- Общие операции с профилями
- Настройка профиля выпуска электронных ключей
- Настройка профиля клиентского агента
- Настройки параметров инициализации
- Настройки профиля выпуска сертификатов в центре сертификации Microsoft
- Настройки профиля выпуска сертификатов в УЦ AeCA
- Настройки профиля выпуска сертификатов в УЦ DogTag
- Настройки профиля для выпуска сертификатов в режиме офлайн
- Создание и настройка профиля Внешние объекты
- Профиль настроек синхронизации рабочей станции
- Настройка профиля выпуска аппаратных OTP-токенов
- Настройка профиля выпуска программных OTP-токенов
- Настройка профиля выпуска Telegram OTP-токенов
- Настройка профиля выпуска Messaging-токенов
- Настройка профиля выпуска Push OTP-токенов
- Профиль управления ISO-образами JaCarta SF/ГОСТ
- Профиль обновления встроенного ПО JaCarta SF/ГОСТ
- Импорт/экспорт контейнеров JaCarta SF/ГОСТ (kka-контейнеров)
- Регистрация обновлений встроенного ПО JaCarta SF/ГОСТ
- Настройка профиля доступа в личный кабинет JWM
- Привязка профилей
- Ограничение действия профилей через группы домена/глобальные группы JMS
- Наследование профилей
- Экспорт/импорт профилей
- Настройка параметров печати при выпуске объектов JMS
- Примеры настроек профилей
Профили JMS классифицируются в соответствии с группами, перечисленными в табл. 12.
Табл. 12 – Профили JMS
Группа профилей JMS | Типы профилей в группе |
Профили выпуска электронных ключей | Выпуск ключевых носителей - позволяет настроить общие параметры выпуска электронных ключей (а также задать необходимость инициализации электронных ключей при выпуске). Настройки профиля данного типа (на примере встроенного профиля по умолчанию) приведены в пункте «Настройка профиля выпуска электронных ключей», с. 102. |
Профили настроек клиентского агента | Настройки клиентского агента – позволяет настроить параметры работы клиентского агента JMS: возможность самостоятельного выпуска электронных ключей, параметры синхронизации электронных ключей, а также позволяет ограничить действия на стороне клиента. Настройка профиля данного типа приведена в пункте «Настройка профиля клиентского агента», с. 106. |
Профили инициализации электронных ключей | · Инициализация eToken Pro (Java) / JaCarta PKI (с обратной совместимостью) – позволяет настроить параметры инициализации электронных ключей eToken PRO (Java), eToken NG-Flash (Java), eToken NG-OTP (Java) (без поддержки OTP), JaCarta PKI (с функцией обратной совместимости с продуктами компании Aladdin) ‑ см. « eToken Pro (Java) / JaCarta PRO », с. 110; · Инициализация JaCarta PKI ‑ позволяет настроить параметры инициализации электронных ключей JaCarta PKI, JaCarta PKI/Flash, JaCarta PKI/BIO (без использования биометрической аутентификации пользователя) – см. «JaCarta PKI», с. 117; Необходимость инициализации электронного ключа задается профилем типа Выпуск ключевых носителей. Если необходимость инициализации не задана, то профиль группы инициализации настраивать необязательно. |
Профили коннекторов | · Выпуска сертификатов –УЦ Microsoft CA – позволяет настроить параметры выпуска сертификатов в центре сертификации Microsoft (см. «Настройки профиля выпуска сертификатов в центре сертификации Microsoft», с. 130); · Выпуска сертификатов –УЦ DogTag – позволяет настроить параметры выпуска сертификатов в удостоверяющем центре DogTag (см. «Настройки профиля выпуска сертификатов в УЦ DogTag», с. 155); |
Профили внешних объектов | Внешние объекты – позволяет настроить процедуру взятия под управление внешних объектов (сертификатов), выпущенных без использования эксплуатируемого экземпляра системы JMS, например, выпущенных до развертывания JMS или с помощью сторонних УЦ. Подробнее см. в разделе «Взятие под управление JMS электронных ключей », с. 341 |
Для успешного выпуска электронных ключей после создания и настройки профилей необходимо выполнить привязку этих профилей к пользователям JMS (см. «Привязка профилей», с. 229).
Общие операции с профилями
Общее управление профилям осуществляется в разделе Профили Консоли управления JMS (Рис. 125).
Рис. 125 – Общий вид раздела Профили Консоли управления JMS
Общая информации по управлению профилями содержится в Табл. 13.
Табл. 13 – Общие операции с профилями
Операция | Описание |
|---|---|
Создать | Для создания профиля нажмите кнопку Создать и выберите строку с названием раздела (например Инициализация JaCarta PKI). Подробно процедура создания профиля описано в разделах, посвященным соответствующим типам профилей |
Копировать | Для копирования профиля выберите его в таблице профилей и по нажатию правой кнопкой мыши выберите Копировать. |
Удалить | Для удаления профиля выберите его в таблице профилей и на верхней панели нажмите Удалить. Важно! Удаление профиля выпуска сертификата является событием, по которому обрабатываются параметры отзыва сертификата для всех выпущенных ранее по этому профилю электронных ключей. Подробнее смотри разделы: · «Настройки профиля выпуска сертификатов в УЦ DogTag», с. 155); · «Настройки профиля выпуска сертификатов в центре сертификации Microsoft», с. 130. Удаленные профили выпуска сертификата сохраняются в системе |
Свойства | Операция служит для просмотра или редактирования свойств профилей. |
Экспорт | См. раздел «Экспорт/импорт профилей», с. 235 |
Импорт | См. раздел «Экспорт/импорт профилей», с. 235 |
(поиск профиля) | Для нахождения профиля в строке поиска введите фрагмент его имени и нажмите на клавиатуре клавишу Ввод. Профили будут отфильтрованы по введенному фрагменту имени. |
Настройка профиля выпуска электронных ключей
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Выпуск ключевых носителей.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 126 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля, после чего переходите на вкладку Параметры (Рис. 127).
Рис. 127 – Вкладка Базовые параметры выпуска
4. Выполните настройку, руководствуясь Табл. 14.
Табл. 14 – Параметры выпуска электронных ключей
Настройка | Описание |
|---|---|
Количество КН у пользователя | В поле следует указать максимальное количество электронных ключей, которое можно выпустить для одного пользователя |
Выпускать любые типы ключевых носителей с общими настройками | Данная опция устанавливает, что для всех выпускаемых типов электронных ключей будет применяться один общий профиль выпуска. Чтобы выполнить настройку, щелкните на ссылке Настроить напротив пункта. |
Выпускать только указанные типы ключевых носителей с индивидуальными настройками | Данная опция позволяет задать индивидуальные настройки для каждого типа выпускаемого электронного ключа. При выборе опции добавляется кнопка Выбрать комбинации апплетов. Нажмите её, отметьте нужные апплеты (перечислены ниже), нажмите кнопку Выбрать и выполните настройку каждого апплета. Перечень доступных приложений (апплетов): · PKI - электронные ключи JaCarta с приложением PKI; · PKI + ГОСТ - электронные ключи JaCarta с приложениями PKI и ГОСТ; · PRO (Java) / PKI (с обратной совместимостью) - электронные ключи eToken PRO (Java), eToken NG-Flash (Java), eToken NG-OTP (Java) (без поддержки OTP), а также электронные ключи JaCarta с приложением PKI (с обратной совместимостью); · PRO (Java) / PKI (с обратной совместимостью) + PKI - электронные ключи eToken PRO (Java), а также электронные ключи JaCarta с приложениями PKI (с обратной совместимостью) и PKI; В некоторых случаях электронные ключи eToken ГОСТ также имеют функциональность электронных ключей eToken PRO (Java) - о наличии такой функциональности уточняйте в технической поддержке «Аладдин Р. Д.» · ГОСТ 2– электронные ключи JaCarta ГОСТ 2, а также электронные ключи JaCarta с приложением ГОСТ 2; · ГОСТ 2 + SF – электронные ключи JaCarta SF/ГОСТ |
Метка | Позволяет задать метку выпускаемого электронного ключа. В случае установки флага (Метка) вы можете ввести значение метки вручную или воспользоваться кнопкой справочником (раскрывающимся списком). В последнем случае, вы можете выбрать шаблон, по которому будет формироваться метка: · $AccountName – имя учетной записи пользователя, для которого выпускается электронный ключ; · $FullName – полное имя учетной записи пользователя, для которого выпускается электронный ключ; · $Description – описание пользователя, для которого выпускается электронный ключ; · $Department – подразделение пользователя, для которого выпускается электронный ключ; · $Mail – адрес электронной почты пользователя, для которого выпускается электронный ключ. В случае если флаг Метка не установлен, то при выпуске электронного ключа без инициализации то значение метки приложения в нем будет оставлено без изменений; если выпуск осуществляется с инициализацией, то будет установлено значение метки по умолчанию. |
Разрешить пользователю изменение метки при выпуске | Позволяет разрешить или запретить изменение метки электронного ключа в процессе самостоятельного выпуска пользователем. Возможность самостоятельного выпуска должна быть включена в профиле клиентского агента (подробнее см. «Настройка профиля клиентского агента», с. 106). |
Назначение | Позволяет задать назначение выпускаемого электронного ключа. В случае установки флага (Назначение) вы можете ввести текстовое описание назначения (например, «Доступ к учетной записи»). В случае если флаг Назначение не установлен, то при выпуске электронного ключа в качестве «назначения» будет установлено название приложения, локализованное в соответствии с языковыми настройками интерфейса компонента JMS Server |
Разрешить пользователю изменение назначения при выпуске | Позволяет разрешить или запретить менять описание назначения электронного ключа в процессе самостоятельного выпуска пользователем. |
Способ выпуска для консоли администратора | Позволяет выбрать, будет ли произведена инициализация в процессе выпуска электронного ключа с использованием консоли управления JMS. Если вы планируете взять под контроль JMS электронные ключи, выпущенные до установки и настройки JMS (см. «Взятие под управление JMS электронных ключей », с. 341), вам следует выбрать пункт Без инициализации. В противном случае все существующие объекты в памяти электронного ключа будут удалены. |
Способ выпуска для клиентского агента | Позволяет выбрать, будет ли произведена инициализация в процессе самостоятельного выпуска электронного ключа пользователем. Примечания: 1. Возможность самостоятельного выпуска должна быть включена в профиле клиентского агента (подробнее см. «Настройка профиля клиентского агента», с. 106). 2. Если вы планируете взять под контроль JMS электронные ключи, выпущенные до установки и настройки JMS (см. ««Взятие под управление JMS электронных ключей », с. 341), вам следует выбрать пункт Без инициализации. В противном случае все существующие объекты в памяти электронного ключа будут удалены. |
Примечание. Если электронный ключ содержит несколько апплетов (приложений), то в соответствующей секции типа электронного ключа будет несколько вкладок (Рис. 128). Каждая вкладка соответствует апплету (приложению) в памяти электронного ключа. В этом случае необходимо выполнить настройку для каждого из этих апплетов (приложений).
Рис. 128 – Окно настройки параметров выпуска электронных ключей с несколькими приложениями
5. При необходимости, выполните настройку печати документов (вкладки Печать заявки на выпуск КН и Печать акта выдачи КН) при выпуске электронного ключа (подробнее о настройке шаблона печатной формы см. «Настройка параметров печати при выпуске объектов JMS», с. 235).
6. По окончании всех настроек нажмите кнопку Создать (Рис. 127, с. 103) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Настройка профиля клиентского агента
Профиль клиентского агента определяет, какие операции с электронными ключами, назначенными пользователю или подключенными к компьютеру, доступны пользователю при открытии сеанса работы с JMS из клиента (функция Открыть сессию в клиенте JMS).
Важно! В случае если профиль клиентского агента не привязан к учетной записи пользователя (см. «Привязка профилей», с. 229), в клиенте JMS при открытии сеанса пользователя:
- будет недоступно действие Выпуск для подключенных электронных ключей, которые еще не выпущены;
- будут недоступны действия Заменить и Отключить для всех электронных ключей, назначенных пользователю. (В текущей версии клиента JMS в процессе выполнения замены или отключения электронного ключа выдается окно предупреждения с соответствующим сообщением об ошибке).
Для создания/настройки профиля клиентского агента выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Настройки клиентского агента.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
3. В полях Имя и Описание введите название и описание профиля соответственно (либо отредактируйте существующие), после чего перейдите на вкладку Самостоятельный выпуск.
4. Выполните настройку, руководствуясь табл. 15.
Табл. 15 – Настройка параметров самостоятельного выпуска
Секция | Настройка | Описание |
|---|---|---|
Настройки самостоятельного выпуска ключевых носителей | Для незарегистрированных КН | Настройка самостоятельного выпуска пользователями электронных ключей, не зарегистрированных в JMS. Доступны следующие варианты: · Запрещен – пользователи не могут самостоятельно выпускать электронные ключи, не зарегистрированные в JMS; · Разрешен вручную – пользователи на свое имя могут вручную выпускать электронные ключи, не зарегистрированные в JMS (см. документ «Руководство пользователя», [1]); · Разрешен автоматически – выпуск незарегистрированного электронного ключа на имя пользователя, вошедшего в систему, произойдет автоматически после подсоединения этого электронного ключа к компьютеру. |
Для зарегистрированных КН | Настройка самостоятельного выпуска пользователями электронных ключей, зарегистрированных в JMS, но не назначенных конкретным пользователям. Доступны следующие варианты: · Запрещен – пользователи не могут самостоятельно выпускать электронные ключи, зарегистрированные в JMS; · Разрешен вручную – пользователи могут вручную выпускать электронные ключи, на свое имя, если эти электронные ключи зарегистрированы в JMS (см. документ «Руководство пользователя», [1]); · Разрешен автоматически – выпуск зарегистрированного электронного ключа на имя пользователя, вошедшего в систему, произойдет автоматически после подсоединения электронного ключа к компьютеру. | |
Для назначенных КН | Настройка самостоятельного выпуска пользователями электронных ключей, зарегистрированных в JMS и назначенных конкретным пользователям. Доступны следующие варианты: · Запрещен – пользователи не могут самостоятельно выпускать назначенные им электронные ключи; · Разрешен вручную – пользователи могут вручную выпустить назначенные им электронные ключи (см. документ «Руководство пользователя», [1]); · Разрешен автоматически – выпуск назначенного пользователю электронного ключа произойдет автоматически после подсоединения этого электронного ключа к компьютеру. | |
Настройки самостоятельного выпуска КН – СКЗИ Секция доступна только при подключении лицензии на право использования СКЗИ (см. «Учет СКЗИ», с. 244) | Разрешить выпуск КН, являющихся СКЗИ | Включение настройки позволит пользователям самостоятельно выпускать электронные ключи, являющиеся СКЗИ, с помощью клиентского агента JMS. |
Настройки выпуска с восстановлением данных | Разрешить самостоятельный выпуск с восстановлением данных из резервной копии | Используя клиент JMS, пользователи смогут выпускать электронные ключи в режиме восстановления данных. |
Примечание. При изменении настроек профиля клиентского агента, в частности в опциях, разрешающих/запрещающих самостоятельный выпуск электронных ключей, для вступления в силу данных настроек на стороне клиента (а также в приложении JWA Tray на клиентской стороне) в течение его текущего сеанса работы, следует последовательно закрыть, а затем снова открыть сеанс пользователя.
5. Перейдите на вкладку Синхронизация.
6. Выполните необходимые настройки, руководствуясь табл. 16.
Табл. 16 – Настройки автоматической синхронизации
Секция | Настройка | Описание |
|---|---|---|
Запускать проверку синхронизации при возникновении событий | Подключение ключевого носителя | Синхронизация запускается при подсоединении к компьютеру электронного ключа. |
По расписанию | Синхронизация проводится по графику, описанному в секции Настройки расписания синхронизации. | |
Разблокировка пользовательской сессии | Синхронизация производится по факту разблокировки пользовательского сеанса Windows. | |
Дополнительные настройки синхронизации клиентского агента | Разрешать синхронизацию для отключенного носителя | Позволяет применять синхронизацию к электронным ключам, действие которых было приостановлено. |
Разрешать синхронизацию для отозванного носителя | Позволяет применять синхронизацию к электронным ключам, которые были отозваны. | |
Настройки расписания синхронизации | Обычная синхронизация каждые (минут) | Временной интервал, по истечении которого клиент JMS проверяет необходимость синхронизации – при условии, что предыдущая синхронизация прошла успешно. Настройка активна только в том случае, если в секции Запускать проверку синхронизации при возникновении событий включена настройка По расписанию. Примечание. Под «синхронизацией» в данном контексте подразумевается предварительная проверка необходимости синхронизации, и если она необходима, то и её выполнение. Подробнее о сути операции синхронизации см. в разделе «Типы синхронизации электронных ключей из приложения Клиент JMS», с. 49 |
Ускоренная синхронизация каждые (минут) | Временной интервал, по истечении которого клиент JMS проверяет необходимость синхронизации – при условии, что предыдущая синхронизация завершилась с ошибками (например, с электронного ключа не были удалены данные, которые необходимо было удалить). Настройка активна только в том случае, если в секции Запускать проверку синхронизации при возникновении событий включена настройка По расписанию. Примечание. Под «синхронизацией» в данном контексте подразумевается предварительная проверка необходимости синхронизации, и если она необходима, то и её выполнение. Подробнее о сути операции синхронизации см. в разделе «Типы синхронизации электронных ключей из приложения Клиент JMS», с. 49 | |
Количество повторов неудачной синхронизации (раз) | Количество повторов синхронизации по ускоренному таймауту, после которых попытки синхронизации возвращается в режим обычного таймаута. Настройка активна только в том случае, если в секции Запускать проверку синхронизации при возникновении событий включена настройка По расписанию. | |
Ограничения синхронизации | Разрешать выпуск объектов при синхронизации | Позволяет выпускать записывать объекты в память электронного ключа во время синхронизации. |
Разрешать обновление объектов при синхронизации | Позволяет обновлять объекты в памяти электронных ключей во время синхронизации. | |
Разрешать удаление объектов при синхронизации | Позволяет удалять объекты из памяти электронных ключей во время синхронизации. |
7. Перейдите на вкладку Ограничения по работе с КН.
