует передать администратору доступа электронных носителей JaCarta SF/ГОСТ согласно документации из комплекта поставки USB-носителя [5].
Обезличивание ЗНИ JaCarta SF/ГОСТ
Согласно заводской документации ЗНИ (ЭН) JaCarta SF/ГОСТ операция удаления всей информации с данных носителей называется «обезличиванием». Фактически операция обезличивания означает восстановление заводских настроек ЗНИ.
Важно! Не выполнив обезличивание использовавшихся ЗНИ JaCarta SF/ГОСТ с помощью JMS (или ПО из комплекта заводской поставки данных ЗНИ), ими невозможно будет воспользоваться после передачи в другую организацию (имеющую собственную инфраструктуру для работы с ЗНИ данного типа) с целью их инициализации/выпуска и дальнейшей эксплуатации.
Чтобы обезличить ЗНИ JaCarta SF/ГОСТ, ранее выпущенный с помощью JMS, выполните следующие действия.
- Подсоедините подлежащий обезличиванию ЗНИ JaCarta SF/ГОСТ к компьютеру с консолью управления JMS.
- В консоли управления JMS перейдите в раздел Подключенные устройства -> Ключевые носители.
- Выполните операцию Отозвать в соответствии с разделом «Отзыв ЭК/ЗНИ », с. 50.
- Выполните операцию Очистить в соответствии с разделом «Очистка ЭК/ЗНИ », с. 45.
По окончании выполненных процедур (обезличивания) ЗНИ JaCarta SF/ГОСТ приобретет статус Не инициализирован.
Привязка ЭК/ЗНИ к контейнерам ресурсной системы
JMS позволяет привязать электронные ключи к определенному контейнеру ресурсной системы. Первоначальна привязка к контейнеру происходит во время регистрации электронного ключа. Также, после назначения и/или выпуска электронного ключа для какой-либо учетной записи, эти электронные ключи привязываются к контейнеру, в котором находится такая учетная запись. Консоль управления JMS предоставляет возможность изменить привязку электронных ключей, которые зарегистрированы (статус Зарегистрирован), но еще не назначены и/или не выпущены на имя какого-либо пользователя.
Чтобы изменить привязку электронного ключа, выполните следующие действия.
- В консоли управления JMS перейдите в один из двух разделов:
- Объекты -> Ключевые носители, после чего панели с деревом ресурсной системы выберите контейнер, содержащий электронные ключи, привязку которых нужно изменить;
- Подключенные устройства -> Ключевые носители – в этом случае электронный ключ, привязку которого нужно изменить, должен быть подсоединен к компьютеру.
2. В центральной части интерфейса отметьте электронный ключ или ключи, привязку которых нужно изменить и нажмите правой кнопкой мыши. В появившемся меню нажмите Перенос.
Рис. 87 – Перенос привязки электронного ключа
3. Отобразится окно запроса на подтверждение переноса электронного ключа нажмите.
Рис. 88 – Окно подтверждения изменении привязки электронного ключа
4. Нажмите Да.
5. Отобразится страница выбора контейнера ресурсной системы.
Рис. 89 – Страница выбора контейнера ресурсной системы
6. Выберите контейнер, к которому вы хотите привязать электронный ключ или ключи, и нажмите Выбрать.
Электронный ключ будет привязан к выбранному контейнеру.
Виртуальные электронные ключи WpaStore и MachineStore
JMS использует служебный тип объектов в виде «виртуальных электронных ключей», представляющий собой способ выпуска или взятия под управления и последующей синхронизации машинных сертификатов в соответствующих хранилищах сертификатов на рабочих станциях и связанных с этими сертификатами закрытых ключей.
Выпуск такого «виртуального электронного ключа» происходит в результате выпуска машинного сертификата (см. «Выпуск машинного сертификата (сертификата АРМ)», с. 241), либо в результате взятия под управление ранее выпущенного машинного сертификата (см. «Выпуск машинного сертификата (сертификата АРМ)», с. 241).
После выпуска «виртуальный электронный ключ» отображается в консоли JMS как модель WpaStore или MachineStore с идентификатором, составленным из доменного имени рабочей станции, например workstation.win.lan (см. Рис. 90).
Рис. 90 – Отображение «виртуального электронного ключа» в консоли управления JMS
Операции с OTP- и U2F-аутентификаторами
Операции, связанные с управлением жизненным циклом OTP- и U2F-аутентификаторов осуществляются в разделе OTP- и U2F-аутентификаторы (Рис. 91) консоли управления JMS.
Примечание. Операции с OTP- и U2F-аутентификаторами доступны при выполнении следующих условий:
- В установленной в JMS лицензии указана опция на поддержку сервера JAS.
- Сервер JAS установлен и настроен в системе JMS (см. руководство по установке и настройке JAS [3]).
Рис. 91 – Общий вид раздела OTP- и U2F-аутентификаторы консоли управления JMS
В табл. 4 (ниже) представлен краткий перечень доступных операций (со ссылками на соответствующие подразделы настоящего руководства), а также указаны типы и модели аутентификаторов, к которым применима та или иная операция.