8. Выполните настройку, руководствуясь табл. 17.
Табл. 17 – Ограничения по работе с электронными ключами
Секция | Настройка | Описание |
|---|---|---|
Работа с ключевыми носителями | Разрешать замену | Если настройка включена, пользователи смогут самостоятельно производить процедуру замены электронного ключа. В противном случае в клиенте JMS опция Замена в виде ссылки не будет отражаться в доступных действиях по отношению к электронным ключам. |
Разрешать отключение | Если настройка включена, пользователи смогут самостоятельно отключать возможность использования своего электронного ключа. В противном случае в клиенте JMS опция Отключить в виде ссылки не будет отражаться в доступных действиях по отношению к электронным ключам. | |
Разрешать сообщение об утере\поломке | Если настройка включена, пользователи смогут отзывать свои электронные ключи по причине утери или поломки электронного ключа. В противном случае в клиенте JMS опция Сообщить об утере/поломке в виде ссылки не будет отражаться в доступных действиях по отношению к электронным ключам. | |
Разрешать разблокировку | Если настройка включена, пользователи смогут инициировать процедуру разблокировки электронного ключа. В противном случае в клиенте JMS опция Разблокировать <Название приложения> в виде ссылки не будет отражаться в доступных действиях по отношению к электронным ключам. | |
Настройки автоматической разблокировки | Разрешать автоматическую разблокировку | Если настройка включена, после запуска соответствующей процедуры пользователь сможет разблокировать заблокированный электронный ключ без участия администратора. Настройка активна, только если включена настройка Разрешать разблокировку. |
Подключение скрытых дисков | Разрешить подключение скрытых дисков | Настройка доступна только для электронных ключей JaCarta SF/ГОСТ. Включите настройку, если в клиентском приложении JMS необходимо разрешить монтирование скрытых дисков RW и CD-ROM. |
9. Перейдите на вкладку Смена PIN-кода.
10. При необходимости отредактируйте следующие настройки:
10.1. Время, отводимое пользователю для смены PIN-кода с момента установки опции – позволяет задать время, которое будет предоставлено пользователю на смену PIN-кода с момента включения соответствующей настройки;
10.2. Периодичность напоминания о необходимости смены PIN-кода до истечения срока – позволяет задать интервал в минутах, через который пользователю будет отображаться предупреждение о необходимости смены PIN-кода электронного ключа до истечения срока действия этого PIN-кода;
10.3. Периодичность напоминания о необходимости смены PIN-кода после истечения срока – позволяет задать интервал в минутах, через который пользователю будет отображаться предупреждение о необходимости смены PIN-кода электронного ключа после истечения срока действия этого PIN-кода.
11. Нажмите ОК, чтобы сохранить изменения.
Настройки параметров инициализации
eToken Pro (Java) / JaCarta PRO
Примечание. Тип профиля Инициализация eToken Pro (Java) / JaCarta PRO по умолчанию не отображается в консоли управления JMS. Для того, чтобы профиль начал отображаться следует включить в JMS поддержку ЭК eToken Pro (Java) / JaCarta PRO (приложение/апплет ProJava). Подробно процедура включения поддержки приложений ЭК (апплетов) описана в руководстве по настройке и установке [2], раздел «Добавление поддержки моделей ЭК / профилей в JMS».
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Инициализация eToken Pro (Java) / JaCarta PRO.
- чтобы изменить существующий профиль, выберите этот профиль (например, Инициализация eToken Pro (Java) / JaCarta PRO по умолчанию) в центральной части окна консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится страница следующего вида:
Рис. 129 – Вкладка Общие свойств профиля инициализации
3. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно, после чего перейдите на вкладку Параметры. Отобразится страница следующего вида.
Рис. 130 – Вкладка Параметры свойств профиля инициализации
4. Выполните необходимые настройки, руководствуясь табл. 18.
Табл. 18 - Настройка параметров инициализации электронных ключей
Секция | Настройка | Описание |
|---|---|---|
PIN-код пользователя | PIN-код пользователя | Позволяет задать PIN-код пользователя электронного ключа по умолчанию. |
Количество попыток ввода PIN-кода | Позволяет задать максимальное число последовательных неверных вводов PIN-кода пользователя электронного ключа, по достижении которого доступ по PIN-коду пользователя блокируется. | |
Требовать у пользователя смены PIN-кода при первом входе | Если флаг установлен, пользователь должен будет сменить PIN-код пользователя электронного ключа при первом использовании. | |
PIN-код администратора | Способ установки PIN-кода | Позволяет задать способ формирования первоначального значения PIN-кода администратора электронного ключа. Список содержит следующие пункты: · Использовать фиксированный – позволяет задать PIN-код администратора электронного ключа по умолчанию (значение задается в поле PIN-код администратора); · Генерировать случайный – позволяет сгенерировать случайный PIN-код администратора электронного ключа при выпуске (в этом случае можно задать длину случайного PIN-кода с помощью настройки Длина случайного PIN-кода); |
PIN-код администратора | Позволяет задать PIN-код администратора электронного ключа. (Поле активно, только если в списке Способ установки PIN-кода выбран пункт Использовать фиксированный). | |
Длина случайного PIN-кода | Позволяет задать длину случайного PIN-кода администратора электронного ключа. (Настройка активна, только если в списке Способ установки PIN-кода выбран пункт Генерировать случайный). | |
Количество попыток ввода PIN-кода | Позволяет задать максимальное число последовательных неверных попыток ввода PIN-код администратора электронного ключа, по достижении которого доступ на уровне администратора к электронному ключу будет заблокирован. |
5. Перейдите на вкладку Политика PIN-кода. Отобразится страница следующего вида.
Рис. 131 – Вкладка Политика PIN-кода свойств профиля инициализации
6. Выполните необходимые настройки, руководствуясь табл. 19.
Табл. 19 – Настройка параметров PIN-кода пользователя электронного ключа
Секция | Настройка | Описание |
|---|---|---|
Базовая политика PIN-кода пользователя | Минимальная длина PIN-кода | Минимальная длина PIN-кода пользователя электронного ключа. |
Минимальный срок действия PIN-кода | Минимальный срок действия PIN-кода пользователя электронного ключа (в днях). | |
Максимальный срок действия PIN-кода | Максимальный срок действия PIN-кода пользователя электронного ключа (в днях). По достижении этого срока пользователь должен будет сменить PIN-код пользователя электронного ключа. | |
Предупреждение об окончании срока действия PIN-кода | Число дней до истечения срока действия PIN-кода пользователя электронного ключа, за которое пользователю будет отображаться предупреждение о необходимости смены PIN-кода пользователя. | |
Помнить X последних PIN-кодов пользователя | Число ранее использованных PIN-кодов пользователя электронного ключа, которые нельзя использовать в качестве нового PIN-кода пользователя электронного ключа. | |
Расширенная политика PIN-кода пользователя | Включить расширенную проверку качества PIN-кода | Позволяет установить дополнительные параметры безопасности PIN-кода пользователя электронного ключа. |
Числовые символы | Настройка активна, только если отмечен пункт Включить расширенную проверку качества PIN-кода. Позволяет настроить параметры использования цифр в PIN-коде. Список содержит следующие пункты: · Не проверять – наличие или отсутствие цифр в PIN-коде не влияет на успешность его создания; · Запрещены – нельзя использовать в PIN-коде цифры; · Обязательны – цифры в PIN-коде обязательны. | |
Символы в верхнем регистре | Настройка активна, только если отмечен пункт Включить расширенную проверку качества PIN-кода. Позволяет настроить параметры использования букв верхнего регистра в PIN-коде. Список содержит следующие пункты: · Не проверять – наличие или отсутствие букв верхнего регистра в PIN-коде не влияет на успешность его создания; · Запрещены – нельзя использовать в PIN-коде буквы верхнего регистра; · Обязательны – буквы верхнего регистра в PIN-коде обязательны. | |
Символы в нижнем регистре | Настройка активна, только если отмечен пункт Включить расширенную проверку качества PIN-кода. Позволяет настроить параметры использования букв нижнего регистра в PIN-коде. Список содержит следующие пункты: · Не проверять – наличие или отсутствие букв нижнего регистра в PIN-коде не влияет на успешность его создания; · Запрещены – нельзя использовать в PIN-коде буквы нижнего регистра; · Обязательны – буквы нижнего регистра в PIN-коде обязательны. | |
Специальные символы | Настройка активна, только если отмечен пункт Включить расширенную проверку качества PIN-кода. Позволяет настроить параметры использования специальных символов (символов, не входящих в алфавитно-цифровой набор) в PIN-коде. Список содержит следующие пункты: · Не проверять – наличие или отсутствие специальных символов в PIN-коде не влияет на успешность его создания; · Запрещены – нельзя использовать в PIN-коде специальные символы; · Обязательны – специальные символы в PIN-коде обязательны. | |
Максимальное количество повторений символов | Настройка активна, только если отмечен пункт Включить расширенную проверку качества PIN-кода. Позволяет задать максимальное число идущих подряд одинаковых символов в PIN-коде. |
7. Перейдите на вкладку Дополнительные параметры.
Отобразится страница следующего вида.
Рис. 132 – Вкладка Дополнительные параметры свойств профиля инициализации
8. Выполните необходимые настройки, руководствуясь табл. 20.
Табл. 20 – Настройка дополнительных параметров инициализации электронных ключей
Настройка | Описание |
|---|---|
Поддержка 2048-битного ключа RSA | Установите этот флаг для поддержки 2048-битных ключей RSA. |
Включение поддержки сертификации FIPS | Установите этот флаг для инициализации устройств в режиме соответствия стандарту FIPS. FIPS (Federal Information Processing Standards) – утвержденный правительством США набор стандартов, направленных на улучшение управления и использования компьютерных и телекоммуникационных систем связи. |
Режим кэширования приватных данных | Эта настройка определяет, когда личная информация (кроме закрытых ключей) может быть кэширована вне памяти электронного ключа. Список содержит следующие пункты: · Никогда - данные не кэшируются; · Всегда - личные данные всегда кэшируются; · Только при активной сессии пользователя - данные остаются в кэше с момента авторизации с помощью электронного ключа и до момента, пока сеанс авторизации не будет закрыт. |
9. Перейдите на вкладку Приложения.
Отобразится страница следующего вида.
Рис. 133 – Вкладка Приложения свойств профиля инициализации
10. Отметьте нужные комбинации приложений
11. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль). Изменения, внесенные в профиль, будут сохранены.
JaCarta PKI
12. В консоли управления JMS перейдите в раздел Профили.
13. Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Инициализация JaCarta PKI.
- чтобы изменить существующий профиль, выберите этот профиль (например, Инициализация JaCarta PKI по умолчанию) в центральной части окна консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 134 – Вкладка Общие
14. В соответствующих полях введите (или отредактируйте) имя и описание профиля, после чего переходите на вкладку Параметры (Рис. 135).
Рис. 135 – Вкладка Параметры
15. Выполните настройку, руководствуясь табл. 21.
Табл. 21 - Настройка параметров инициализации
Настройка | Описание |
|---|---|
<Секция> PIN-код пользователя | |
PIN-код пользователя | Позволяет задать значение PIN-кода пользователя. |
Срок действия PIN-кода (дней) | Число дней, спустя которое пользователь должен будет сменить PIN-код пользователя. |
Проверять PIN-код каждые (минут) | В течение какого времени (в минутах) PIN-код пользователя будет кэшироваться на компьютере, к которому подсоединен электронный ключ. По истечении этого времени пользователь должен будет снова ввести PIN-код, чтобы подтвердить доступ. |
Количество попыток доступа | Максимальное допустимое число последовательных попыток ввода неверного PIN-кода и/или неудачных попыток биометрической аутентификации, по достижении которого PIN-код и/или доступ по отпечатку пальца блокируется. Попытки неудачного доступа учитываются отдельно – для PIN-кода пользователя и для биометрической аутентификации. |
Требовать у пользователя смены PIN-кода при первом входе | Установка этого флага обяжет пользователя сменить PIN-код пользователя при первом использовании электронного ключа. |
Требовать у пользователя смены PIN-кода после разблокировки | Установка этого флага обяжет пользователя сменить PIN-код пользователя, после того как электронный ключ был разблокирован. |
<Секция> PIN-код администратора | |
Использовать текущий PIN-код администратора из профиля / Использовать текущий 3DES ключ из профиля | Позволяет использовать/не использовать при инициализации электронного ключа значение, заданное в поле Текущий PIN-код администратора / Текущий 3DES-ключ (ниже). Если этот флаг не установлен, то при инициализации электронного ключа будет использован дефолтный PIN-код администратора для данного приложения (установленный, например, на производстве), либо дефолтный 3DES-ключ (установленный в рамках эксплуатирующей организации). Примечание. При применении профиля к ранее инициализированному в JMS электронному ключу (т.е. при повторном его выпуске), даже если ключ был отозван и удален, значение данного флага будет игнорироваться, а для инициализации будет использоваться действующий PIN-код администратора / 3DES-ключ для данного электронного ключа, ранее сохраненный в БД JMS. |
Текущий PIN-код администратора / Текущий 3DES ключ | Значение PIN-кода администратора /3DES-ключа, установленное в настоящий момент в электронном ключе. Используется только при включенном флаге Использовать текущий PIN-код администратора из профиля / Использовать текущий 3DES ключ из профиля |
Способ установки PIN-кода | Позволяет выбрать способ формирования PIN-кода администратора / 3DES-ключа: · Использовать фиксированный – позволяет задать фиксированный PIN-код администратора /3DES-ключа, значение которого следует указать в поле PIN-код администратора/3DES ключ; · Генерировать случайный – при выборе этого пункта в процесс инициализации будет сгенерирован случайный PIN-код администратора / 3DES-ключа; количество символов случайного PIN-кода задается в поле Длина случайного PIN-кода / Длина случайного ключа. |
Разрешить удаленную разблокировку | Установка этого флага позволяет удаленно (например, с помощью клиента JMS) разблокировать пользовательские PIN-коды электронных ключей в режиме Запрос-Ответ. (Возможность удаленной разблокировки биометрической аутентификации не предусмотрена.) В этом случае вместо PIN-кода администратора должен быть задан ключ 3DES. При установке этого флага соответствующим образом меняются настройки (см. изображения ниже). · Флаг не установлен · Флаг установлен |
Новый PIN-код администратора / Новый 3DES ключ | Позволяет задать произвольный PIN-код администратора (если был выбран фиксированный способ установки и флаг Разрешить удаленную разблокировку не был установлен). ИЛИ Позволяет задать ключ 3DES, который будет использоваться в качестве PIN-кода администратора (если был выбран фиксированный способ установки и флаг Разрешить удаленную разблокировку установлен). |
Длина случайного PIN-кода / Длина случайного ключа | Позволяет задать длину случайного PIN-кода администратора (или ключа 3DES), если в настройке Способ установки PIN-кода был выбран пункт Генерировать случайный. |
Количество попыток ввода PIN-кода / Количество попыток ввода ключа | Максимальное число попыток ввода неверного PIN-кода администратора (или максимальное число попыток применения неверного ключа 3DES), по достижении которого PIN-код администратора (ключ 3DES) на электронном ключе блокируется. |
16. Перейдите на вкладку Политика качества PIN-кода (Рис. 136).
Рис. 136 – Вкладка Политика качества PIN-кода
17. Эта вкладка позволяет настроить качество PIN-кодов, используемых с электронными ключами, которые будут инициализированы с настраиваемым профилем.
18. Выполните настройку, руководствуясь табл. 22.
Табл. 22 – Политики качества PIN-кодов
Настройка | Описание |
|---|---|
Выбор секции (последовательно выберите и настройте политику сначала для PIN-кода пользователя, затем для PIN-кода администратора) | |
Запоминать последние X PIN-кодов | Позволяет задать число использованных подряд ранее PIN-кодов, которые пользователь не сможет использовать при назначении нового PIN-кода. Примечание. Нулевое значение параметра означает отключение проверки, т.е. предыдущие значения PIN-кода будут игнорироваться. |
<Секция> PIN-кода пользователя / PIN-кода администратора | |
Минимальное количество символов | Позволяет задать минимальное необходимое число символов в PIN-коде. |
Максимальное количество символов | Позволяет задать максимальное возможное число символов в PIN-коде. |
<Секция> Минимальное количество символов | |
Символы алфавита | Позволяет задать минимальное необходимое число символов алфавита в PIN-коде. |
Символы в верхнем регистре | Позволяет задать минимальное необходимое число символов в верхнем регистре в PIN-коде. |
Символы в нижнем регистре | Позволяет задать минимальное необходимое число символов в нижнем регистре в PIN-коде. |
Числовые символы | Позволяет задать минимальное необходимое число цифр в PIN-коде. |
Специальные символы | Позволяет задать минимальное необходимое число специальных символов (не алфавитно-цифровых) в PIN-коде. |
Максимальное количество повторений символов | Определяет максимальное допустимое число одинаковых символов в PIN-коде. |
19. Перейдите на вкладку Приложения (Рис. 137).
Рис. 137 – Вкладка Приложения
20. Отметьте нужные комбинации приложений.
21. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Изменения, внесенные в профиль, будут сохранены.
DataStore
Примечание. Тип профиля Инициализация DataStore по умолчанию не отображается в консоли управления JMS. Для того, чтобы профиль начал отображаться, следует включить в JMS поддержку ЭК DataStore (приложение/апплет Storage). Подробно процедура включения поддержки приложений/апплетов ЭК описана в руководстве по настройке и установке [2], раздел «Добавление поддержки моделей ЭК / профилей в JMS».
В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Инициализация DataStore.
- чтобы изменить существующий профиль, выберите этот профиль (например, Инициализация DataStore по умолчанию) в центральной части окна консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится страница следующего вида
Рис. 138 – Вкладка Общие свойств профиля инициализации
2. В соответствующих полях введите (или отредактируйте) имя и описание профиля, после чего переходите на вкладку Параметры.
Отобразится страница следующего вида
Рис. 139 – Вкладка Параметры свойств профиля инициализации
3. Выполните настройку, руководствуясь табл. 23.
Табл. 23 – Настройка параметров инициализации
Секция | Настройка | Описание |
|---|---|---|
PIN-код пользователя | PIN-код пользователя | Позволяет задать значение PIN-кода пользователя. |
PIN-код администратора | Использовать текущий PIN-код администратора из профиля | В случае установки данного флага при первой инициализации электронного ключа (т.е. в результате первой его регистрации в JMS с выпуском) будет использован PIN-код, указанный в поле Текущий PIN-код администратора (ниже). В противном случае (флаг не установлен) будет использован дефолтный PIN-код администратора для данного приложения (установлен в JMS по умолчанию, недоступен администратору для настройки). Примечание. При применении профиля к ранее инициализированному в JMS электронному ключу (т.е. при повторном его выпуске), даже если ключ был отозван и удален, значение данного флага (Использовать текущий PIN‑…) будет игнорироваться, а для инициализации будет использоваться действующий PIN-код администратора для данного электронного ключа, ранее сохраненный в БД JMS. |
Текущий PIN-код администратора | Поле позволяет указать текущий PIN-код администратора в электронном ключе. Используется при включенном флаге Использовать текущий PIN-код администратора из профиля | |
Способ установки PIN-кода | Позволяет выбрать способ формирования PIN-кода администратора. Доступны следующие варианты: · Использовать фиксированный – если выбран этот пункт, задайте значение PIN-кода администратора в поле PIN-код администратора; · Генерировать случайный – в процессе инициализации будет создан случайный PIN-код администратора; укажите длину случайного PIN-кода в поле Длина случайного PIN-кода. | |
Новый PIN-код администратора | Если в списке Способ установки PIN-кода был выбран пункт Использовать фиксированный, это поле позволяет задать новый PIN-код администратора. | |
Длина случайного PIN-кода | Позволяет задать длину случайного PIN-кода администратора, если в списке Способ установки PIN-кода был выбран пункт Генерировать случайный. |
4. Переходите на вкладку Приложения.
Отобразится страница следующего вида:
Рис. 140 – Вкладка Приложения свойств профиля инициализации
5. Отметьте нужные комбинации приложений.
6. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Изменения, внесенные в профиль, будут сохранены.
JaCarta SF/ГОСТ
Примечание. Перед созданием профилей для выпуска электронных ключей JaCarta SF/ГОСТ следует с помощью утилиты «Программа Главного Администратора» (из комплекта поставки ключей данного типа) создать ключевой контейнер администратора доступа (файл с расширением .kka) для его использования в процедуре создания профиля в JMS, либо убедиться, что нужный kka-контейнер уже импортирован в JMS (см. «Импорт/экспорт контейнеров JaCarta SF/ГОСТ», с 221).
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать, выберите тип профиля Инициализация JaCarta SF/ГОСТ.
- чтобы изменить существующий профиль, выберите этот профиль (например, Инициализация JaCarta SF/ГОСТ по умолчанию) в центральной части окна консоли управления JMS, после чего по нажатию на нём правой кнопкой мыши выберите Свойства.
Отобразится страница следующего вида.
Рис. 141 – Вкладка Общие
3. На вкладке Общие в соответствующих полях введите (или отредактируйте) имя и описание профиля.
Вкладка Ключевой контейнер
4. Перейдите на вкладку Ключевой контейнер:
Рис. 142 – Вкладка Ключевой контейнер
5. В поле Контейнер JaCarta SF/ГОСТ нажмите три точки (…), выберите необходимый контейнер и нажмите Выбрать, или импортируйте соответствующий контейнер из файла, нажав Импорт (подробнее импорт контейнера JaCarta SF/ГОСТ описан в разделе «Импорт/экспорт контейнеров JaCarta SF/ГОСТ», с. 221).
Вкладка Параметры
6. Перейдите на вкладку Параметры.
Рис. 143 – Вкладка Параметры
7. Выполните настройки, руководствуясь Табл. 24.
Табл. 24 – Настройка параметров профиля инициализации JaCarta SF
Настройка | Описание |
|---|---|
<Секция> Параметры инициализации | |
Режим инициализации | Настройка определяет тип электронного носителя (ЭН) который будет получен после инициализации электронного ключа JaCarta SF/ГОСТ. Возможные значения: · Инициализация КН администратора – электронный ключ будет инициализирован как ЭН администратора доступа · Инициализация КН пользователя – электронный ключ будет инициализирован как ЭН пользователя |
PIN-код пользователя | Установите PIN-код пользователя приложения SF. Значение PIN-кода пользователя должно соответствовать парольной политике (требование к длине пароля и использования определенных категорий символов), установленной в секции Безопасность (ниже). Значение по умолчанию: 1234567890 |
<Секция> Разделы | |
Важно! Настройки в данной секции устанавливают реальные размеры соответствующих разделов, которые могут отличаться от размеров разделов, указанных контейнере JaCarta SF/ГОСТ Примечание. Размер скрытого RW-раздела электронного ключа JaCarta SF/ГОСТ определяется как общий объем флеш-памяти данного электронного ключа за вычетом объема перечисленных ниже разделов. | |
Размер открытого CD-ROM раздела (ГБ) | Установите размер открытого раздела CD-ROM электронного ключа JaCarta SF/ГОСТ. Если раздел создавать не нужно, то следует указать значение 0 (ноль). |
Размер скрытого CD-ROM раздела (ГБ) | Установите размер скрытого раздела CD-ROM электронного ключа JaCarta SF/ГОСТ. Если раздел создавать не нужно, то следует указать значение 0 (ноль). |
Размер открытого RW-раздела (ГБ) | Установите размер открытого RW-раздела CD-ROM электронного ключа JaCarta SF/ГОСТ. Если раздел создавать не нужно, то следует указать значение 0 (ноль). |
Алгоритм шифрования | Выберите алгоритм шифрования для скрытых разделов. Доступные значения: · ГОСТ 28147-89 · Ускоренный ГОСТ 28147-89 |
Форматировать RW-разделы | Настройка определяет необходимость форматирования RW-разделов ЭН |
Настройки, относящиеся к RW-разделам ЭН. Данные настройки доступны при условии, что установлен флаг Форматировать RW-разделы (выше) | |
Файловая система открытого раздела | Настройка доступна при условии установки флага Форматировать RW-разделы (выше). Выберите тип файловой системы для монтирования в открытом разделе ЭН. Доступные значения: · FAT32 · NTFS |
Метка открытого раздела | При необходимости установите метку открытого RW-раздела |
Файловая система скрытого раздела | Выберите тип файловой системы для монтирования в скрытом разделе ЭН. Доступные значения: · FAT32 · NTFS Примечание. Поле недоступно в случае если в поле Режим инициализации (выше) установлено значение Инициализация КН администратора. |
Метка скрытого раздела | При необходимости установите метку скрытого RW-раздела Примечание. Поле недоступно в случае если в поле Режим инициализации (выше) установлено значение Инициализация КН администратора. |
<Секция> Безопасность | |
Минимальная длина ПИН-кода | Укажите минимальную длину PIN-кода приложения SF. Значение по умолчанию: 6 |
Ограничения алфавита | При помощи настроек установите какие типы символов допускается использовать при создании PIN-кода приложения: · Строчные символы · Прописные символы · Цифровые символы (установлены по умолчанию) · Специальные символы |
Вкладка Журналирование
8. Перейдите на вкладку Журналирование.
Рис. 144 – Вкладка Журналирование
9. Выполните настройки, руководствуясь Табл. 25.
Табл. 25 – Настройка параметров журналирования ЭН
Настройка | Описание |
|---|---|
<Секция> Общие параметры | |
Включить журналирование | При установке флага в ЭН будет включена система регистрации событий Флаг установлен по умолчанию |
<Секция> Журнал несанкционированного доступа | |
Размер журнала | Укажите размер журнала |
Блокировать доступ к скрытым разделам при переполнении | Установите флаг, если необходимо блокировать работу со скрытыми разделами при переполнении журнала |
<Секция> Журнал операций | |
Размер журнала | Укажите размер журнала |
Блокировать доступ к скрытым разделам при переполнении | Установите флаг, если необходимо блокировать работу со скрытыми разделами при переполнении журнала |
<Секция> Журнал событий безопасности | |
Размер журнала | Укажите размер журнала |
Блокировать доступ к скрытым разделам при переполнении | Установите флаг, если необходимо блокировать работу со скрытыми разделами при переполнении журнала |
Вкладка Информация о КН
10. Перейдите на вкладку Информация о ключевом носителе.
Рис. 145 – Вкладка Информацию о ключевом носителе
11. Выполните настройки, руководствуясь Табл. 26.
Табл. 26 – Настройка информации о пользователе КН
Настройка | Описание |
|---|---|
<Секция> Информация о владельце | |
· ФИО · Организация · Должность (полностью) · Личный номер | Заполните поля. В качестве значений можно выбрать атрибуты пользователя соответствующей ресурсной системы (например, FreeIPA). Для этого нажмите «…» (три точки) и выберите необходимое значение. Данное значение будет подставлено автоматически во время инициализации приложения JaCarta SF. |
Вкладка Приложения
12. Перейдите на вкладку Приложения.
13. Отметьте нужные комбинации приложений.
14. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Настройки профиля выпуска сертификатов в центре сертификации Microsoft
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Выпуск сертификатов - УЦ Microsoft CA.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Рис. 146 – Вкладка Общие профиля выпуска сертификатов
3. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
Настройка параметров подключения
4. Перейдите на вкладку Подключение.
Окно примет следующий вид.
Рис. 147 – Вкладка Подключение профиля выпуска сертификатов
5. Выполните необходимые настройки, руководствуясь табл. 27.
Табл. 27 – Настройка параметров подключения к удостоверяющему центру
Секция | Настройка | Описание |
|---|---|---|
Microsoft CA | Имя центра сертификации Microsoft CA | Важно! В текущей реализации JMS 4LX подключение к УЦ MSCA осуществляется через специально установленный web-API – Прокси-сервер для УЦ MSCA (подробнее об установке и настройке прокси-сервера см. в руководстве по установке [2], раздел «Установка Прокси-сервера для УЦ (Web API к УЦ)»). Нажмите кнопку Прокси… справа. В появившейся форме (Рис. 148, с. 134) выполните следующие настройки: · Использовать прокси-сервер – установите флаг для подключения через прокси-сервер · Адрес прокси-сервера – введите адрес Прокси-сервера для УЦ MSCA (например http://192.168.10.1:6610) Примечание. Номер порта должен соответствовать порту, указанному в параметре реестра MSCAProxyWebApiAddresses в настройках прокси-сервера (подробнее см. в руководстве по установке [2], раздел «Установка Прокси-сервера для УЦ (Web API к УЦ)»); · Логин – укажите имя доменного пользователя, принадлежащего доменной или локальной группе, указанной в параметре реестра AuthorizeAsGroupMember в настройках прокси-сервера (подробнее см. в руководстве по установке [2], раздел «Установка Прокси-сервера для УЦ (Web API к УЦ)»); · Пароль По выполнение подключения к прокси-серверу значение Имя центра сертификации Microsoft CA подставится автоматически |
Тип подписи запроса из консоли управления JMS | Позволяет выбрать субъект, который может быть агентом регистрации, при выпуске сертификата пользователя из консоли управления JMS. Доступны следующие варианты: · Общий (подпись запроса на сервере) – агентом регистрации выступает сервер JMS, соответствующий сертификат должен быть установлен в хранилище компьютера на сервере JMS (настройка является обязательной); Примечание. В случае если служба JMS запускается от имени учетной записи пользователя, то сертификат агента регистрации должен выпускаться на имя учетной записи данного пользователя и устанавливается в хранилище пользователя на сервере JMS. · Частный (подпись запроса на клиенте) – роль агента регистрации выполняет администратор JMS, сертификат агента регистрации должен быть установлен в хранилище пользователя на компьютере, с которого работает администратор JMS (из консоли управления JMS), или записан в память электронного ключа администратора JMS. | |
Критерии поиска сертификата Enrollment Agent (подпись запроса на сервере) | Настройка позволяет выбрать сертификат агента регистрации, выпущенный в хранилище компьютера сервера JMS. Выберите способ поиска сертификата агента регистрации: · По отпечатку; · По параметрам. После выбора способа поиска воспользуйтесь кнопкой (Обзор), чтобы выбрать нужный сертификат, и подтвердите выбор, нажав OK. Примечания: 1. Настройка не касается подписи запроса на сертификат из консоли управления JMS при выборе опции Частный (подпись запроса на клиенте), см. выше. В этом случае администратору будет предложены на выбор все сертификаты из личного хранилища пользователя, от имени которого запущена консоль управления. 2. В случае настройки данного профиля для единичного сервера JMS (т.е. без кластера) следует выбирать способ поиска По отпечатку. В случае настройки профиля в кластерной конфигурации JMS следует использовать способ поиска По параметрам. Подробнее об особенностях режима выбора По параметрам см. в разделе «Порядок использования режима По параметрам при настройке выбора сертификата», с. 134. Порядок развертывания кластерной конфигурации приведен в соответствующем руководстве. | |
Шаблоны сертификатов | Пользователь | Выберите из списка опубликованный шаблон сертификата, который будет использоваться при самостоятельном (т.е. из клиента JMS) выпуске пользователями электронных ключей. Чтобы самостоятельно запрашивать сертификаты пользователи должны иметь разрешения: Чтение и Заявка для шаблона, по которому будут выпускаться сертификаты. Если вы планируете взять под контроль JMS электронные ключи, выпущенные до установки и настройки JMS, шаблон сертификата, выбранный в этой настройке, должен совпадать с шаблоном сертификата, использованным ранее для выпуска электронного ключа. |
Администратор | Выберите из списка опубликованный шаблон сертификата, который будет использоваться при выпуске электронных ключей администратором (т.е. из консоли управления JMS) для пользователей. Примечания: 1. Если вы планируете взять под контроль JMS электронные ключи, выпущенные до установки и настройки JMS, шаблон сертификата, выбранный в этой настройке, должен совпадать с шаблоном сертификата, использованным ранее для выпуска электронного ключа. |
Рис. 148 – Настройки подключения к Прокси-серверу для УЦ MSCA
Порядок использования режима По параметрам при настройке выбора сертификата
Режим По параметрам позволяет выбирать не жестко заданный сертификат (как в случае По отпечатку), а произвольный, удовлетворяющий двум критериям отбора: имени удостоверяющего центра (поле Кем выдан) и идентификатору расширенного назначения ключа (поле Улучшенный ключ). Настройка параметра осуществляется путем выбора одного из сертификатов (кнопка обзора ), который должен служить образцом для установки значений двух указанных выше полей (критериев отбора).
Рис. 149 – Механизм поиска По параметрам на примере профиля выпуска сертификата MSCA
Если в хранилище, в котором осуществляется поиск По параметрам, имеется несколько сертификатов, удовлетворяющих заданным критериям, то среди них будет выбран один из действующих сертификатов. Если вы хотите гарантировать выбор единственного сертификата, то в соответствующем хранилище следует оставить только этот действующий сертификат, удовлетворяющий критериям отбора.
Режим По параметрам следует использовать только при настройке выбора сертификата Enrollment Agent (в профиле выпуска сертификата в MSCA) и только в кластерной конфигурации JMS, поскольку данный режим позволяет при обращении к произвольному узлу кластера использовать сертификат, выпущенный специально для данного узла и при этом удовлетворяющий заданным критериям отбора.
Настройки на вкладке Типы приложений
6. Перейдите на вкладку Типы приложений.
Окно примет следующий вид.
Рис. 150 – Вкладка Типы приложений
7. Отметьте нужные комбинации приложений.
Настройка параметров режимов выпуска сертификатов
8. Перейдите на вкладку Параметры режимов выпуска.
Окно будет выглядеть следующим образом.
Рис. 151 – Вкладка Параметры режимов выпуска профиля выпуска сертификатов
9. Выполните необходимые настройки, руководствуясь табл. 28.