Также, в таблице указано, после каких операций на электронный адрес пользователя, к которому эта операция относилась, отправляется электронное письмо.
Табл. 4 – Краткий перечень операций, доступных в разделе OTP- и U2F-аутентификаторы
Раздел -> Подраздел консоли управления | Операция | По завершении операции на адрес пользователя отправляется электронное письмо / SMS-сообщение | Типы аутентификаторов |
|---|---|---|---|
OTP- и U2F-аутентификаторы -> OTP-токены | «Импорт инвентарного файла», с. 74 | Нет | · eToken PASS; · eToken NG OTP; · eToken NG OTP (Java); · JC-WebPass; · Другие OTP-токены, реализующие спецификации RFC 4226 и 6238 |
OTP- и U2F-аутентификаторы -> OTP-токены | «Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)», с. 81 | Да (Email) | мобильное приложение Aladdin 2FA компании Аладдин |
OTP- и U2F-аутентификаторы -> OTP-токены | «Установка и изменение PIN-кода для OTP», с. 86 | Да (Email) | · мобильное приложение Aladdin 2FA компании Аладдин eToken PASS; · Другие OTP-токены, реализующие спецификации RFC 4226 и 6238 · eToken NG OTP; · eToken NG OTP (Java); · JC-WebPass; |
OTP- и U2F-аутентификаторы -> OTP-токены | «Включение и отключение OTP-токена», с. 88 | Нет | |
OTP- и U2F-аутентификаторы -> OTP-токены | «Синхронизация значений OTP», с. 88 | ||
OTP- и U2F-аутентификаторы -> OTP-токены | «Просмотр и редактирование свойств OTP-токена», с. 89 | ||
OTP- и U2F-аутентификаторы -> OTP-токены | «Удаление сведений об OTP-токене», с. 93 | ||
OTP- и U2F-аутентификаторы -> Messaging-токены | «Управление PIN-кодом для Messaging-токена», с. 94 | Да (SMS) | Messaging-токен |
OTP- и U2F-аутентификаторы -> Messaging-токены | «Включение и отключение Messaging-токена», с. 94 | Нет | |
OTP- и U2F-аутентификаторы -> Messaging-токены | «Просмотр свойств Messaging-токена», с. 94 | Нет | |
OTP- и U2F-аутентификаторы -> Messaging-токены | «Удаление сведений о Messaging-токене», с. 97 | Нет | |
OTP- и U2F-аутентификаторы -> U2F-аутентификаторы | «Включение и отключение U2F-аутентификатора», с. 97 | Нет | U2F-аутентификатор |
OTP- и U2F-аутентификаторы -> U2F-аутентификаторы | «Просмотр и редактирование свойств U2F-аутентификатора», с. 98 | ||
OTP- и U2F-аутентификаторы -> U2F-аутентификаторы | «Удаление сведений о U2F-аутентификаторе», с. 99 |
Операции с OTP-токенами
В настоящем разделе описаны операции, производимыми с OTP-токенами (включая их выпуск) из консоли управления JMS (т.е. администратором JMS).
Порядок настройки самостоятельного выпуска для себя OTP-аутентификаторов (включающих в себя программные OTP-, Push OTP- и Messaging-токены) пользователями из личного кабинета на портале JWM описан в разделе «Порядок настройки самостоятельного выпуска пользователями OTP-аутентификатора», с. 239.
Импорт инвентарного файла
Импорт инвентарных файлов осуществляется только для аппаратных OTP-токенов. (Регистрация программных OTP-токенов происходит автоматически и не требует инвентарных файлов).
Чтобы импортировать инвентарный файл со списком аппаратных OTP-токенов, выполните следующие действия.
Примечание. Аппаратные OTP-токены поставляются с производства вместе с инвентарными файлами. В случае если такие файлы утеряны или отсутствуют, для их получения следует обратиться в службу технической поддержки компании Аладдин (см. раздел «Контакты, техническая поддержка», с. 390).
- В консоли управления JMS выберите раздел OTP- и U2F-аутентификаторы -> OTP-токены.
- В средней части окна выберите контейнер ресурсной системы, к которому следует привязать импортируемые токены (Рис. 92).
Рис. 92 – Выбор контейнера для привязки импортируемых OTP-токенов
3. В верхней панели нажмите Импорт.
Отобразится следующее окно.
Рис. 93 – Окно приветствия мастера импорта ключевых носителей
4. Нажмите Далее.
Отобразится следующее окно.
Рис. 94 – Указание пути к инвентарному файлу
5. Выберите тип инвентарного файла (.dat или .xml) и воспользуйтесь кнопкой «…» (три точки), чтобы указать путь к данному файлу, после чего нажмите Далее.
Отобразится следующее окно.
Рис. 95 – Установка начального времени для TOTP-токенов
6. Выполните необходимые настройки, руководствуясь Табл. 5, и нажмите Далее.