Табл. 28 – Настройка параметров выпуска сертификатов
Секция | Настройка | Описание |
|---|---|---|
Параметры выпуска | Контейнер по умолчанию | Если этот флаг установлен, защищенный контейнер, создаваемый в памяти электронного ключа при выпуске, будет помечен в качестве контейнера по умолчанию. Настройка актуальна для Windows XP. При выполнении входа с использованием электронного ключа, если на электронном ключе более одного сертификата, система может считать только контейнер по умолчанию, остальные сертификаты игнорируются. |
Резервное копирование ключевой пары и сертификата | Если флаг установлен, при выпуске электронного ключа будет создаваться резервная копия ключевой пары и сертификата в БД JMS. Если внешними средствами с электронного ключа будет удалена ключевая пара с сертификатом, то при синхронизации данные будут восстановлены на электронном ключе с помощью резервной копии на сервере. Примечание. Доступность опции зависит от выбранного криптопровайдера (возможности данного криптопровайдера по экспорту ключевой пары и последующей записи ключевой пары из резервной копии в память электронного ключа заданного типа) | |
Установить принудительный вход по смарт-карте для пользователя | Если флаг установлен, пользователю, на имя которого выпускается электронный ключ, будут запрещены все возможности входа в систему, кроме возможности входа с использованием смарт-карты. | |
Тайм-аут ожидания выпуска сертификата, сек | Позволяет указать максимальную величину задержки (в секундах) при выпуске сертификата. | |
Срок хранения отозванного/обновленного сертификата на КН | Позволяет задать время, в течение которого в памяти электронного ключа будет храниться отозванный или обновленный сертификат. При этом в консоли управления данный сертификат отображается с состоянием «Сохранен на КН». Срок хранения отсчитывается от момента выпуска сертификата. При превышении срока хранения сертификат удаляется из электронного ключа и из БД JMS. Значение по умолчанию: 1 год и 3 месяца. | |
Параметры отзыва | Важно! Под событием «отзыв» в настройках данной секции подразумевается отзыв сертификата в JMS, который выполняется в следующих случаях: · при отзыве электронного ключа (см. «Отзыв ЭК/ЗНИ », с. 50); · при отмене привязки профиля выпуска сертификата, применявшегося к данному электронному ключу (см. «Привязка профилей», с. 229), в том числе и при удалении профиля; · при удалении сертификата средствами JMS (см. раздел «Операции с сертификатами», с. 26); · при отзыве сертификата (в состоянии «Выпущен на КН») на УЦ не средствами JMS (проверка отзыва сертификата обеспечивается при выполнении планов обслуживания). | |
Публиковать CRL после отзыва | Если флаг установлен, после отзыва в JMS электронного ключа/сертификата на сервере удостоверяющего центра будет публиковаться список отозванных сертификатов (CRL). | |
Отзывать сертификат в УЦ | Если флаг установлен, то сертификат, выпущенный на электронном ключе, который был впоследствии отозван в JMS, будет также отозван в УЦ (центре сертификации Microsoft). | |
Удалять ключевой контейнер отзываемого сертификата | Если флаг установлен, то при отзыве электронного ключа (или сертификата) из памяти электронного ключа будет удален ключевой контейнер, созданный при выпуске по данному профилю. (Электронный ключ для этого должен быть подсоединен к компьютеру во время процедуры отзыва или синхронизации). Если флаг не установлен, то при отзыве сертификат из электронного ключа не удаляется, а в консоли управления сертификат отображается с состоянием «Сохранен на КН». | |
Параметры обновления | Обновлять сертификат с истекающим сроком действия | Позволяет обновлять сертификат, срок действия которого скоро истечет. |
Режим обновления | Позволяет выбрать режим обновления сертификатов с истекшим сроком действия. Доступны следующие настройки: · Существующая ключевая пара – для обновления сертификата будет использована существующая ключевая пара; · Новая ключевая пара – для обновления сертификата будет сгенерирована новая ключевая пара. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. | |
Количество дней до окончания срока действия | Позволяет указать, за сколько дней до истечения срока действия можно обновить сертификат. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. | |
Отзывать заменяемый сертификат в УЦ | Если этот флаг установлен, заменяемый сертификат будет отозван центром сертификации. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. | |
Удалять ключевой контейнер заменяемого сертификата | Если флаг установлен, то при замене сертификата из памяти электронного ключа будет удален ключевой контейнер (электронный ключ для этого должен быть подсоединен к компьютеру) заменяемого сертификата. Если флаг не установлен, то из электронного ключа сертификат не удаляется, а в консоли управления он отображается с состоянием «Сохранен на КН». Данный флаг доступен для изменения только при режиме обновления с новой ключевой парой (см. параметр Режим обновления) и произвольно генерируемом имени ключевого контейнера (см. описание вкладки Ключевой контейнер). | |
Настройка параметров ключевого контейнера
10. Перейдите к секции Ключевой контейнер.
Окно примет следующий вид.
Рис. 152 – Вкладка Ключевой контейнер
11. Выполните необходимые настройки, руководствуясь табл. 29.
Табл. 29 – Настройки ключевого контейнера
Секция | Настройка | Описание |
|---|---|---|
Параметры криптографии | Криптопровайдер для генерации ключевой пары | Выберите в этом списке поставщика криптографии, с помощью которого будут формироваться ключевые пары. (Чтобы появиться в списке доступных соответствующий криптопровайдер должен быть установлен на сервере JMS.) Примечание. Список доступных поставщиков криптографии зависит от комбинации приложений, выбранных на вкладке Приложения. В случае если выбранные приложения не имеют общих поддерживающих их поставщиков криптографии, список будет пустым. |
Алгоритм для генерации ключевой пары | Выберите алгоритм для генерации ключевой пары. Список алгоритмов зависит выбранного поставщика криптографии, например, в случае выбора Aladdin GOST PKCS11 Cryptographic Provider для приложения (на электронном ключе) ГОСТ 2 появляется возможность выбора алгоритмов ГОСТ 34.10-2001 или ГОСТ 34.10-2012. Примечания: 1. Список доступных алгоритмов зависит от комбинации приложений, выбранных на вкладке Приложения и содержит только алгоритмы, поддерживаемые одновременно всеми выбранными приложениями. 2. Для выпуска сертификата открытого ключа, сгенерированного по алгоритму ГОСТ 34.10-2012 необходимо обеспечить, наличия на стороне УЦ поставщика криптографии с поддержкой данного алгоритма (например, КриптоПро CSP 4.0). | |
Применять PIN-код подписи | При необходимости установите признак обязательности применения пользователем PIN-кода подписи. Примечания: 1. Настройка действует только в приложениях ГОСТ 2 на электронных ключах JaCarta. 2. Настройка применяется только к ключевому контейнеру (а значит и к закрытому ключу), созданному при выпуске данного электронного ключа. 3. При установке данного признака, в процессе выпуска электронного ключа у пользователя будет запрошен PIN-код подписи с целью его установки. | |
Применение и размер ключа, бит | Key Exchange (Обмен ключами) | Позволяет указать основное применение ключа. |
Digital Signature (Цифровая подпись) | ||
Размер ключа | Укажите размер ключа (в битах), который будет формироваться на основе используемого профиля. | |
Ключевой контейнер Имя контейнера | Сгенерировать произвольное имя | Если выбран этот пункт, то для ключевых контейнеров, созданных на основе этого профиля, будет сгенерировано случайное имя. |
Использовать название профиля | Если выбран этот пункт, то для ключевых контейнеров, созданных на основе этого профиля, будет использоваться имя этого профиля. Важно! При установке данной опции убедитесь, что используемые в названии профиля символы и его синтаксис поддерживаются соответствующим криптопровайдером | |
Использовать существующий контейнер | Если выбран этот пункт, при выпуске электронных ключей ключевая пара будет записываться в существующий контейнер. | |
Использовать указанное имя | Позволяет задать имя, которым будут названы ключевые контейнеры, выпущенные с использованием этого профиля. Важно! При задании имени контейнера вручную убедитесь, что используемые символы и синтаксис имени поддерживается соответствующим криптопровайдером |
Настройка шаблонов полей сертификата
12. Перейдите на вкладку Сертификат.
Отобразится следующее окно.
Рис. 153 – Вкладка Сертификат
13. При необходимости отредактируйте поля сертификата (запроса на сертификат), который будет выпускаться на имя пользователей. Для этого выполните следующие действия:
13.1. В секции с названием нужного поля нажмите Редактировать шаблон;
13.2. Отредактируйте шаблон, руководствуясь сведениями, представленными в Табл. 30.
13.3. В окне редактирования шаблона нажмите OK, чтобы сохранить изменения.
13.4. В секции с названием нужного поля установите флаг Формировать с помощью шаблона.
13.5. При необходимости повторите действия для других полей.
Табл. 30 – Настройка шаблонов полей сертификата
Поле | Описание настроек шаблона |
|---|---|
Имя субъекта | Шаблон имеет следующие столбцы: · OID (первый столбец)– позволяет выбрать значение OID, которое будет использоваться в имени субъекта; · Источник (второй столбец)– содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения атрибутов зарегистрированных в JMS ресурсных систем (каталогов учетных записей), выбранные в столбцах OID и Значение; Примечание. При выборе атрибута необходимо следить за тем, чтобы он относился к той ресурсной системе (каталогу учетных записей), к которой впоследствии будет привязан данный профиль выпуска сертификата. – Константа – позволяет вручную ввести значения в столбцах OID и Значение. · Значение (третий столбец)– позволяет указать значение атрибута, которое будет использоваться в имени субъекта. |
Альтернативное имя субъекта | Шаблон имеет следующие столбцы: · Выбор (первый столбец)– позволяет отметить пункт, который будут включен в альтернативное имя субъекта; · Имя (второй столбец)– позволяет вручную задать имя атрибута, которое будет использоваться в альтернативном имени субъекта · Источник (третий столбец)– содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения атрибутов зарегистрированных в JMS ресурсных систем (каталогов учетных записей), выбранные в столбцах OID и Значение; Примечание. При выборе атрибута необходимо следить за тем, чтобы он относился к той ресурсной системе (каталогу учетных записей), к которой впоследствии будет привязан данный профиль выпуска сертификата. – Константа – позволяет вручную ввести значения в столбце Значение. · Значение (четвертый столбец) – позволяет указать значение атрибута, которое будет использоваться в альтернативном имени субъекта. Также вы можете установить флаг Критическое расширение, чтобы сделать данное поле критически расширением. |
Политики сертификата | Позволяет установить путём выбора из предустановленного списка политики сертификата (с их названием и OID-идентификатором). Вы также можете установить флаг Критическое расширение, чтобы сделать данное поле критическим расширением. |
Настройки на вкладке Ключевые атрибуты пользователя
14. Перейдите на вкладку Ключевые атрибуты пользователя.
Отобразится следующее окно.
Рис. 154 – Вкладка Ключевые атрибуты пользователя
15. На вкладке отображаются списки атрибутов, сгруппированных по ресурсным системам. При необходимости отметьте атрибуты пользователя, при изменении которых в ресурсной системе (внешнем каталоге учетных записей) в JMS должен быть автоматически перевыпущен сертификат пользователя в момент синхронизации его электронного ключа. Для этого выполните следующие действия:
15.1. Установите флаг Включить отслеживание атрибутов.
15.2. Выберите ресурсную систему (соответствующий список атрибутов).
15.3. Если все необходимые для отслеживания атрибуты располагаются в окне в отображаемой части списка, отметьте их.
15.4. В противном случае установите флаг Показать все, после чего раскроется список, в котором будут отражены все атрибуты пользователя из ресурсных систем, зарегистрированные в JMS. Отметьте среди них необходимые.
Примечания:
- Отслеживание изменений в указанных на данной вкладке атрибутах пользователя реализуется при выполнении плана обслуживания по умолчанию, а именно задачи Выявление рассинхронизации учетных записей из каталогов учетных записей, см. раздел «План обслуживания по умолчанию», с. 324. Перевыпуску подлежат только сертификаты в приложении на электронном ключе, выпущенные по данному профилю. Перевыпуск сертификата (т.е. отзыв имеющегося и выпуск нового) происходит в момент синхронизации электронного ключа (см. раздел «Синхронизация ЭК/ЗНИ », с. 47).
- Базовая ресурсная система. Под базовой ресурсной системой подразумевается ресурсная система, к которой будет привязан профиль для выпуска сертификатов пользователей. Таким образом перечень атрибутов, перечисленных в Базовой ресурсной системе, является универсальным для всех доступных в JMS ресурсных систем. Каждый атрибут из базового набора имеет отображение на соответствующий атрибут в каждой ресурсной системе (см. Табл. 31, ниже).
- В случае если в списке ресурсных систем присутствует только Базовая ресурсная система, это означает, что в подключенных в JMS ресурсных системах при первоначальной настройке не было выбрано ни одного атрибута. В этом случае для выбора будут доступны только атрибуты из базового списка (Базовой ресурсной системы).
- Для контроля изменения атрибутов допускается выбор ресурсной системы, которая будет привязана к первичной ресурсной системе. В случае изменения атрибута, выбранного в такой «привязанной» ресурсной системе, также будет производиться перевыпуск сертификата.
Табл. 31 – Схема отображения атрибутов внешних ресурсных систем на базовый список атрибутов JMS
Наименование поля в Базовой ресурсной системе | Имя поля в | Имя поля | Имя поля | Имя поля |
|---|---|---|---|---|
Учетная запись | sAMAccountName | 2.5.4.3 (CommonName) | DisplayName | AccountName |
ФИО | displayName | 2.5.4.3 (CommonName) | 2.5.4.3 (CommonName) | FullName |
CN | canonicalName | (поле отсутствует) | (поле отсутствует) | CN |
Департамент | department | 2.5.4.11 (OrgUnit) | 2.5.4.11 (OrgUnit) | Department |
Должность | title | 2.5.4.12 (Title) | 2.5.4.12 (Title) | Title |
Почта | 1.2.840.113549.1.9.1 (EMail) | 1.2.840.113549.1.9.1 (EMail) |
Прочие настройки профиля выпуска сертификатов
16. При необходимости, выполните настройку печати соответствующих документов (вкладки Печать запроса на сертификат и Печать сертификата). Подробнее о настройке Шаблона печатной формы см. в разделе «Настройка параметров печати при выпуске объектов JMS», с. 235.
17. Для сохранения профиля нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Настройки профиля выпуска сертификатов в УЦ AeCA
Профиль предназначен для работы с УЦ Aladdin Enterprise CA (УЦ AeCA).
Важно! Профиль становится доступен в web-интерфейсе Консоли управления JMS только после установки адаптера УЦ Aladdin Enterprise CA (подробнее см. руководство по установке и настройке JMS [2], раздел «Адаптер УЦ Aladdin Enterprise CA»).
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Выпуск сертификатов - Aladdin Enterprise CA.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Рис. 155 – Вкладка Общие профиля выпуска сертификатов
3. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
Настройка параметров подключения
4. Перейдите на вкладку Подключение к УЦ.
Окно примет следующий вид.
Рис. 156 – Вкладка Подключение к УЦ профиля выпуска сертификатов
5. Выполните необходимые настройки, руководствуясь Табл. 32.
Табл. 32 – Настройка параметров подключения к удостоверяющему центру
Настройка | Описание |
|---|---|
<Секция> Настройка подключения | |
Адрес сервера Aladdin Enterprise CA | Укажите адрес удостоверяющего центра УЦ AeCA в формате: http://<FQDN-адрес УЦ AeCA:<порт> Например: |
Критерии поиска сертификата | Настройка позволяет выбрать сертификат для аутентификации в УЦ, импортированный в хранилище компьютера сервера JMS. Примечание. Порядок выпуска установки сертификата УЦ на сервере JMS описан в первой части руководства администратора [2], в разделе «Предварительные настройки для выпуска сертификатов AeCA в JMS». Выберите способ поиска сертификата агента регистрации: · По отпечатку; · По параметрам. После выбора способа поиска воспользуйтесь кнопкой (Обзор), чтобы выбрать нужный сертификат, и подтвердите выбор, нажав OK. Примечание. 1. В случае настройки данного профиля для единичного сервера JMS (т.е. без кластера) следует выбирать способ поиска По отпечатку. В случае настройки профиля в кластерной конфигурации JMS следует использовать способ поиска По параметрам. Подробнее об особенностях режима выбора По параметрам см. в разделе «Порядок использования режима По параметрам при настройке выбора сертификата», с. 134. 2. После выбора сертификата следует нажать кнопку Обновить, чтобы произошла загрузка шаблона сертификатов из УЦ |
<Секция> Шаблоны сертификатов | |
Профиль сертификатов | Выберите из списка профиль сертификатов (внутренняя сущность УЦ AeCA) |
Внешний ключ | Выберите внешний ключ. Внешний ключ служит для идентификации пользователя (для AD и подобных ресурсных систем необходимо выбрать objectGUID; для FreeIPA и подобных ресурсных систем – ipaUniqueID). |
Настройки на вкладке Типы приложений
6. Перейдите на вкладку Типы приложений.
Окно примет следующий вид.
Рис. 157 – Вкладка Типы приложений
7. Отметьте нужные комбинации приложений (апплетов электронных ключей).
Примечание. По умолчанию часть приложений, таких как Хранилище компьютера и Хранилище WPA, отсутствуют в списке на вкладке Типы приложений. Добавить данные приложения в список можно с помощью команды консольного агента Aladdin.EAP.Agent.Terminal applet enable (см. первую часть руководства администратора [2], раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»), либо в графическом приложении Web-консоль сервера JMS в разделе Конфигурация сервера в секции Безопасность (см. первую часть руководства администратора [2], раздел «Настройки используемых приложений»).
Настройка параметров ключевого контейнера
8. Перейдите на вкладку Ключевой контейнер.
Окно примет следующий вид.
Рис. 158 – Вкладка Ключевой контейнер
9. Выполните необходимые настройки, руководствуясь Табл. 33.
Табл. 33 – Настройки ключевого контейнера
Настройка | Описание |
|---|---|
<Секция> Параметры криптографии | |
Криптопровайдер для генерации ключевой пары | Выберите в этом списке поставщика криптографии, с помощью которого будут формироваться ключевые пары. (Чтобы появиться в списке доступных соответствующий криптопровайдер должен быть установлен на сервере JMS.) Примечание. Список доступных поставщиков криптографии зависит от комбинации приложений, выбранных на вкладке Приложения. В случае если выбранные приложения не имеют общих поддерживающих их поставщиков криптографии, список будет пустым. |
Алгоритм для генерации ключевой пары | Выберите алгоритм для генерации ключевой пары. Список алгоритмов зависит выбранного поставщика криптографии, например, в случае выбора Aladdin GOST PKCS11 Cryptographic Provider для приложения (на электронном ключе) ГОСТ 2 появляется возможность выбора алгоритмов ГОСТ 34.10-2001 или ГОСТ 34.10-2012. Примечания: 1. Список доступных алгоритмов зависит от комбинации приложений, выбранных на вкладке Приложения и содержит только алгоритмы, поддерживаемые одновременно всеми выбранными приложениями. 2. Для выпуска сертификата открытого ключа, сгенерированного по алгоритму ГОСТ 34.10-2012 необходимо обеспечить, наличия на стороне УЦ поставщика криптографии с поддержкой данного алгоритма (например, КриптоПро CSP 4.0). |
Применять PIN-код подписи | При необходимости установите признак обязательности применения пользователем PIN-кода подписи. Примечания: 1. Настройка действует только в приложениях ГОСТ 2 на электронных ключах JaCarta. 2. Настройка применяется только к ключевому контейнеру (а значит и к закрытому ключу), созданному при выпуске данного электронного ключа. 3. При установке данного признака, в процессе выпуска электронного ключа у пользователя будет запрошен PIN-код подписи с целью его установки. |
<Секция> Применение и размер ключа | |
Key Exchange (Обмен ключами) | Позволяет указать основное применение ключа. |
Digital Signature (Цифровая подпись) | |
Размер ключа, бит | Укажите размер ключей, которые будут формироваться на основе используемого профиля. |
<Секция> Ключевой контейнер | |
Имя контейнера | Выберите из списка: · Сгенерировать произвольное имя – для ключевых контейнеров, созданных на основе этого профиля, будет сгенерировано случайное имя. · Использовать название профиля – для ключевых контейнеров, созданных на основе этого профиля, будет использоваться имя этого профиля. Важно! При установке данной опции убедитесь, что используемые в названии профиля символы и его синтаксис поддерживаются соответствующим криптопровайдером · Использовать существующий контейнер – при выпуске электронных ключей ключевая пара будет записываться в существующий контейнер · Использовать указанное имя – позволяет задать имя, которым будут названы ключевые контейнеры, выпущенные с использованием этого профиля. Важно! При задании имени контейнера вручную убедитесь, что используемые символы и синтаксис имени поддерживается соответствующим криптопровайдером |
Настройка параметров режимов выпуска сертификатов
10. Перейдите на вкладку Параметры режимов выпуска.