Табл. 5 – Установка начального времени для TOTP-токенов
Настройка | Описание |
|---|---|
Начальное Unix-время | Будет выбрано начальное время, стандартное для ОС Unix (01.01.1970 0:00:00) |
Начальное время токенов eToken PASS | Будет выбрано начальное время, устанавливаемое по умолчанию в токенах eToken PASS (01.01.2000 0:00:00) |
Использовать время из настроек сервера | Будет выбрано начальное время, равное текущему времени, установленному на сервере JMS |
Указать вручную | Установка начального времени вручную (отображается в Unix- и обычном формате) |
Отобразится следующее окно.
Рис. 96 – Страница подтверждения параметров импорта инвентарного файла
7. Нажмите Далее.
Отобразится окно следующего вида.
Рис. 97 – Страница отображения импорта инвентарного файла
8. Если вы хотите сохранить данные об импорте в файл журнала, выполните следующие действия (в противном случае переходите к следующему шагу процедуры):
8.1. нажмите Сохранить лог и укажите путь сохранения этого файла;
8.2. в окне сообщения об успешном сохранении файла журнала нажмите OK.
9. В окне мастера импорта нажмите Далее.
Отобразится следующее окно.
Рис. 98 – Окно завершения процедуры импорта
10. Нажмите Завершить.
Сведения об импортированных OTP-токенах отобразятся в правой части страницы консоли управления JMS (рис. 99). После регистрации токены имеют статус Зарегистрирован.
Рис. 99 – Сведения об импортированных OTP-токенах в консоли управления JMS
Назначение / отмена назначения аппаратного OTP-токена
Примечание. Назначение аппаратного OTP-токена пользователю можно выполнить только с теми токенами, которые имеют статус Зарегистрирован (присваивается токену после его импорта, см. раздел «Импорт инвентарного файла», с. 74).
Чтобы назначить аппаратный OTP-токен пользователю, выполните следующие действия.
- В консоли управления JМS выберите OTP-токен, для которого вы хотите выполнить назначение и нажмите на нём правой кнопкой мыши. В контекстном меню выберите команду Назначить пользователю (Рис. 100).
Рис. 100 –Команда назначения пользователя аппаратному OTP-токену
2. Откроется окно следующего вида.
Рис. 101 –Выбора пользователя для назначения
3. Выберите пользователя в списке и нажмите Назначить.
В результате OTP-токен меняет статус с Зарегистрирован на Назначен (Рис. 102).
Рис. 102 –Смена статуса токена на Назначен
Для отмены назначения токена пользователю выполните следующие действия.
- В консоли управления JМS выберите OTP-токен, для которого вы хотите отменить назначение и нажмите на нём правой кнопкой мыши. В контекстном меню выберите команду Отменить назначение (Рис. 100).
Отобразится диалоговое окно подтверждения.
Рис. 103 –Окно подтверждение отмены назначения OTP-токена пользователю
2. Нажмите Да.
Отобразится следующее окно для выбора ресурсной системы.
Рис. 104 – Окно выбора контейнера для привязки токена при отмене его назначения пользователю
3. Выберите контейнер для привязки к нему токена после отмены назначения и нажмите Выбрать.
В результате токен поменяет статус с Назначен на Зарегистрирован.
Выпуск аппаратных OTP-токенов
Чтобы выпустить для группы пользователей JMS аппаратные OTP-токены выполните следующие действия.
- Импортируйте аппаратные токены, руководствуясь разделом «Импорт инвентарного файла», с. 74.
- Выполните назначение аппаратных OTP-токенов пользователям, руководствуясь разделом «Назначение / отмена назначения аппаратного OTP-токена», с. 78.
- Создайте профиль выпуска аппаратных OTP-токенов, руководствуясь разделом «Настройка профиля выпуска аппаратных OTP-токенов», с. 181, и выполните его привязку к соответствующему контейнеру ресурсной системы, руководствуясь разделом «Привязка профилей», с. 229.
- Настройте для выпуска аппаратных OTP-токенов и запустите на выполнение соответствующий план обслуживания, руководствуясь разделами «План обслуживания жизненного цикла OTP-токенов», с. 317 и «Запуск и просмотр результатов планов обслуживания», с.310.
- Выпущенные и готовые к использованию (статус Используется) экземпляры аппаратных OTP-токенов отобразятся в консоли управления JMS со значением HardwareOTP в поле Тип модели (Рис. 105).
Рис. 105 – Отображение выпущенного экземпляра аппаратного OTP-токена
6. Пользователи, для которых были выпущены токены, требующие указания PIN-кода для аутентификации (см. параметр Режим аутентификации в профиле выпуска аппаратных OTP-токенов), получат на свой электронный адрес сообщение, содержащее PIN-код для OTP.
Примечание. Для оповещения пользователей по электронной почте об установке или смене PIN-кода для аппаратных OTP-токенов должны быть выполнены следующие условия:
- У пользователей, зарегистрированных в JMS, для которых выпускаются токены, в ресурсной системе (например FreeIPA) должен быть настроен адрес электронной почты.
- С помощью консольного агента в JMS должен быть настроен транспортный почтовый сервис (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2]).
Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)
Важно! Для корректного выпуска программных OTP-токенов должны быть выполнены следующие условия:
- У пользователей, зарегистрированных в JMS, для которых выпускаются токены, в ресурсной системе (например FreeIPA) должен быть настроен адрес электронной почты.