Окно примет следующий вид.
Рис. 159 – Вкладка Параметры режимов выпуска профиля выпуска сертификатов
11. Выполните необходимые настройки, руководствуясь Табл. 34.
Табл. 34 – Настройка параметров выпуска сертификатов
Настройка | Описание |
<Секция> Параметры выпуска | |
Контейнер по умолчанию | Если этот флаг установлен, защищенный контейнер, создаваемый в памяти электронного ключа при выпуске, будет помечен в качестве контейнера по умолчанию. Настройка актуальна для Windows XP. При выполнении входа с использованием электронного ключа, если на электронном ключе более одного сертификата, система может считать только контейнер по умолчанию, остальные сертификаты игнорируются. |
Резервное копирование ключевой пары и сертификата | Если флаг установлен, при выпуске электронного ключа будет создаваться резервная копия ключевой пары и сертификата в БД JMS. Если внешними средствами с электронного ключа будет удалена ключевая пара с сертификатом, то при синхронизации данные будут восстановлены на электронном ключе с помощью резервной копии на сервере. Примечание. Доступность опции зависит от выбранного криптопровайдера (возможности данного криптопровайдера по экспорту ключевой пары и последующей записи ключевой пары из резервной копии в память электронного ключа заданного типа) |
Установить принудительный вход по смарт-карте для пользователей | Если флаг установлен, пользователю, на имя которого выпускается электронный ключ, будут запрещены все возможности входа в систему, кроме возможности входа с использованием смарт-карты. |
Срок хранения отозванного/обновленного сертификата на КН | Позволяет задать время, в течение которого в памяти электронного ключа будет храниться отозванный или обновленный сертификат. При этом в консоли управления данный сертификат отображается с состоянием «Сохранен на КН». Срок хранения отсчитывается от момента выпуска сертификата. При превышении срока хранения сертификат удаляется из электронного ключа и из БД JMS. Значение по умолчанию: 1 год и 3 месяца. |
<Секция> Параметры отзыва Важно! Под событием «отзыв» в настройках данной секции подразумевается отзыв сертификата в JMS, который выполняется в следующих случаях: · при отзыве электронного ключа (см. «Отзыв ЭК/ЗНИ », с. 50); · при отмене привязки профиля выпуска сертификата, применявшегося к данному электронному ключу (см. «Привязка профилей», с. 229), в том числе и при удалении профиля; · при удалении сертификата средствами JMS (см. раздел «Операции с сертификатами», с. 26); · при отзыве сертификата (в состоянии «Выпущен на КН») на УЦ не средствами JMS (проверка отзыва сертификата обеспечивается при выполнении планов обслуживания). | |
Публиковать CRL после отзыва | Если флаг установлен, после отзыва в JMS электронного ключа/сертификата на сервере удостоверяющего центра будет публиковаться список отозванных сертификатов (CRL). |
Отзывать сертификат в УЦ | Если флаг установлен, то сертификат, выпущенный на электронном ключе, который был впоследствии отозван в JMS, будет также отозван в УЦ (центре сертификации Microsoft). |
Удалять ключевой контейнер отзываемого сертификата | Если флаг установлен, то при отзыве электронного ключа (или сертификата) из памяти электронного ключа будет удален ключевой контейнер, созданный при выпуске по данному профилю. (Электронный ключ для этого должен быть подсоединен к компьютеру во время процедуры отзыва или синхронизации). Если флаг не установлен, то при отзыве сертификат из электронного ключа не удаляется, а в консоли управления сертификат отображается с состоянием «Сохранен на КН». |
<Секция> Параметры обновления | |
Обновлять сертификат с истекающим сроком действия | Позволяет обновлять сертификат, срок действия которого скоро истечет. |
Режим обновления | Позволяет выбрать режим обновления сертификатов с истекшим сроком действия. Доступны следующие настройки: · Существующая ключевая пара – для обновления сертификата будет использована существующая ключевая пара; · Новая ключевая пара – для обновления сертификата будет сгенерирована новая ключевая пара. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Количество дней до окончания срока действия | Позволяет указать, за сколько дней до истечения срока действия можно обновить сертификат. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Отзывать заменяемый сертификат в УЦ | Если этот флаг установлен, заменяемый сертификат будет отозван центром сертификации. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Удалять ключевой контейнер заменяемого сертификата | Если флаг установлен, то при замене сертификата из памяти электронного ключа будет удален ключевой контейнер (электронный ключ для этого должен быть подсоединен к компьютеру) заменяемого сертификата. Если флаг не установлен, то из электронного ключа сертификат не удаляется, а в консоли управления он отображается с состоянием «Сохранен на КН». Данный флаг доступен для изменения только при режиме обновления с новой ключевой парой (см. параметр Режим обновления) и произвольно генерируемом имени ключевого контейнера (см. описание вкладки Ключевой контейнер). |
Настройка шаблонов полей сертификата
12. Перейдите на вкладку Сертификат.
Отобразится следующее окно.
Рис. 160 – Вкладка Сертификат
13. При необходимости отредактируйте поля сертификата (запроса на сертификат), который будет выпускаться на имя пользователей. Для этого выполните следующие действия:
13.1. В секции с названием нужного поля нажмите Редактировать шаблон;
13.2. Отредактируйте шаблон, руководствуясь сведениями, представленными в Табл. 36.
13.3. В окне редактирования шаблона нажмите OK, чтобы сохранить изменения.
13.4. При необходимости повторите действия для других полей.
Табл. 35 – Настройка шаблонов полей сертификата
Поле | Описание настроек шаблона |
Имя субъекта | Шаблон имеет следующие столбцы: · OID (первый столбец)– позволяет выбрать значение OID, которое будет использоваться в имени субъекта; · Источник (второй столбец)– содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения атрибутов зарегистрированных в JMS ресурсных систем (каталогов учетных записей), выбранные в столбцах OID и Значение; Примечание. При выборе атрибута необходимо следить за тем, чтобы он относился к той ресурсной системе (каталогу учетных записей), к которой впоследствии будет привязан данный профиль выпуска сертификата. – Константа – позволяет вручную ввести значения в столбцах OID и Значение. · Значение (третий столбец)– позволяет указать значение атрибута, которое будет использоваться в имени субъекта. |
Альтернативное имя субъекта | Шаблон имеет следующие столбцы: · Выбор (первый столбец)– позволяет отметить пункт, который будут включен в альтернативное имя субъекта; · Имя (второй столбец)– позволяет вручную задать имя атрибута, которое будет использоваться в альтернативном имени субъекта · Источник (третий столбец)– содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения атрибутов зарегистрированных в JMS ресурсных систем (каталогов учетных записей), выбранные в столбцах OID и Значение; Примечание. При выборе атрибута необходимо следить за тем, чтобы он относился к той ресурсной системе (каталогу учетных записей), к которой впоследствии будет привязан данный профиль выпуска сертификата. – Константа – позволяет вручную ввести значения в столбце Значение. · Значение (четвертый столбец) – позволяет указать значение атрибута, которое будет использоваться в альтернативном имени субъекта. Также вы можете установить флаг Критическое расширение, чтобы сделать данное поле критически расширением. |
Настройки на вкладке Ключевые атрибуты
14. Перейдите на вкладку Ключевые атрибуты пользователя.
Отобразится следующее окно.
Рис. 161 – Вкладка Ключевые атрибуты
15. На вкладке отображаются списки атрибутов, сгруппированных по ресурсным системам. При необходимости отметьте атрибуты пользователя, при изменении которых в ресурсной системе (внешнем каталоге учетных записей) в JMS должен быть автоматически перевыпущен сертификат пользователя в момент синхронизации его электронного ключа. Для этого выполните следующие действия:
15.1. Установите флаг Включить отслеживание атрибутов.
15.2. Выберите ресурсную систему (соответствующий список атрибутов).
15.3. Если все необходимые для отслеживания атрибуты располагаются в окне в отображаемой части списка, отметьте их.
15.4. В противном случае установите флаг Показать все, после чего раскроется список, в котором будут отражены все атрибуты пользователя из ресурсных систем, зарегистрированные в JMS. Отметьте среди них необходимые.
Примечания:
- Отслеживание изменений в указанных на данной вкладке атрибутах пользователя реализуется при выполнении плана обслуживания по умолчанию, а именно задачи Выявление рассинхронизации учетных записей из каталогов учетных записей, см. раздел «План обслуживания по умолчанию», с. 324. Перевыпуску подлежат только сертификаты в приложении на электронном ключе, выпущенные по данному профилю. Перевыпуск сертификата (т.е. отзыв имеющегося и выпуск нового) происходит в момент синхронизации электронного ключа (см. раздел «Синхронизация ЭК/ЗНИ », с. 47).
- Базовая ресурсная система. Под базовой ресурсной системой подразумевается ресурсная система, к которой будет привязан профиль для выпуска сертификатов пользователей. Таким образом перечень атрибутов, перечисленных в Базовой ресурсной системе, является универсальным для всех доступных в JMS ресурсных систем. Каждый атрибут из базового набора имеет отображение на соответствующий атрибут в каждой ресурсной системе (см. Табл. 36 и Табл. 37 для пользовательских и машинных сертификатов соответственно).
- В случае если в списке ресурсных систем присутствует только Базовая ресурсная система, это означает, что в подключенных в JMS ресурсных системах при первоначальной настройке не было выбрано ни одного атрибута. В этом случае для выбора будут доступны только атрибуты из базового списка (Базовой ресурсной системы).
- Для контроля изменения атрибутов допускается выбор ресурсной системы, которая будет привязана к первичной ресурсной системе. В случае изменения атрибута, выбранного в такой «привязанной» ресурсной системе, также будет производиться перевыпуск сертификата.
Табл. 36 – Схема отображения атрибутов внешних ресурсных систем на базовый список атрибутов JMS для сертификата пользователя
Наименование поля в Базовой ресурсной системе | Имя поля в | Имя поля | Имя поля | Имя поля |
|---|---|---|---|---|
Учетная запись | sAMAccountName | 2.5.4.3 (CommonName) | DisplayName | AccountName |
ФИО | displayName | 2.5.4.3 (CommonName) | 2.5.4.3 (CommonName) | FullName |
CN | canonicalName | (поле отсутствует) | (поле отсутствует) | CN |
Департамент | department | 2.5.4.11 (OrgUnit) | 2.5.4.11 (OrgUnit) | Department |
Должность | title | 2.5.4.12 (Title) | 2.5.4.12 (Title) | Title |
Почта | 1.2.840.113549.1.9.1 (EMail) | 1.2.840.113549.1.9.1 (EMail) |
Табл. 37 – Схема отображения атрибутов внешних ресурсных систем на базовый список атрибутов JMS для сертификата рабочей станции (машинного сертификата)
Наименование поля в Базовой ресурсной системе | Имя поля в | Имя поля | Имя поля | Имя поля |
|---|---|---|---|---|
NETBIOS-имя | name | (поле отсутствует) | (поле отсутствует) | NetBIOSName |
DNS-имя | dNSHostName | (поле отсутствует) | (поле отсутствует) | DnsName |
Прочие настройки профиля выпуска сертификатов
16. При необходимости, выполните настройку печати соответствующих документов (вкладки Печать запроса на сертификат и Печать сертификата). Подробнее о настройке Шаблона печатной формы см. в разделе «Настройка параметров печати при выпуске объектов JMS», с. 235.
17. Для сохранения профиля нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Настройки профиля выпуска сертификатов в УЦ DogTag
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Выпуск сертификатов - УЦ DogTag;
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
- В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
Настройка параметров подключения
4. Перейдите на вкладку Подключение.
5. Выполните необходимые настройки, руководствуясь Табл. 38.
Табл. 38 – Настройка параметров подключения к удостоверяющему центру
Настройка | Описание |
|---|---|
<Секция> Настройка подключения | |
Адрес сервера FreeIPA | Укажите адрес удостоверяющего центра FreeIPA в формате: http://<FQDN-адрес сервера FreeIPA/DogTag> Например: |
Имя пользователя | Укажите имя пользователя (администратора FreeIPA), от имени которого будет осуществляться настройки в соответствии с настоящим профилем и его пароль. |
Пароль | |
<Секция> Шаблоны сертификатов | |
Шаблон сертификата | Выберите из списка опубликованный шаблон сертификата, который будет использоваться при выпуске электронных ключей Если вы планируете взять под контроль JMS электронные ключи, выпущенные до установки и настройки JMS, шаблон сертификата, выбранный в этой настройке, должен совпадать с шаблоном сертификата, использованным ранее для выпуска электронного ключа. |
Настройки на вкладке Приложения
6. Перейдите на вкладку Приложения.
7. Отметьте нужные комбинации приложений.
Настройка параметров режимов выпуска сертификатов
8. Перейдите на вкладку Параметры режимов выпуска.
9. Выполните необходимые настройки, руководствуясь Табл. 39.
Табл. 39 – Настройка параметров выпуска сертификатов
Настройка | Описание |
|---|---|
<Секция> Параметры выпуска | |
Контейнер по умолчанию | Если этот флаг установлен, защищенный контейнер, создаваемый в памяти электронного ключа при выпуске, будет помечен в качестве контейнера по умолчанию. Настройка актуальна для Windows XP. При выполнении входа с использованием электронного ключа, если на электронном ключе более одного сертификата, система может считать только контейнер по умолчанию, остальные сертификаты игнорируются. |
Резервное копирование ключевой пары и сертификата | Если флаг установлен, при выпуске электронного ключа будет создаваться резервная копия ключевой пары и сертификата в БД JMS. Если внешними средствами с электронного ключа будет удалена ключевая пара с сертификатом, то при синхронизации данные будут восстановлены на электронном ключе с помощью резервной копии на сервере. Примечание. Доступность опции зависит от выбранного криптопровайдера (возможности данного криптопровайдера по экспорту ключевой пары и последующей записи ключевой пары из резервной копии в память электронного ключа заданного типа) |
Установить принудительный вход по смарт-карте для пользователей | Если флаг установлен, пользователю, на имя которого выпускается электронный ключ, будут запрещены все возможности входа в систему, кроме возможности входа с использованием смарт-карты. |
Тайм-аут ожидания выпуска сертификата | Позволяет указать задержку при выпуске сертификата. |
Срок хранения отозванного/обновленного сертификата на КН | Позволяет задать время, в течение которого в памяти электронного ключа будет храниться отозванный или обновленный сертификат. При этом в консоли управления данный сертификат отображается с состоянием «Сохранен на КН». Срок хранения отсчитывается от момента выпуска сертификата. При превышении срока хранения сертификат удаляется из электронного ключа и из БД JMS. Значение по умолчанию: 1 год и 3 месяца. |
<Секция> Параметры отзыва Важно! Под событием «отзыв» в настройках данной секции подразумевается отзыв сертификата в JMS, который выполняется в следующих случаях: · при отзыве электронного ключа (см. «Отзыв ЭК/ЗНИ », с. 50); · при отмене привязки профиля выпуска сертификата, применявшегося к данному электронному ключу (см. «Привязка профилей», с. 229), в том числе и при удалении профиля; · при удалении сертификата средствами JMS (см. раздел «Операции с сертификатами», с. 26); · при отзыве сертификата (в состоянии «Выпущен на КН») на УЦ не средствами JMS (проверка отзыва сертификата обеспечивается при выполнении планов обслуживания). | |
Публиковать CRL после отзыва | Если флаг установлен, после отзыва в JMS электронного ключа/сертификата на сервере удостоверяющего центра будет публиковаться список отозванных сертификатов (CRL). |
Отзывать сертификат в УЦ | Если флаг установлен, то сертификат, выпущенный на электронном ключе, который был впоследствии отозван в JMS, будет также отозван в УЦ (центре сертификации Microsoft). |
Удалять ключевой контейнер отзываемого сертификата | Если флаг установлен, то при отзыве электронного ключа (или сертификата) из памяти электронного ключа будет удален ключевой контейнер, созданный при выпуске по данному профилю. (Электронный ключ для этого должен быть подсоединен к компьютеру во время процедуры отзыва или синхронизации). Если флаг не установлен, то при отзыве сертификат из электронного ключа не удаляется, а в консоли управления сертификат отображается с состоянием «Сохранен на КН». |
<Секция> Параметры обновления | |
Обновлять сертификат с истекающим сроком действия | Позволяет обновлять сертификат, срок действия которого скоро истечет. |
Режим обновления | Позволяет выбрать режим обновления сертификатов с истекшим сроком действия. Доступны следующие настройки: · Существующая ключевая пара – для обновления сертификата будет использована существующая ключевая пара; · Новая ключевая пара – для обновления сертификата будет сгенерирована новая ключевая пара. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Количество дней до окончания срока действия | Позволяет указать, за сколько дней до истечения срока действия можно обновить сертификат. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Отзывать заменяемый сертификат в УЦ | Если этот флаг установлен, заменяемый сертификат будет отозван центром сертификации. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. |
Удалять ключевой контейнер заменяемого сертификата | Если флаг установлен, то при замене сертификата из памяти электронного ключа будет удален ключевой контейнер (электронный ключ для этого должен быть подсоединен к компьютеру) заменяемого сертификата. Если флаг не установлен, то из электронного ключа сертификат не удаляется, а в консоли управления он отображается с состоянием «Сохранен на КН». Данный флаг доступен для изменения только при режиме обновления с новой ключевой парой (см. параметр Режим обновления) и произвольно генерируемом имени ключевого контейнера (см. описание вкладки Ключевой контейнер). |
Настройка параметров ключевого контейнера
10. Перейдите на вкладку Ключевой контейнер.