- С помощью консольного агента в JMS должен быть настроен транспортный почтовый сервис (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2]).
Чтобы выпустить для группы пользователей JMS программные OTP-токены для мобильного приложения Aladdin 2FA компании Аладдин (или для аналогичных мобильных приложений других поставщиков), выполните следующие действия.
- Создайте профиль выпуска программных OTP-токенов, руководствуясь разделом «Настройка профиля выпуска программных OTP-токенов», с. 188.
- Настройте для выпуска программных OTP-токенов и запустите на выполнение соответствующий план обслуживания, руководствуясь разделами «План обслуживания жизненного цикла OTP-токенов», с. 317 и «Запуск и просмотр результатов планов обслуживания», с.310.
- Выпущенные и готовые к использованию (статус Используется) экземпляры программных OTP-токенов отобразятся в консоли управления JMS со значением SoftwareOTP в поле Модель (Рис. 106).
Рис. 106 – Отображение выпущенного экземпляра программного OTP-токена
4. Пользователи, для которых были выпущены токены получат на свой электронный адрес сообщение, содержащее PIN-код для OTP и QR-код (Рис. 107).
Рис. 107 - сообщение, содержащее PIN-код для OTP и QR-код
4. Пользователь с помощью своего мобильного устройства, на котором установлено необходимое приложение (например, мобильное приложение Aladdin 2FA компании Аладдин), должен отсканировать QR-код, после чего он сможет генерировать значения OTP.
Выпуск Telegram OTP-токенов
Важно! Для корректного выпуска Telegarm OTP-токенов должны быть выполнены следующие условия:
- У пользователей, зарегистрированных в JMS, для которых выпускаются токены, в ресурсной системе (например AD или FreeIPA) должен быть настроен адрес электронной почты.
- С помощью консольного агента в JMS должен быть настроен транспортный почтовый сервис (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2]).
Чтобы выпустить для группы пользователей JMS Telegram OTP-токены, выполните следующие действия.
- Создайте профиль выпуска Telegram OTP-токенов, руководствуясь разделом «Настройка профиля выпуска Telegram OTP-токенов», с. 198.
- Настройте для выпуска Telegram OTP-токенов и запустите на выполнение соответствующий план обслуживания, руководствуясь разделами «План обслуживания жизненного цикла OTP-токенов», с. 317 и «Запуск и просмотр результатов планов обслуживания», с.310.
- Выпущенные и готовые к использованию (статус Используется) экземпляры Telegram OTP-токенов отобразятся в консоли управления JMS в разделе OTP- и UTF-аутентификаторы -> Messaging-токены со значением TelegramOTP в поле Модель (Рис. 106).
Рис. 108 – Отображение выпущенного экземпляра Telegram OTP-токена
4. Пользователи, для которых были выпущены токены получат на свой электронный адрес сообщение, содержащее PIN-код для OTP и QR-код (Рис. 109).
Рис. 109 - Сообщение, содержащее PIN-код для OTP и QR-код со ссылкой на telegram-бот
Пользователь, с помощью своего мобильного устройства, должен отсканировать QR-код (например. в мобильном приложении Камера, или любом другом сканере QR-кодов), перейти по ссылке, в результате чего откроется приложении Telegram, со страницей telegram-бота.
Рис. 110 – Приглашение к запуску telegram-бота
После нажатия на кнопку Старт telegam-бот отправит уведомление об активации Telegram OTP-токена.
Рис. 111 – Уведомление об активации Telegram OTP-токена
В дальнейшем, при аутентификации с помощью данного Telegram OTP-токена, OTP-пароль будет приходить в данном telegram-боте.
Рис. 112 – Пример передачи OTP-кода в telegam боте
Установка и изменение PIN-кода для OTP
Важно! Для обеспечения возможности установки или изменения PIN-кода у OTP-токена, он должен быть выпущен на основе профиля (см. разделы «Настройка профиля выпуска аппаратных OTP-токенов», с. 181, «Настройка профиля выпуска программных OTP-токенов» с. 188), у которого в поле Режим аутентификации установлено одно из значений, включающее в себя PIN-код (например OTP PIN-код + OTP или Доменный пароль + OTP PIN-код + OTP).
Чтобы установить или изменить PIN-код для OTP выбранного токена, выполните следующие действия.
- В консоли управления JMS выберите токен, PIN-код для OTP которого вы хотите изменить, и нажмите на нем правой кнопкой мыши (Рис. 113).
Рис. 113 – Установка или изменение PIN-кода для OTP
2. Выберите Изменить PIN-код.
Отобразится следующее окно.
Рис. 114 – Установка или изменение PIN-кода для OTP
3. Введите значение нового PIN-кода для OTP в полях PIN-код и Подтверждение PIN-кода.
4. Нажмите Изменить.
При успешной установке/изменении PIN-кода для OTP отобразится соответствующее сообщение (Рис. 115). При этом пользователю будет отправлено уведомление по электронной почте об установке / смене PIN-кода.
Примечание. Для оповещения по электронной почте об установке или смене PIN-кода для аппаратных OTP-токенов у пользователей в ресурсной (например FreeIPA) должен быть настроен адрес электронной почты, а также c помощью в консольного агента в JMS должен быть настроен транспортный почтовый сервис (команда Aladdin.EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2].).
Рис. 115 – Установка или изменение PIN-кода для OTP
5. Нажмите OK для завершения процедуры.
Включение и отключение OTP-токена
Чтобы включить или отключить возможность использования OTP-токена, выполните следующие действия.
С OTP-токеном невозможно выполнить операции включения/отключения, если он не был выпущен (не имеет статуса Используется). О выпуске OTP-токенов см. в разделах «Выпуск аппаратных OTP-токенов», с. 80 и «Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)», с. 81.
- В консоли управления JМS выберите OTP-токен, возможность использования которого вы хотите включить или отключить.
- Нажмите на выбранном токене правой кнопкой мыши и в зависимости от нужного действия в контекстном меню выберите Включить или Отключить.
Отобразится диалоговое окно подтверждения действия.
3. Нажмите Да для продолжения.
Новый статус OTP-токена (Используется или Отключен) отобразится в столбце Статус в правой консоли управления JМS (см. рис. 116 ниже).
Рис. 116 – Текущий статус OTP-токена отображается в столбце Статус
Синхронизация значений OTP (только для токенов HOTP)
Настоящий раздел относится только OTP-токенам (аппаратным и программным), функционирующим в соответствии со спецификацией RFC 4226 (HOTP).
Примечание. Тип спецификации выбирается в Параметрах выпуска профиля выпуска соответствующих токенов, в поле Алгоритм.
Синхронизацию значений OTP следует выполнять в следующих случаях:
- при вводе OTP-токена в эксплуатацию, перед передачей его пользователю;
- если пользователь сгенерировал большее число одноразовых паролей, чем указано в настройке Окно аутентификации профиля выпуска OTP-токена соответствующего типа (см. разделы «Настройка профиля выпуска аппаратных OTP-токенов», с. 181 и «Настройка профиля выпуска программных OTP-токенов», с. 188).
Чтобы синхронизировать OTP-токен с JMS, выполните следующие действия.
- В консоли управления JMS выберите OTP-токен, который вы хотите синхронизировать с JMS.
- Нажмите на выбранном токене правой кнопкой мыши и в контекстном меню выберите Синхронизация.
Отобразится следующее окно.
Рис. 117 – Синхронизация OTP-токена
3. С помощью синхронизируемого OTP-токена сгенерируйте значение OTP (или проинструктируйте пользователя сгенерировать значением OTP и сообщить его вам) и введите его в поле OTP 1.
4. С помощью синхронизируемого OTP-токена сгенерируйте следующее значение OTP (или проинструктируйте пользователя сгенерировать значением OTP и сообщить его вам) и введите его в поле OTP 2.
5. Нажмите Синхронизировать.
При успешной синхронизации отобразится следующее сообщение.
6. Нажмите OK для завершения процедуры.
Просмотр и редактирование свойств OTP-токена
Чтобы просмотреть или отредактировать свойства OTP-токена, выполните следующие действия.
- В консоли управления JMS выберите OTP-токен, свойства которого вы хотите просмотреть или редактировать.
- Нажмите на нем правой кнопкой мыши и в контекстном меню выберите Свойства.
Отобразится следующее окно.
Рис. 118 – Вкладка Общие свойств OTP-токена
3. На вкладке отображаются нередактируемые поля в соответствии с табл. 6.
Табл. 6 – Общие параметры OTP-токена
Поле | Описание |
|---|---|
Тип модели | Тип OTP-токена (программный/аппаратный). Возможные варианты: · SoftwareOTP · HardwareOTP |
Профиль | Имя профиля, по которому был выпущен данный OTP-токен |
Дата производства | Отображает дату производства OTP-токена. |
Домен пользователя | Отображает домен, в котором зарегистрирован пользователь OTP-токена. |
Имя пользователя | Отображает имя пользователя OTP-токена. |
Email пользователя | Отображает адрес электронной почты, на который пользователю будут приходить уведомления. Примечание. Адрес e-mail пользователя берется из учетной записи пользователя в той ресурсной системе (например FreeIPA), из которой данная учётная запись была зарегистрирована (импортирована) в JMS. Настройка рассылки осуществляется c помощью в консольного агента в JMS (команда Aladdin.EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2]) |
FQDN | Отображение полного имени пользователя в FQDN-нотации. |
UPN | Отображение полного имени пользователя в UPN-нотации. |
Статус | Отображает текущий статус OTP-токена. Возможны следующие значения: · Зарегистрирован · Назначен · Используется · Отключен |
Дата создания | Отображает дату и время внесения сведений об OTP-токене в базу данных JMS. |
Дата изменения | Отображает дату и время последних изменений в состоянии OTP-токена (например, дату включения или выключения возможности использования OTP-токена). |
Максимальное количество попыток аутентификации | Отображает число попыток аутентификации, установленное в параметре MaxAuthFailCount конфигурационного файла BusinessLogic.json, загружаемого с помощью команды консольного агента JAS – Aladdin.JAS.Agent.Terminal config upload (подробнее см. руководство по установке и настройке сервера JAS [3], раздел «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal») |
Оставшееся количество попыток аутентификации | Число попыток аутентификации (максимальное число попыток за вычетом использованных попыток). |
4. Перейдите на вкладку Счетчики.