11. Выполните необходимые настройки, руководствуясь Табл. 40.
Табл. 40 – Настройки ключевого контейнера
Настройка | Описание |
|---|---|
<Секция> Параметры криптографии | |
Криптопровайдер для генерации ключевой пары | Выберите в этом списке поставщика криптографии, с помощью которого будут формироваться ключевые пары. (Чтобы появиться в списке доступных соответствующий криптопровайдер должен быть установлен на сервере JMS.) Примечание. Список доступных поставщиков криптографии зависит от комбинации приложений, выбранных на вкладке Приложения. В случае если выбранные приложения не имеют общих поддерживающих их поставщиков криптографии, список будет пустым. |
Алгоритм для генерации ключевой пары | Выберите алгоритм для генерации ключевой пары. Список алгоритмов зависит выбранного поставщика криптографии, например, в случае выбора Aladdin GOST PKCS11 Cryptographic Provider для приложения (на электронном ключе) ГОСТ 2 появляется возможность выбора алгоритмов ГОСТ 34.10-2001 или ГОСТ 34.10-2012. Примечания: 1. Список доступных алгоритмов зависит от комбинации приложений, выбранных на вкладке Приложения и содержит только алгоритмы, поддерживаемые одновременно всеми выбранными приложениями. 2. Для выпуска сертификата открытого ключа, сгенерированного по алгоритму ГОСТ 34.10-2012 необходимо обеспечить, наличия на стороне УЦ поставщика криптографии с поддержкой данного алгоритма (например, КриптоПро CSP 4.0). |
Применять PIN-код подписи | При необходимости установите признак обязательности применения пользователем PIN-кода подписи. Примечания: 1. Настройка действует только в приложениях ГОСТ 2 на электронных ключах JaCarta. 2. Настройка применяется только к ключевому контейнеру (а значит и к закрытому ключу), созданному при выпуске данного электронного ключа. 3. При установке данного признака, в процессе выпуска электронного ключа у пользователя будет запрошен PIN-код подписи с целью его установки. |
<Секция> Применение и размер ключа | |
Key Exchange (Обмен ключами) | Позволяет указать основное применение ключа. |
Digital Signature (Цифровая подпись) | |
Размер ключа | Укажите размер ключей, которые будут формироваться на основе используемого профиля. |
<Секция> Ключевой контейнер | |
Сгенерировать произвольное имя | Если выбран этот пункт, то для ключевых контейнеров, созданных на основе этого профиля, будет сгенерировано случайное имя. |
Использовать название профиля | Если выбран этот пункт, то для ключевых контейнеров, созданных на основе этого профиля, будет использоваться имя этого профиля. Важно! При установке данной опции убедитесь, что используемые в названии профиля символы и его синтаксис поддерживаются соответствующим криптопровайдером |
Использовать существующий контейнер | Если выбран этот пункт, при выпуске электронных ключей ключевая пара будет записываться в существующий контейнер. |
Использовать указанное имя | Позволяет задать имя, которым будут названы ключевые контейнеры, выпущенные с использованием этого профиля. Важно! При задании имени контейнера вручную убедитесь, что используемые символы и синтаксис имени поддерживается соответствующим криптопровайдером |
Настройки на вкладке Ключевые атрибуты
12. Перейдите на вкладку Ключевые атрибуты.
13. На вкладке отображаются раскрывающиеся списки атрибутов, сгруппированных по ресурсным системам. При необходимости отметьте атрибуты пользователя, при изменении которых в ресурсной системе (внешнем каталоге учетных записей) в JMS должен быть автоматически перевыпущен сертификат пользователя в момент синхронизации его электронного ключа. Для этого выполните следующие действия:
13.1. Установите флаг Включить отслеживание атрибутов.
13.2. Выберите ресурсную систему, чтобы раскрылся соответствующий список атрибутов.
13.3. Если все необходимые для отслеживания атрибуты располагаются в окне в отображаемой части списка, отметьте их.
13.4. В противном случае установите флаг Показать все атрибуты, после чего заново раскройте список, в котором будут отражены все атрибуты пользователя из ресурсных систем, зарегистрированные в JMS. Отметьте среди них необходимые.
Примечания:
- Отслеживание изменений в указанных на данной вкладке атрибутах пользователя реализуется при выполнении плана обслуживания по умолчанию, а именно задачи Выявление рассинхронизации учетных записей из каталогов учетных записей, см. раздел «План обслуживания по умолчанию», с. 324. Перевыпуску подлежат только сертификаты в приложении на электронном ключе, выпущенные по данному профилю. Перевыпуск сертификата (т.е. отзыв имеющегося и выпуск нового) происходит в момент синхронизации электронного ключа (см. раздел «Синхронизация ЭК/ЗНИ », с. 47).
- Базовая ресурсная система. Под базовой ресурсной системой подразумевается ресурсная система, к которой будет привязан профиль для выпуска сертификатов пользователей. Таким образом перечень атрибутов, перечисленных в Базовой ресурсной системе, является универсальным для всех доступных в JMS ресурсных систем. Каждый атрибут из базового набора имеет отображение на соответствующий атрибут в каждой ресурсной системе (см. Табл. 41, ниже).
- В случае если в списке ресурсных систем присутствует только Базовая ресурсная система, это означает, что в подключенных в JMS ресурсных системах при первоначальной настройке не было выбрано ни одного атрибута. В этом случае для выбора будут доступны только атрибуты из базового списка (Базовой ресурсной системы).
- Для контроля изменения атрибутов допускается выбор ресурсной системы, которая будет привязана к первичной ресурсной системе. В случае изменения атрибута, выбранного в такой «привязанной» ресурсной системе, также будет производиться перевыпуск сертификата.
Табл. 41 – Схема отображения атрибутов внешних ресурсных систем на базовый список атрибутов JMS
Наименование поля в Базовой ресурсной системе | Имя поля в | Имя поля | Имя поля | Имя поля |
|---|---|---|---|---|
Учетная запись | sAMAccountName | 2.5.4.3 (CommonName) | DisplayName | AccountName |
ФИО | displayName | 2.5.4.3 (CommonName) | 2.5.4.3 (CommonName) | FullName |
Департамент | department | 2.5.4.11 (OrgUnit) | 2.5.4.11 (OrgUnit) | Department |
Должность | title | 2.5.4.12 (Title) | 2.5.4.12 (Title) | Title |
Почта | 1.2.840.113549.1.9.1 (EMail) | 1.2.840.113549.1.9.1 (EMail) | ||
Внешний ID | objectSid | UserID | UserID | UID |
CN | canonicalName | (поле отсутствует) | (поле отсутствует) | CN |
Описание | description | (поле отсутствует) | (поле отсутствует) | Description |
Прочие настройки профиля выпуска сертификатов
14. При необходимости, выполните настройку печати соответствующих документов (вкладки Печать запроса на сертификат и Печать сертификата). Подробнее о настройке Шаблона печатной формы см. в разделе «Настройка параметров печати при выпуске объектов JMS», с. 235.
15. Для сохранения профиля нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Настройки профиля для выпуска сертификатов в режиме офлайн
Профиль Выпуск сертификатов (режим офлайн) становится доступен в консоли управления JMS после установки специального компонента JMS «Коннектор к Offline Certification Authority», позволяющего выпускать сертификаты пользователей в аккредитованных удостоверяющих центрах, не имеющих сетевого подключения к телекоммуникационным сетям общего пользования.
Для начала работы с профилем Выпуск сертификатов (режим офлайн) выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Выпуск сертификатов (режим офлайн).
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Рис. 162 – Вкладка Общие профиля выпуска сертификатов
3. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
Настройка параметров подключения к УЦ
4. Перейдите на вкладку Подключение к УЦ.
Окно примет следующий вид.
Рис. 163 – Вкладка Подключение к УЦ профиля выпуска сертификатов
5. Выполните необходимые настройки, руководствуясь Табл. 42.
Табл. 42 – Настройка параметров подключения к удостоверяющему центру
Настройка | Описание |
|---|---|
<Секция> Каталоги | |
Каталог публикации запросов | Укажите локальную или сетевую папку, в которую должны сохраняться запросы на сертификат. Примечание. Сервер JMS должен иметь права на запись, изменения и чтения для данной папки. |
Каталог сертификатов | Укажите локальную или сетевую папку, в которой при попытке синхронизации КН со стороны JMS будет происходить поиск готовых сертификатов (заполняется со стороны УЦ). Примечание. Сервер JMS должен иметь права на запись, изменения и чтения для данной папки. |
Каталог запросов, обработанных с ошибками | Укажите локальную или сетевую папку, в которую должны помещаться (со стороны УЦ) запросы на сертификат, которые были отклонены. Примечание. Сервер JMS должен иметь права на запись, изменения и чтения для данной папки. |
<Секция> Очистка каталогов | |
Удалять обработанные сертификаты из каталога | Установите флаг, если сертификаты после их успешной обработки (выпуска на КН в момент синхронизации последнего) должны быть удалены. |
Удалять обработанные запросы из каталога | Установите флаг, если необходимо удалять запросы на сертификаты после успешной обработки полученных по ним сертификатов (выпуска на КН) из соответствующей папки. |
Удалять запросы с ошибками из каталога после обработки | Установите флаг, если необходимо удалять отклоненные запросы на сертификат в случае, если данные отклоненные запросы были обработаны (по факту получения отказа в выпуске сертификата пользователю было выслано уведомление, ключевая пара удалена из памяти электронного ключа). |
<Секция> Именование запросов на сертификат | |
Генерировать случайное имя (GUID) | Выберите данную опцию, если для идентификации запроса необходимо использовать случайно сгенерированный идентификатор (GUID) |
Использовать шаблон | Выберите данную опцию, если для идентификации запроса необходимо сформировать его имя с помощью шаблона, формируемого в поле Шаблон. Для создания шаблона последовательно выберите в поле Макропеременные несколько или все выпадающие значения. Для выбора доступны значения: · %AccountName% — Имя аккаунта; · %FullName% — Полное имя пользователя; · %Mail% — Почтовый адрес; · %Date% — Текущая дата (ДД-ММ-ГГГГ); · %Time% — Текущее время (ЧЧ-ММ-СС). Выбранные переменные будут подставлены в шаблон. |
<Секция> Расширение кодировки | |
Формат | Выберите формат, в котором должны сохраняться в папку запросы на сертификаты. В текущей версии JMS доступны следующие форматы: · .p10 (DER) · .p10 (Base 64) · .cmc (Base 64) · .req (DER) · .req (Base 64) · .pem (Base 64) · .der (DER) · .dat (Base 64) · .csr (Base 64) |
Добавлять заголовок | В случае если в поле Формат выбрана кодировка Base64, то для данной кодировки доступна возможность добавления заголовка в тело запроса на сертификат. При установке флага, такой заголовок будет добавлен |
Настройки на вкладке Типы приложений
6. Перейдите на вкладку Типы приложений, выполните настройки по аналогии с настройкой вкладки Типы приложений профиля выпуска сертификатов в центре сертификации Microsoft (см. раздел «Настройки на вкладке Типы приложений», с. 135).
Настройка параметров режимов выпуска сертификатов
7. Перейдите на вкладку Параметры режимов выпуска.
Окно будет выглядеть следующим образом.
Рис. 164 – Вкладка Параметры режимов выпуска профиля выпуска сертификатов
8. Выполните необходимые настройки, руководствуясь Табл. 43.
Табл. 43 – Настройка параметров выпуска сертификатов
Секция | Настройка | Описание |
|---|---|---|
Параметры выпуска | Контейнер по умолчанию | Если этот флаг установлен, защищенный контейнер, создаваемый в памяти электронного ключа при выпуске, будет помечен в качестве контейнера по умолчанию. Настройка актуальна для Windows XP. При выполнении входа с использованием электронного ключа, если на электронном ключе более одного сертификата, система может считать только контейнер по умолчанию, остальные сертификаты игнорируются. |
Резервное копирование ключевой пары и сертификата | Если флаг установлен, при выпуске электронного ключа будет создаваться резервная копия ключевой пары и сертификата в БД JMS. Если внешними средствами с электронного ключа будет удалена ключевая пара с сертификатом, то при синхронизации данные будут восстановлены на электронном ключе с помощью резервной копии на сервере. Примечание. Доступность опции зависит от выбранного криптопровайдера (возможности данного криптопровайдера по экспорту ключевой пары и последующей записи ключевой пары из резервной копии в память электронного ключа заданного типа) | |
Срок хранения отозванного/обновленного сертификата на КН | Позволяет задать время, в течение которого в памяти электронного ключа будет храниться отозванный или обновленный сертификат. При этом в консоли управления данный сертификат отображается с состоянием «Сохранен на КН». Срок хранения отсчитывается от момента выпуска сертификата. При превышении срока хранения сертификат удаляется из электронного ключа и из БД JMS. Значение по умолчанию: 1 год и 3 месяца | |
Параметры отзыва | Важно! Под событием «отзыв» в настройках данной секции подразумевается отзыв сертификата в JMS, который выполняется в следующих случаях: · при отзыве электронного ключа (см. «Отзыв ЭК/ЗНИ », с. 50); · при отмене привязки профиля выпуска сертификата, применявшегося к данному электронному ключу (см. «Привязка профилей», с. 229), в том числе и при удалении профиля. | |
Удалять ключевой контейнер отзываемого сертификата | Если флаг установлен, то при отзыве электронного ключа (или сертификата) из памяти электронного ключа будет удален ключевой контейнер, созданный при выпуске по данному профилю. (Электронный ключ для этого должен быть подсоединен к компьютеру во время процедуры отзыва или синхронизации). Если флаг не установлен, то при отзыве сертификат из электронного ключа не удаляется, а в консоли управления сертификат отображается с состоянием «Сохранен на КН». | |
Параметры обновления | Обновлять сертификат с истекающим сроком действия | Позволяет обновлять сертификат, срок действия которого скоро истечет. |
Режим обновления | Позволяет выбрать режим обновления сертификатов с истекшим сроком действия. Доступны следующие настройки: · Новая ключевая пара – для обновления сертификата будет сгенерирована новая ключевая пара. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. | |
Количество дней до окончания срока действия | Позволяет указать, за сколько дней до истечения срока действия можно обновить сертификат. Эта настройка активна, только если установлен флаг Обновлять сертификат с истекшим сроком действия. | |
Настройка параметров ключевого контейнера
9. Перейдите в секцию Ключевой контейнер выполните настройки по аналогии с настройкой параметров секции Ключевой контейнер профиля выпуска сертификатов в центре сертификации Microsoft (см. раздел «Настройка параметров ключевого контейнера», с. 138).
Настройка шаблонов полей сертификата
10. Перейдите на вкладку Сертификат.
Отобразится следующее окно.
Рис. 165 – Вкладка Сертификат
11. При необходимости отредактируйте поля сертификата (запроса на сертификат), который будет выпускаться на имя пользователей. Для этого выполните следующие действия:
11. 1. В секции с названием нужного поля нажмите Редактировать шаблон;
11.2. Отредактируйте шаблон, руководствуясь сведениями, представленными в Табл. 44, с. 167.
11.3. В окне редактирования шаблона нажмите OK, чтобы сохранить изменения.
11.4. В секции с названием нужного поля установите флаг Формировать с помощью шаблона.
11.5. При необходимости повторите действия для других полей.
Табл. 44 – Настройка шаблонов полей сертификата
Поле | Описание настроек шаблона |
|---|---|
Имя субъекта | Шаблон имеет следующие столбцы: · OID – позволяет выбрать значение OID, которое будет использоваться в имени субъекта; · Источник – содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения из КриптоПро УЦ, выбранные в столбцах OID и Значение; – Константа – позволяет вручную ввести значения в столбцах OID и Значение. · Значение – позволяет указать значение атрибута, которое будет использоваться в имени субъекта. |
Альтернативное имя субъекта | Шаблон имеет следующие столбцы: · Выбор – позволяет отметить пункт, который будут включен в альтернативное имя субъекта; · Имя – позволяет вручную задать имя атрибута, которое будет использоваться в альтернативном имени субъекта · Источник – содержит два пункта: – Атрибут пользователя (для пользовательских сертификатов) / Атрибут рабочей станции (для машинных сертификатов) – в имени субъекта будут использоваться значения из КриптоПро УЦ, выбранные в столбце Значение; – Константа – позволяет вручную ввести значения в столбце Значение. · Значение – позволяет указать значение атрибута, которое будет использоваться в альтернативном имени субъекта. Также вы можете установить флаг Критическое расширение, чтобы сделать данное поле критически расширением. |
Назначение ключа | Позволяет выбрать назначение ключа, доступны следующие пункты: · Цифровая подпись (Digital Signature); · Подтверждение подлинности (Non Repudiation); · Шифрование ключей (Key Encipherment); · Шифрование данных (Data Encipherment); · Согласование ключей (Key agreement); · Подписание сертификатов (Certificate signing); · Подписание списка отзыва сертификатов (CRL signing); · Только шифрование (Encipher Only) – доступно, только если выбран пункт Согласование ключей (Key agreement); · Только расшифрование (Decipher Only) - доступно, только если выбран пункт Согласование ключей (Key agreement). |
Расширенное использование ключа | Позволяет задать в списке варианты расширенного использования ключа. Вы также можете установить флаг Критическое расширение, чтобы сделать данное поле критическим расширением. |
Средство ЭП владельца | Позволяет ввести название средства электронной подписи владельца электронного ключа. Вы также можете установить флаг Критическое расширение, чтобы сделать данное поле критическим расширением. |
Политики сертификата | Позволяет ввести названия политик сертификата. Вы также можете установить флаг Критическое расширение, чтобы сделать данное поле критическим расширением. |
Настройки на вкладке Ключевые атрибуты
12. Перейдите на вкладку Ключевые атрибуты, выполните настройки по аналогии с настройкой параметров на вкладке Ключевые атрибуты профиля выпуска сертификатов в центре сертификации Microsoft (см. раздел «Настройки на вкладке Ключевые атрибуты», с. 142).