В зависимости от типа OTP-токена окно примет следующий вид.
Рис. 119 – Вкладка Счетчики окна свойств OTP-токена с алгоритмом генерации HOTP
Рис. 120 – Вкладка Счетчики окна свойств OTP-токена с алгоритмом генерации ТOTP
5. Выполните настройки, руководствуясь табл. 7 ниже.
Табл. 7 – Дополнительные параметры OTP-токена
Настройка/поле | Описание |
|---|---|
Описание | Отображает описание выбранного OTP-токена, задается в профиле выпуска OTP-токенов (см. Табл. 49, с. 183). Неизменяемое поле. |
Алгоритм | Отображает алгоритм формирования одноразовых паролей, используемый на OTP-токене. Задается в профиле выпуска OTP-токенов (см. Табл. 49, с. 183). Неизменяемое поле. |
Текущее значение (только для токенов с алгоритмом HOTP) | Значение счетчика, используемое алгоритмом формирования одноразовых паролей для вычисления следующего значения OTP. Неизменяемое поле. |
Режим аутентификации | Отображает режим аутентификации. Задается в профиле выпуска OTP-токенов. (см. Табл. 49, с. 183) Неизменяемое поле. |
Окно аутентификации Окно синхронизации (только для токенов с алгоритмом HOTP) | Описание параметров приведено в Табл. 51, с. 186. Параметры позволяют выполнить индивидуальную настройку для отдельного токена (после выпуска токена со значениями параметров, определенных в профиле выпуска). |
Интервал действия пароля (с) Начальное значение (только для токенов с алгоритмом ТOTP) | Описание параметров приведено в Табл. 54, с. 193. Неизменяемые поля. |
Количество временных интервалов, просматриваемых назад Количество временных интервалов, просматриваемых вперед (только для токенов с алгоритмом ТOTP) | Описание параметров приведено в Табл. 54, с. 193. Параметры позволяют выполнить индивидуальную настройку для отдельного токена (после выпуска токена со значениями параметров, определенных в профиле выпуска). |
6. Нажмите Сохранить, чтобы сохранить изменения.
Удаление сведений об OTP-токене
В случае утери или компрометации OTP-токена сведения о нём следует удалить из базы данных JMS, чтобы исключить возможность использования злоумышленником этого OTP-токена.
Чтобы удалить сведения об OTP-токене из базы данных JMS, выполните следующие действия.
- В консоли управления JMS выберите OTP-токен, сведения о котором вы хотите удалить.
- Нажмите на нём правой кнопкой мыши и в контекстном меню выберите Удалить.
- Отобразится диалоговое окно подтверждения выбора.
- Нажмите Да для завершения процедуры.
Операции с Messaging-токенами
Messaging-токен – это один из типов аутентификаторов на базе механизма OTP, поддерживаемых сервером JMS. Messaging-токен – это виртуальный объект, который регистрируется в JMS c привязкой к пользователю и осуществляет процедуру передачи значения OTP на мобильный телефон пользователя посредством службы SMS оператора связи по запросу внешней интегрируемой с JMS прикладной системы. Управление Messaging-токенами осуществляется в разделе OTP- и U2F-аутентификаторы -> Messaging-токены консоли управления JMS.
Рис. 121 – Раздел управления Messaging-токенами в консоли управления JMS
Выпуск messaging-токенов
Важно! Для корректного выпуска программных OTP-токенов должны быть выполнены следующие условия:
- У пользователей, зарегистрированных в JMS, для которых выпускаются токены, в ресурсной системе (например FreeIPA) должен быть указан номер телефона, на который будут присылаться сообщения с OTP, подробнее см. описание параметра Атрибут с номером телефона, Табл. 59, с. 205.
- С помощью консольного агента JAS должен быть настроен транспортный сервис для отправки SMS-сообщений пользователям (команда JAS.Agent.Terminal config upload -n <json-файл с конфигурацией нотификации>, подробнее см. руководство по установке и настройке сервера JAS [3], раздел «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal»).
Чтобы выпустить для группы пользователей JMS messaging-токены выполните следующие действия.
- Создайте профиль выпуска messaging-токенов, руководствуясь разделом «Настройка профиля выпуска Messaging-токенов», с. 203, и выполните его привязку к соответствующему контейнеру ресурсной системы, руководствуясь разделом «Привязка профилей», с. 229.
- Настройте для выпуска messaging-токенов и запустите на выполнение соответствующий план обслуживания, руководствуясь разделами «План обслуживания жизненного цикла OTP-токенов», с. 317 (проверьте факт включения задачи «Обслуживание Messaging-токенов») и «Запуск и просмотр результатов планов обслуживания», с.310.
- Выпущенные и готовые к использованию (статус Используется) экземпляры messaging-токенов отобразятся в консоли управления (Рис. 121, выше).
Управление PIN-кодом для Messaging-токена
Установка и изменение PIN-кода для Messaging-токенов выполняется в консоли управления в разделе OTP- и U2F-аутентификаторы -> Messaging-токены так же, как и для OTP-токенов (см. раздел «Установка и изменение PIN-кода для OTP», с. 86).
Включение и отключение Messaging-токена
Операции включения и отключения возможности использования Messaging-токенов выполняются в консоли управления в разделе OTP- и U2F-аутентификаторы -> Messaging-токены так же, как и аналогичные операции для OTP-токенов (см. раздел «Включение и отключение OTP-токена», с. 88).
Просмотр свойств Messaging-токена
Чтобы просмотреть свойства Messaging-токена, выполните следующие действия.
- В консоли управления JMS в разделе OTP- и U2F-аутентификаторы -> Messaging-токены выберите токен, сведения о котором вы хотите получить.
- Нажмите на нём правой кнопкой мыши и выберите Свойства.
Отобразится следующее окно.
Рис. 122 – Вкладка Общие свойств Messaging-токена
3. Окно содержит параметры, описанные в Табл. 8.
Табл. 8 – Просмотр общих свойств Messaging-токена
Поле | Описание |
|---|---|
Идентификатор | Отображает автоматически генерируемый идентификатор messaging-токена в JMS |
Внешняя система | Отображает идентификатор внешней системы, для которой осуществляется аутентификация пользователя посредством Messaging-токена. Устанавливается в профиле выпуска Messaging-токенов, параметр Внешняя система, см. Табл. 59, с. 205. |
Домен пользователя | Отображает домен, к которому принадлежит пользователь. |
Имя пользователя | Отображает имя пользователя messaging-токена. |
Email пользователя | Отображает адрес электронной почты пользователя. |
FQDN | Отображает полное имя пользователя в FQDN-нотации. |
UPN | Отображает полное имя пользователя в UPN-нотации. |
Статус | Отображает текущий статус OTP-токена. Возможны следующие значения: · Используется · Отключен |
Дата регистрации | Отображает дату и время выпуска messaging-токена. |
Дата изменения | Отображает дату и время последних изменений в состоянии messaging-токена (например дату отключения или дату включения, см. раздел «Включение и отключение Messaging-токена», с. 94). |
4. Перейдите на вкладку Аутентификация.
Окно примет следующий вид.
Рис. 123 – Вкладка Аутентификация окна свойств Messaging-токена
5. Окно содержит параметры токена, описанные в Табл. 9.
Табл. 9 – Параметры аутентификационной информации Messaging-токена
Настройка/поле | Описание |
|---|---|
Алгоритм | Отображает алгоритм генерации одноразового пароля аутентификации (OTP). (Задается профилем выпуска messaging-токенов, см. Табл. 59, с. 205) |
Текущее значение | Отображает значение счетчика, используемое алгоритмом формирования одноразовых паролей для вычисления следующего значения OTP |
Настройки: · Режим аутентификации · Время жизни OTP (с) · Задержка генерации OTP (мс) · Количество повторов аутентификации | В полях отображаются значения настроек, выполненных в соответствии с профилем выпуска messaging-токенов, см. Табл. 59, с. 205 |
6. Перейдите на вкладку Телефонные номера.
На вкладке отображаются телефонные номера, абонента, к которому привязан данный токен в соответствии с параметром профиля выпуска Messaging-токенов Атрибут с номером телефона (см. Табл. 59, с. 205).
7. По окончании просмотра свойств токена нажмите Закрыть.
Удаление сведений о Messaging-токене
В случае прекращения необходимости аутентификации с использованием Messaging-токена сведения о нём следует удалить из базы данных JMS, чтобы исключить возможность использования злоумышленником этого аутентификатора. Удаление сведений о Messaging-токенах из JMS выполняется в консоли управления в разделе OTP- и U2F-аутентификаторы -> Messaging-токены так же, как и удаление сведений об OTP-токенах (см. раздел «Удаление сведений об OTP-токене», с. 93).
Операции с U2F-аутентификаторами
В JMS U2F-аутентификатором называется регистрационная информация (включает в себя дескриптор ресурсного закрытого ключа, ресурсный открытый ключ, аттестационный сертификат, счетчик аутентификаций), подлежащая хранению на U2F-сервере согласно спецификациям U2F альянса FIDO (см. веб-ресурс [2], с.).
Регистрация U2F-аутентификатора происходит автоматически при обработке соответствующего запроса от интегрируемой с сервером JAS внешней прикладной системы, к которой в свою очередь выполняет обращение пользователь из клиентского приложения, инициируя необходимое действие (регистрацию или аутентификацию) с помощью принадлежащего ему U2F-устройства.
Регистрация и аутентификация пользователя осуществляется в соответствии протоколом U2F, при этом сервер JAS выполняет роль U2F-сервера согласно спецификациям FIDO.
Консоль управления JMS позволяет выполнять операции с U2F-аутентификаторами в разделе OTP- и U2F-аутентификаторы -> U2F-аутентификаторы (Рис. 124).