Прочие настройки профиля выпуска сертификатов
13. При необходимости, выполните настройку печати соответствующих документов (вкладки Печать запроса на сертификат и Печать сертификата). Подробнее о настройке Шаблона печатной формы см. в разделе «Настройка параметров печати при выпуске объектов JMS», с. 235.
14. Нажмите OK, чтобы сохранить изменения.
Создание и настройка профиля Внешние объекты
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Внешние объект (Рис. 166);
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Рис. 166 – Создание профиля внешнего объекта
3. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
4. На вкладке Общие и заполните поле Имя:
Рис. 167 – Вкладка Общие на странице Создание профиля
5. Перейдите на вкладку Взятие под управление.
Рис. 168 – Вкладка Взятие под управление
6. Отметьте нужные приложения (типы электронных ключей) или их комбинации, в которых следует проверять на наличие внешних объектов (сертификатов).
Примечание. При выборе комбинации приложений необходимо согласовать такую комбинацию с настройками в секции Параметры криптографии таким образом, чтобы у всех выбранных приложений имелся хотя бы один общий поставщик криптографии, поддерживаемый данными приложениями (как на Рис. 169). Если у выбранных типов приложений не будет общих поддерживающих криптопровайдеров, то в секции отобразится соответствующее сообщение («Нет доступных криптопровайдеров для выбранной комбинации апплетов»).
Рис. 169 – Общий криптоарофайдер у двух выбранных типов приложений
7. В секции (таблице) Сертификаты удостоверяющих центров для внешних объектов (Рис. 168, выше) загрузите список сертификатов УЦ, которые могут быть необходимы для дополнительной фильтрации сертификатов (т.е. регистрации в качестве внешних объектов только тех сертификатов, которые были выпущены данными УЦ). Для этого нажмите Добавить и в окне выбора файлов добавьте необходимые файлы сертификатов. (Для удаления сертификата из таблицы, выберите сертификат в таблице и нажмите Удалить).
Добавление сертификатов УЦ не является обязательным действием.
Примечание. Чтобы отбор сертификатов для их регистрации в качестве внешних объектов по признаку их выпуска указанным УЦ сработал корректно, необходимо предварительно сохранить на сервер JMS сертификат корневого УЦ и цепочку сертификатов УЦ (см. раздел «Регистрация в JMS сертификатов сторонних УЦ (внешних объектов)», с. 342).
8. Опция Игнорировать профили выпуска объектов для приложения, содержащего внешние объекты при ее выборе позволяет не выпускать сертификаты DogTag и т.п. для записи в те приложения электронного ключа, которые содержат внешние объекты.
9. После добавления сертификатов УЦ следует выполнить настройку отмеченных криптопровайдеров. Для этого в секции Параметры криптографии напротив соответствующего криптопровайдера нажмите Настроить (Рис. 169, выше).
10. Откроется страница настройки работы с сертификатами УЦ, ассоциированными с данным криптопровайдером:
Рис. 170 – Страница Настройки криптопровайдера
11. Выполните необходимые настройки, руководствуясь Табл. 45.
Табл. 45 – Настройка отбора внешних объектов по выпускающим УЦ
Настройка | Описание |
|---|---|
Использовать все сертификаты удостоверяющих центров | При выборе данной опции в качестве внешних объектов в JMS будут зарегистрированы все сертификаты на электронном ключе (при условии успешной проверки их подписей), выпущенные УЦ, чьи сертификаты были добавлены на вкладке Взятие под управление |
От кого получено (КД) | Наименование организации, от которой получен сертификат, регистрируемый в JMS в качестве внешнего объекта. Значение поля используется в нормативных документах СКЗИ. (Необязательное поле) Примечание. Поле доступно только в настройках криптопровайдеров российских производителей |
Использовать только явно указанные сертификаты удостоверяющих центров | При выборе данной опции в качестве внешних объектов в JMS будут зарегистрированы только сертификаты (при условии успешной проверки их подписей), выпущенные удостоверяющими центрами, чьи сертификаты будут отмечены в нижележащем списке. При этом для каждого сертификата УЦ в столбце От кого получено (КД) можно заполнить наименование организации, от которой получен сертификат, регистрируемый в JMS в качестве внешнего объекта. (Столбец доступен только в настройках криптопровайдеров российских производителей) |
12. После настройки всех криптопровайдеров в окне настройки профиля нажмите Сохранить (Рис. 168, выше) и переходите к привязке профиля (подробнее см. раздел «Привязка профилей», с. 229).
Важно! Регистрация сертификата в качестве внешнего объекта на основании настроенного профиля производится в соответствии с описанием из раздела «Процедура автоматической регистрации внешних объектов», ниже.
Процедура автоматической регистрации внешних объектов
Регистрация внешних объектов (сертификатов) осуществляется в автоматическом режиме в процессе выпуска (синхронизации) электронного ключа в соответствии с подключенным профилем типа Внешние объекты. Если на электронном ключе находится сертификат, выпущенный сторонним УЦ, и у пользователя электронного ключа подключен профиль внешних объектов, применимый для приложения на данном электронном ключе, то распознавание данного сертификата и его регистрация в качестве внешнего объекта происходит в следующем порядке:
- Выбирается первый поставщик криптографии, отмеченный в настройках профиля внешних объектов (вкладка Взятие под управление);
- Выполняется попытка распознавания сертификата данным поставщиком криптографии.
- Если сертификат был распознан поставщиком криптографии, то проверяется, не выпущен ли данный сертификат одним из УЦ, выбранным в настройках данного поставщика криптографии.
3.1. Если список сертификатов УЦ для данного поставщика криптографии пуст, то сертификат регистрируется в JMS как внешний объект.
3.2. В противном случае проверяется подпись сертификата на электронном ключе (с помощью сертификата УЦ с проверкой цепочки сертификатов), при этом игнорируются срок действия сертификата и списки отзыва сертификатов.
3.2.1. При положительном результате проверки данный сертификат на электронном ключе регистрируется как внешний объект.
3.2.2. В противном случае данный сертификат игнорируется.
4. Если сертификат не был распознан поставщиком криптографии, то он игнорируется.
5. Если поставщиков криптографии больше не осталось, процедура завершается.
6. В противном случае, выбирается следующий поставщик криптографии и выполняется шаг. 2.
Профиль настроек синхронизации рабочей станции
Примечание. Вступление в силу данного профиля на рабочей станции наступает либо при его автоматической загрузке (выполняется раз в сутки), либо при перезагрузке рабочей станции с установленным клиентским агентом JMS (JWA).
Для создания / редактирования профиля выполните следующие действия
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Настройки синхронизации рабочей станции (Рис. 166);
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Рис. 171 – Создание профиля настройки синхронизации рабочей станции
3. Отобразится страница следующего вида.
Рис. 172 – Вкладка Общие на странице Создание профиля
4. В полях Имя и Описание введите (или отредактируйте) название и описание профиля соответственно.
Расписание синхронизации программных СКЗИ
5. Перейдите на вкладку Расписание синхронизации программных СКЗИ.
Страница примет следующий вид.
Рис. 173 – Вкладка Расписание синхронизации программных СКЗИ
6. Выполните настройку, руководствуясь Табл. 46.
Табл. 46 – Настройка расписания синхронизации программных СКЗИ
Настройка | Описание |
|---|---|
Выполнять синхронизацию каждые (минут) | Настройка определяет период выполнения проверки наличия на сервере JMS привязанного к данной рабочей станции профиля синхронизации с последующей установкой настроек профиля на клиенте JMS (либо с последующим обновлением ранее установленных настроек). Если привязанный профиль синхронизации найден, то производятся синхронизация рабочей станции, а именно: передача на сервер JMS обновленной информации об установленных на рабочей станции программных СКЗИ. Значение по умолчанию: 720 минут (т.е. 12 часов) Примечание. Настоящая настройка не имеет отношения к синхронизации электронных ключей (ключевых носителей) в JMS-клиенте. Параметры синхронизации электронных ключей устанавливаются в профиле Настройки клиентского агента. |
Синхронизация хранилищ рабочих станций
7. Перейдите на вкладку Синхронизация хранилищ рабочих станций.
Страница примет следующий вид.
Рис. 174 – Вкладка Расписание синхронизации программных СКЗИ
8. Выполните необходимые настройки, руководствуясь Табл. 47.
Табл. 47 – Настройки автоматической синхронизации
Настройка | Описание |
|---|---|
<Секция> Запускать проверку синхронизации/синхронизацию по расписанию | |
Проверка необходимости синхронизации | Флаг включения обычной и ускоренной синхронизации хранилищ сертификатов по соответствующему расписанию (см. секцию Настройки расписания синхронизации) на рабочих станциях с установленным консольным агентом (JWA). Значение по умолчанию: установлен |
Выполнение принудительной синхронизации | Флаг включения принудительной синхронизации хранилищ сертификатов по соответствующему расписанию (см. секцию Настройки расписания синхронизации) на рабочих станциях с установленным консольным агентом (JWA). Значение по умолчанию: не установлен |
<Секция> Дополнительные настройки синхронизации хранилища рабочей станции | |
Разрешать синхронизацию для отключённого хранилища рабочей станции | Если флаг установлен, то синхронизация хранилища сертификатов на рабочей станции будет выполняться даже если данное хранилище отключено в JMS как «виртуальный электронный ключ» (см. «Отключение/включение возможности использования ЭК/ЗНИ», с. 44) Значение по умолчанию: установлен |
Разрешать синхронизацию для отозванного хранилища рабочей станции | Если флаг установлен, то синхронизация хранилища сертификатов на рабочей станции будет выполняться даже если данное хранилище отозвано в JMS как «виртуальный электронный ключ» (см. «Отзыв ЭК/ЗНИ», с. 50) Значение по умолчанию: установлен |
<Секция> Настройки расписания синхронизации | |
Принудительная синхронизация каждые (часов) | Временной интервал, по истечении которого клиентский агент JMS (JWA) проверяет необходимость синхронизации при условии, что предыдущая синхронизация прошла успешно. Примечания: 1. Настройка активна только в том случае, если в секции Запускать проверку синхронизации/синхронизацию по расписанию включен флаг Выполнение принудительной синхронизации 2. В момент включения принудительной синхронизации выполняются те же действия, что и при Обычной синхронизации (ниже), а также проверяются изменения и на стороне самого хранилища (например добавление или удаление сертификата не средствами JMS), с последующей синхронизацией этих изменений уже с БД JMS |
Обычная синхронизация каждые (минут) | Временной интервал, по истечении которого клиентский агент (JWA) проверяет необходимость синхронизации при условии, что предыдущая синхронизация прошла успешно. Примечания: 1. Настройка активна только в том случае, если в секции Запускать проверку синхронизации/синхронизацию по расписанию включен флаг Проверка необходимости синхронизации 2. В момент включения обычной синхронизации выполняются проверка внесения в БД JMS изменений в статус сертификатов привязанных рабочих станций, посредством консоли управления JMS (например удаление/отзыв сертификата) или внесение изменений в профиль выпуска сертификатов, привязанного к данным рабочим стациям (включая смену / прекращение привязки такого профиля). |
Ускоренная синхронизация каждые (минут) | Временной интервал, по истечении которого клиент JMS проверяет необходимость синхронизации при условии, что предыдущая синхронизация завершилась с ошибками (например, из хранилища сертификатов не были удалены данные, которые необходимо было удалить). Примечание. Настройка активна только в том случае, если в секции Запускать проверку синхронизации/синхронизацию по расписанию включен флаг Проверка необходимости синхронизации |
Количество повторов неудачной синхронизации (раз) | Количество повторов синхронизации по ускоренному таймауту, после которых попытки синхронизации возвращается в режим обычного таймаута. Примечание. Настройка активна только в том случае, если в секции Запускать проверку синхронизации/синхронизацию по расписанию включен флаг Проверка необходимости синхронизации |
<Секция> Ограничения синхронизации | |
Разрешать выпуск объектов при синхронизации | Позволяет выпускать записывать сертификаты в хранилище сертификатов рабочей станции во время синхронизации. |
Разрешать обновление объектов при синхронизации | Позволяет обновлять сертификаты в хранилище сертификатов рабочей станции во время синхронизации. |
Разрешать удаление объектов при синхронизации | Позволяет удалять сертификаты из хранилища сертификатов рабочей станции во время синхронизации. |
Синхронизация СКЗИ и лицензий
9. Перейдите на вкладку Синхронизация СКЗИ и лицензий.
Страница примет следующий вид.
Рис. 175 – Вкладка Синхронизация СКЗИ и лицензий
Примечание. Вкладка Синхронизация СКЗИ и лицензий доступна (отображается) только при условии добавления в JMS лицензии на поддержку СКЗИ.
10. Выполните настройку, руководствуясь Табл. 48.
Табл. 48 – Настройка параметров синхронизации СКЗИ и лицензий
Настройка | Описание |
|---|---|
<Секция> Сбор информации о рабочей станции | |
Выполнять синхронизацию СКЗИ | Включите данную настройку, если требуется синхронизация СКЗИ. |
Автоматическая регистрация экземпляров СКЗИ | Если настройка включена, то при синхронизации рабочей станции данные об установленном на ней программном СКЗИ будут перенесены на сервер JMS (на сервере будет зарегистрирован экземпляр данного СКЗИ в привязке к рабочей станции). Примечание. Автоматическая регистрация СКЗИ возможна только в случае, если для данного СКЗИ на рабочей станции установлена лицензия его производителя. Экземпляры СКЗИ КриптоПро CSP с демонстрационной лицензией производителя не могут быть зарегистрированы в JMS. |
Автоматическое назначение экземпляров СКЗИ пользователю | Если настройка включена, то пользователь, открывший сеанс (сессию) связи с сервером JMS из клиентского агента JMS будет автоматически назначен ответственным лицом за программное СКЗИ, установленное на данной рабочей станции. Такое назначение выполняется лишь в первый раз после установки СКЗИ. В дальнейшем, назначение ответственного лица за данное СКЗИ может быть изменено администратором из административной консоли JMS (см. раздел «Экземпляры СКЗИ», с. 255) Примечание. Назначение пользователя ответственным лицом за данное СКЗИ выполняется в момент синхронизации рабочей станции с сервером. Периодичность синхронизации для данной станции определяется параметром Выполнять синхронизацию каждые (минут) данного профиля (вкладка Расписание синхронизации программных СКЗИ). Для того чтобы данный профиль вступил в действие на рабочей станции немедленно, следует перезагрузить данную рабочую станцию. |
Разрешить автоматическое добавление лицензий в список лицензий | Если настройка включена, то лицензия установленного на данной рабочей станции программного СКЗИ будет автоматически добавлена в пул лицензий СКЗИ (см. раздел «Лицензии СКЗИ», с. 269). Примечание. В текущей реализации JMS для избежания ошибок регистрации СКЗИ данную настройку рекомендуется включать вместе с настройкой Автоматическая регистрация экземпляров СКЗИ |
Автоматический ввод СКЗИ в эксплуатацию | Если настройка включена, то экземпляры программных СКЗИ с привязанными лицензиями, установленные на рабочих станциях и привязанные к пользователям, будут автоматически введены в эксплуатацию при выполнении плана обслуживания СКЗИ (см. раздел «План обслуживания СКЗИ», с. 331) и при условии включения соответствующей задачи. Настройка доступна только при включенных флагах Выполнять синхронизацию СКЗИ и Автоматическое назначение экземпляров СКЗИ пользователям (см. выше). По умолчанию настройка отключена |
<Секция> Ответственный администратор | |
Ответственный администратор для создания нормативной документации | Пользователь, который назначается ответственным за создание нормативной документации. Для выбора и назначения пользователя нажмите три точки «…» |
<Секция> Настройка уведомлений | |
Уведомлять об отсутствии экземпляра СКЗИ на рабочей станции | Если настройка включена, то в случае отсутствии на рабочей станции СКЗИ, ранее зарегистрированного в JMS в привязке к данной рабочей станции, в журнал будет добавлено уведомление об отсутствии данного СКЗИ. |
Открытие сессии пользователя
11. Перейдите на вкладку Открытие сессии пользователя.
Страница примет следующий вид.
Рис. 176 – Вкладка Открытие сессии пользователя
12. Установите флаг Открывать сессию под текущей доменной учетной записью, если при запуске приложения JWA Tray (подробнее о приложении см. в руководстве по установке [2] и руководстве пользователя [1]) следует выполнить автоматическую аутентификацию пользователя (Вход в JMS) от имени учетной записи пользователя, открывшего сеанс работы с ОС Astra Linux.
13. Для завершения редактирования/создания профиля нажмите Создать.
Настройка профиля выпуска аппаратных OTP-токенов
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Выпуск аппаратных OTP-токенов.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 177 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля, после чего переходите на вкладку Параметры выпуска (Рис. 178).
Рис. 178 – Вкладка Параметры выпуска
4. Выполните настройки, руководствуясь Табл. 49.