Рис. 124 – Раздел управления U2F-аутентификаторами в консоли управления JMS
Включение и отключение U2F-аутентификатора
Операции включения и отключения возможности использования U2F-аутентификаторов выполняются в консоли управления в разделе OTP- и U2F-аутентификаторы -> U2F-аутентификаторы так же, как и аналогичные операции для OTP-токенов (см. раздел «Включение и отключение OTP-токена», с. 88).
Просмотр и редактирование свойств U2F-аутентификатора
Чтобы просмотреть или отредактировать свойства U2F-аутентификатора, выполните следующие действия.
- В консоли управления JMS в разделе OTP- и U2F-аутентификаторы -> U2F-аутентификаторы выберите аутентификатор, свойства которого вы хотите просмотреть или отредактировать.
- Нажмите на нём правой кнопкой мыши и выберите Свойства.
- Отображаемые параметры описаны в Табл. 10.
Табл. 10 – Просмотр общих свойств U2F-аутентификатора
Поле | Описание |
|---|---|
Идентификатор приложения | Имя приложения, от которого был получен запрос на регистрацию данного U2F-аутентификатора |
Имя пользователя | Имя пользователя, которому принадлежит U2F-аутентификатор |
Статус | Отображает текущий статус аутентификатора. Доступны следующие значения: · Включен; · Отключен |
Дата создания | Отображает дату и время внесения сведений об аутентификаторе в базу данных JMS |
Дата изменения | Отображает дату и время последних изменений в состоянии аутентификатора (например, дату включения или выключения возможности его использования). |
4. Перейдите на вкладку Аутентификация.
5. Выполните настройки, руководствуясь Табл. 11.
Табл. 11 – Параметры аутентификационной информации U2F-аутентификатора
Настройка/поле | Описание |
|---|---|
Значение счетчика | Значение счетчика аутентификаций, сохраняемое на стороне U2F-сервера согласно спецификациям протокола U2F. Неизменяемое поле. |
Настройки по умолчанию | Если флажок установлен, для аутентификации пользователей будут применяться настройки U2 по умолчанию (секция Секция U2fSettings файла BusinessLogic.json), установленные c помощью консольного агента JAS (команда Aladdin.JAS.Agent.Terminal config upload -b <json-файл с конфигурацией бизнес-логики>, подробнее см. руководство по установке и настройке сервера JAS [3], раздел «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal»). Снятие этого флажка позволяет переопределить следующие настройки по умолчанию для выбранного U2F-аутентификатора: · Максимальное количество одновременных аутентификаций по токену; · Максимальное время аутентификации (мс) |
Максимальное количество одновременных аутентификаций по токену | Максимальное количество одновременных аутентификаций по данному U2F-аутентификатору. Примечание. При создании аутентификатора параметр принимает значение по умолчанию, задаваемое параметре MaxConcurrentAutentications конфигурации бизнес-логики сервера JAS, установленной c помощью консольного агента JAS (команда Aladdin.JAS.Agent.Terminal config upload -b <json-файл с конфигурацией бизнес-логики>, подробнее см. руководство по установке и настройке сервера JAS [3], раздел «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal») |
Максимальное время аутентификации (мс) | Максимальное время (в миллисекундах), в течение которого начатая процедура аутентификации может быть завершена успешно. Если в течение данного времени начатая процедура аутентификации не завершилась, то она считается устаревшей и заканчивается с ошибкой (аутентификация не выполняется). Сообщение об ошибке записывается в журнал аутентификации. Примечание. При создании аутентификатора параметр принимает значение по умолчанию, задаваемое параметре AutenticationTimeoutMsec конфигурации бизнес-логики сервера JAS, установленной c помощью консольного агента JAS (команда Aladdin.JAS.Agent.Terminal config upload -b <json-файл с конфигурацией бизнес-логики>, подробнее см. руководство по установке и настройке сервера JAS [3], раздел «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal») |
Сертификат | Нажмите Посмотреть, для того чтобы отобразить окно с параметрами аттестационного сертификата U2F-устройства |
· Кем выдан · Кому выдан · Срок действия с · Срок действия по · Серийный номер | Параметры аттестационного сертификата U2F-устройства. Неизменяемые поля. |
6. Нажмите OK, чтобы сохранить изменения.
Удаление сведений о U2F-аутентификаторе
В случае прекращения необходимости аутентификации с использованием U2F-аутентификатора сведения о нём следует удалить из базы данных JMS, чтобы исключить возможность его использования злоумышленником. Удаление сведений о U2F-аутентификаторах из JMS выполняется в консоли управления в разделе OTP- и U2F-аутентификаторы -> U2F-аутентификаторы так же, как и удаление сведений об OTP-токенах (см. раздел «Удаление сведений об OTP-токене», с. 93).



































































































