Табл. 49 – Параметры выпуска аппаратных OTP-токенов
Настройка | Описание |
|---|---|
<Секция> Общие параметры выпуска | |
Алгоритм | Параметр позволяет выбрать тип алгоритма генерации OTP-пароля: · для случая если создаваемый профиль предназначен для выпуска токенов только с алгоритмом HOTP-генерации одноразового пароля: – HOTP SHA1 6 цифр – генерация OTP по RFC 4226 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; – HOTP SHA256 6 цифр — RFC 4226, хэш SHA256, результирующий пароль длиной 6 цифр; – HOTP SHA256 7 цифр —пароль длиной 7 цифр; – HOTP SHA256 8 цифр — пароль длиной 8 цифр. · для случая если создаваемый профиль предназначен для выпуска токенов только с алгоритмом ТOTP-генерации одноразового пароля: – TOTP SHA1 6 цифр – генерация OTP по RFC 6238 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; – TOTP SHA256 6 цифр – генерация OTP по RFC 6238 с использование хэш- SHA-256, результирующий пароль длиной 6 цифр; – TOTP SHA256 7 цифр –пароль длиной 7 цифр; – TOTP SHA256 8 цифр –пароль длиной 8 цифр; – TOTP SHA512 6 цифр – генерация OTP по RFC 6238 с использование хэш- SHA-5126, результирующий пароль длиной 6 цифр; – TOTP SHA512 7 цифр –пароль длиной 7 цифр; – TOTP SHA512 8 цифр –пароль длиной 8 цифр Примечание. Обратите внимание, что создаваемый экземпляр профиля может быть предназначен для выпуска только одного типа аппаратных токенов: либо TOTP, либо HOTP. |
Режим аутентификации | Параметр позволяет выбрать, какие данные должны будут предоставить пользователи для успешной аутентификации. Доступны следующие варианты: · OTP – для аутентификации в поле пароля пользователь должен ввести значение одноразового пароля; · OTP PIN-код + OTP – для аутентификации в поле пароля пользователь одной строкой должен ввести PIN-код для OTP и значение одноразового пароля; · Доменный пароль + OTP - для аутентификации в поле пароля пользователь одной строкой должен ввести пароль от своего доменного профиля и значение одноразового пароля; · Доменный пароль + OTP PIN-код + OTP - для аутентификации в поле пароля пользователь одной строкой должен ввести пароль от своего доменного профиля, PIN-код для OTP и значение одноразового пароля. Важно! При выборе режима аутентификации (т.е. при добавлении к OTP требования ввода PIN-кода и/или доменного пароля) следует убедиться, что данные настройки согласованы с настройками модуля JWM (см. параметры Запрашивать OTP-PIN-код и Запрашивать доменный пароль в секции Настройки OTP, раздел «Настройка вкладки Вход по OTP», Табл. 111, с. 372). В случае если настройки профиля будут рассинхронизированы с JWM по данным параметрам, при аутентификации пользователя в личном кабинете на JWM будет возникать ошибка. |
<Секция> Параметры OTP PIN Примечание. Параметры секции доступны для настройки при включении опции OTP PIN-код + OTP в параметре Режим аутентификации (выше) | |
Способ установки OTP PIN | Параметр позволяет выбрать способ установки PIN-кода, используемого для аутентификации в дополнение к OTP-паролю: · Не используется – выберите, если режим аутентификации не предусматривает дополнительного PIN-кода (значение «OTP» в поле Режим аутентификации) · Фиксированное значение – значение дополнительного PIN-кода задается в явном виде в поле Фиксированный OTP PIN, ниже (значение PIN-кода будет единое для всех выпускаемых токенов); · Случайное значение1 1Важно! В текущей версии продукта параметр не используется. При установке настройки Случайное значение пользователь не сможет аутентифицироваться в системе. |
Фиксированный OTP PIN | В случае если в поле Способ установки OTP PIN было выбрано Фиксированное значение, введите значение дополнительного PIN-кода в явном виде. Примечание. При установке PIN-кода в поле Фиксированное значение OTP PIN, указанное значение следует организационными методами (сообщив лично или разослав по доступным каналам связи: e-mail, SMS и др.) довести до пользователей, для которых выпущены данные аппаратные OTP-токены. При работе с таким аппаратным OTP-токеном пользователь имеет возможность в личном кабинете JWM сменить централизованно установленный PIN-код на перcональный. |
Длина случайного OTP PIN (мин) | В случае если в поле Способ установки OTP PIN был выбрано Случайное значение, установите минимальную (мин) и максимальную (макс) длину PIN-кода, генерируемого автоматически |
Длина случайного OTP PIN (макс) | |
Количество цифр в OTP PIN | Параметры сложности автоматически генерируемого PIN-кода. Примечание. Суммарное число символов указанных типов не должно превышать общую длину пароля (см. поле Длина случайного OTP PIN) |
Количество строчных букв в OPT PIN | |
Количество прописных букв в OPT PIN | |
Количество спецсимволов в OPT PIN | |
5. В случае, если в поле Алгоритм было выбрано одно из значений, начинающееся с ТOTP…, выберите вкладку TOTP, в противном случае перейдите к шагу 7, с. 185 (настройки на вкладке HOTP).
Окно примет следующий вид.
Рис. 179 – Вкладка TOTP
6. Выполните настройки, руководствуясь Табл. 50.
Табл. 50 – Параметры выпуска TOTP-токенов
Настройка | Описание |
|---|---|
Пароль обновится через (с) | Интервал времени (в секундах), в течение которого действителен одноразовый пароль Значение по умолчанию: 30 |
Кол-во временных интервалов, просматриваемых назад | Диапазон времени (измеряется в числе Интервалов действия пароля, см. выше), отсчитываемый назад от текущего момента времени. На указанном диапазоне проверяется действительность значения одноразового пароля. Значение по умолчанию: 10 Примечание. Подробнее протокол валидации пароля описывается в RFC 6238. Параметры Кол-во временных интервалов, просматриваемых назад и Кол-во временных интервалов, просматриваемых вперед задают так называемое "окно синхронизации". |
Кол-во временных интервалов, просматриваемых вперед | Диапазон времени (измеряется в числе Интервалов действия пароля, см. выше), отсчитываемый вперед от текущего момента времени. На указанном диапазоне проверяется действительность значения одноразового пароля. Значение по умолчанию: 10 |
7. Выберите вкладку HOTP.
Окно примет следующий вид.
Рис. 180 – Вкладка HOTP
8. Выполните настройки, руководствуясь Табл. 51.
Табл. 51 – Параметры выпуска HOTP-токенов
Настройка | Описание |
|---|---|
Окно аутентификации | Максимальное количество одноразовых паролей, проверяемых подряд при аутентификации. Диапазон значений OTP, которые будут проверяться во время аутентификации пользователя, если предъявленное пользователем значением OTP не будет совпадать с очередным ожидаемым значением. (Количество допустимых «пустых» нажатий.) Значение по умолчанию: 10 |
Окно синхронизации | Максимальное количество одноразовых паролей, проверяемых подряд при синхронизации OTP-счетчиков. Диапазон пар значений OTP, который будет проверяться, в случае если OTP не совпадает ни с одним значением из диапазона Окно аутентификации. В этом случае при синхронизации OTP-токена необходимо предъявить два правильных значения OTP подряд. Значение по умолчанию: 100 |
9. Выберите вкладку Параметры обновления.
Окно примет следующий вид.
Рис. 181 – Вкладка Параметры обновления
10. Выполните настройки, руководствуясь Табл. 52.
Табл. 52 – Параметры обновления профиля
Настройка | Описание |
|---|---|
Прекращение действия профиля | Параметр определяет действия, которые необходимо предпринять с OTP-токенами, выпускавшимися по данному профилю, в случае удаления или прекращения привязки профиля к контейнеру, которому принадлежат данные токены. Доступные значения: · Заблокировать токен – при прекращении действия профиля токен должен быть автоматически заблокирован в JMS; · Удалить токен – при прекращении действия профиля токен должен быть автоматически удален из JMS; · Не предпринимать никаких действий Значение по умолчанию: Заблокировать токен |
Обновление профиля | Параметр определяет действия, которые необходимо предпринять с OTP-токенами, выпускавшимися по данному профилю, в случае изменения параметров профиля. Доступные значения: · Перевыпустить токен – при изменении параметров профиля все выпущенные на его основе токены должны быть автоматически перевыпущены с применением обновленных параметров профиля · Не предпринимать никаких действий Значение по умолчанию: Перевыпустить токен Примечание. В текущей версии продукта установка значения Не предпринимать никаких действий означает, что изменение настроек OTP-токена не вступят в силу после сохранения профиля и выполнения плана обслуживания (за исключением случая, когда токен с прежними настройками был предварительно удалён). Вступление в силу изменений в профиле возможно только при выборе значения Перевыпустить токен. |
Блокировка пользователя | Параметр определяет действия, которые необходимо предпринять с OTP-токеном, выпускавшимся по данному профилю, в случае если его владелец (пользователь) был заблокирован в JMS. Доступные значения: · Заблокировать токен – при блокировке пользователя токен должен быть автоматически заблокирован в JMS; · Не предпринимать никаких действий Значение по умолчанию: Заблокировать токен |
Разблокировка пользователя | Параметр определяет действия, которые необходимо предпринять с OTP-токеном, выпускавшимся по данному профилю, в случае если его владелец (пользователь) был разблокирован в JMS. Доступные значения: · Разблокировать токен – при разблокировке пользователя токен должен быть автоматически разблокирован в JMS; · Не предпринимать никаких действий Значение по умолчанию: Не предпринимать никаких действий |
11. По окончании всех настроек нажмите кнопку Создать (Рис. 181, с. 187) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Настройка профиля выпуска программных OTP-токенов
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Выпуск программных OTP-токенов.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 182 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля.
Примечание. В поле Имя следует ввести информативное и понятное конечному пользователю название профиля, отображающее назначение OTP-токена, который будет применяться пользователем для аутентификации в определенной информационной системе, например OTP-токен для входа в Систему XYZ.
Данное имя будет отображаться в пользовательском интерфейсе (в личном кабинете пользователя) JWM-портала.
Вкладка Параметры выпуска
4. После редактирование полей на вкладке Общие переходите на вкладку Параметры выпуска (Рис. 183).
Рис. 183 – Вкладка Параметры выпуска
5. Выполните настройки, руководствуясь Табл. 53.
Табл. 53 – Параметры выпуска программных OTP-токенов
Настройка | Описание |
|---|---|
<Секция> Общие параметры выпуска | |
Эмитент | Введите в этом поле название вашего сайта или организации. |
Алгоритм | Параметр позволяет выбрать тип алгоритма генерации OTP-пароля: · для случая если создаваемый профиль предназначен для выпуска токенов только с алгоритмом HOTP-генерации одноразового пароля: – HOTP SHA1 6 цифр – генерация OTP по RFC 4226 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; – HOTP SHA256 6 цифр — RFC 4226, хэш SHA256, результирующий пароль длиной 6 цифр; – HOTP SHA256 7 цифр —пароль длиной 7 цифр; – HOTP SHA256 8 цифр — пароль длиной 8 цифр; · для случая если создаваемый профиль предназначен для выпуска токенов только с алгоритмом ТOTP-генерации одноразового пароля: – TOTP SHA1 6 цифр – генерация OTP по RFC 6238 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; – TOTP SHA256 6 цифр – генерация OTP по RFC 6238 с использование хэш-функции SHA256, результирующий пароль длиной 6 цифр; – TOTP SHA256 7 цифр –пароль длиной 7 цифр; – TOTP SHA256 8 цифр –пароль длиной 8 цифр; – TOTP SHA512 6 цифр – генерация OTP по RFC 6238 с использование хэш-функции SHA512, результирующий пароль длиной 6 цифр; – TOTP SHA512 7 цифр –пароль длиной 7 цифр; – TOTP SHA512 8 цифр –пароль длиной 8 цифр. Примечание. Обратите внимание, что создаваемый экземпляр профиля может быть предназначен для выпуска только одного типа программных токенов: либо TOTP, либо HOTP. |
Режим аутентификации | Выполните настройку по аналогии с настройкой параметра для выпуска аппаратных OTP-токенов (см. Табл. 49, с. 183) |
Использовать произвольный атрибут пользователя для Email | Установите флаг, если необходимо определить специальный атрибут в любой из подключенных в JMS ресурсных систем, в котором будет содержаться адрес электронной почты пользователя для передачи на него активационной информации OTP-аутентификатора. Примечание. Чтобы проверить, в каком атрибуте ресурсной системы хранится адрес электронной почты, можно воспользоваться вкладкой Учетные записи свойств пользователя, пролистав поле Атрибуты учетной записи. |
Учитывать геолокацию пользователя | Установите флаг, если возможность использования программного OTP-токена для аутентификации должна быть обусловлена географическим нахождением пользователя (т.е. если пользователю должно быть запрещено использовать OTP-токен для аутентификации в странах, не входящих в список, которые определен на вкладке Список разрешенных стран, см. ниже). Примечания. При установке данного флага в поле Способ передачи OTP-секрета (Секция Передача OTP-секрета) будет доступно только значение Защищённый, т.к. для обеспечения работы геолокации следует выполнить настройку сервиса A2FA и установить безопасную передачу OTP-секрета, подробнее см. в описании поля Способ передачи OTP-секрета. |
<Секция> Параметры OTP PIN | |
Способ установки OTP PIN Фиксированный OTP PIN Длина случайного OTP PIN (мин) Длина случайного OTP PIN (макс) Количество цифр в OTP PIN Количество строчных букв в OPT PIN Количество прописных букв в OPT PIN Количество спецсимволов в OPT PIN | В данных полях формы выполните настройки по аналогии с настройками Параметров выпуска в аппаратных OTP-токенов (см. Табл. 49, с. 183) |
<Секция> Передача OTP-секрета | |
Способ передачи OTP-секрета | Выберите способ передачи OTP-секрета: · Базовый – OTP-секрет генерируется сервером JMS и отправляется в виде QR-кода на почтовый адрес владельца OTP-токена без дополнительной защиты. QR-код может быть использован, например, в мобильном приложении Aladdin 2FA компании Аладдин. · Защищенный -- OTP-секрет будет сгенерирован сторонним веб-сервисом безопасной передачи OTP-секрета для защиты от кражи QR-кода и его повторного использования. OTP-секрет может быть дополнительно защищен PIN-кодом. QR-код должен быть использован в специальном приложении (комплексное решение Aladdin 2FA Service) Примечание. При выборе способа Защищенный необходимо установить безопасную передачу OTP-секрета и выполнить настройку сервиса A2FA c помощью команд configure и enable консольного агента Aladdin.EAP.Agent.Terminal (см. первую часть руководства администратора [2], раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»), либо в графическом приложении Web-консоль сервера JMS в разделе Конфигурация сервера в секции JaCarta Authentication Server фрейм Веб-сервис безопасной передачи OTP-секрета (см. первую часть руководства администратора [2], раздел «Настройка подключения к JAS»). |
Время жизни тикета. Если не указано - время жизни не ограничено | Настройка для ограничения срока жизни OTP-секрета (настройка доступна при выборе способа передачи OTP-секрета Защищённый, выше). Значение по умолчанию – 3 дня. Если время жизни тикета не задано, то срок действия OTP-секрета не ограничен. |
Способ передачи QR-кода | Установите канал/каналы, по которому QR-код будет передан пользователю: · E-mail – в почтовый ящик пользователя; · JMS Web Manager – непосредственно в интерфейсе личного кабинета пользователя (посредством сервера JWM) |
Тема email сообщения | Укажите тему письма, которое будет содержать активационную информацию для OTP-аутентификатора |
Вкладка TOTP
6. В случае, если в поле Алгоритм было выбран алгоритм по спецификации TOTP, выберите вкладку TOTP (в противном случае перейдите к шагу 8, с. 193 – настройки на вкладке HOTP).
Окно примет следующий вид.
Рис. 184 – Вкладка TOTP
7. Выполните настройки, руководствуясь Табл. 54.
Табл. 54 – Параметры выпуска программных TOTP-токенов
Настройка | Описание |
|---|---|
Пароль обновится через (с) | Интервал времени (в секундах), в течение которого действителен одноразовый пароль. Значение по умолчанию: 30 |
Кол-во временных интервалов, просматриваемых назад | Диапазон времени (измеряется в числе интервалов, определяемых параметром Пароль обновится через (с), см. выше), отсчитываемый назад от текущего момента времени. На указанном диапазоне проверяется действительность значения одноразового пароля. Значение по умолчанию: 10 |
Кол-во временных интервалов, просматриваемых вперед | Диапазон времени (измеряется в числе интервалов, определяемых параметром Пароль обновится через (с), см. выше), отсчитываемый вперед от текущего момента времени. На указанном диапазоне проверяется действительность значения одноразового пароля. Значение по умолчанию: 10 |
8. Выберите вкладку HOTP.
Окно примет следующий вид.
Рис. 185 – Вкладка HOTP
9. Выполните настройки, руководствуясь Табл. 51, с. 186.
Вкладка Параметры обновления
10. Выберите вкладку Параметры обновления.
Окно примет следующий вид.
Рис. 186 – Вкладка Параметры обновления
11. Выполните настройки, руководствуясь Табл. 55.
Табл. 55 – Параметры обновления профиля
Настройка | Описание |
|---|---|
Прекращение действия профиля Обновление профиля Блокировка пользователя Разблокировка пользователя | Для данных параметров выполните настройки, руководствуясь Табл. 52, с. 187. |
Блокировка токена в Aladdin 2FA | Параметр определяет действия, которые необходимо предпринять с OTP-токеном, выпускавшимся по данному профилю, в случае если токен был заблокирован в системе Aladdin 2FA. Доступные значения: · Перевыпустить токен – при блокировке токена в A2FA он должен быть перевыпущен в JMS (данная опция позволяет автоматически перевыпускать токен, если истекло время жизни «тикета» (т.е. одноразовой ссылки), значение которого по умолчанию 3 дня); · Заблокировать токен – при блокировке токена в A2FA он должен быть автоматически заблокирован в JMS. Значение по умолчанию: Перевыпустить токен Примечание. Действия, предлагаемые в данном параметре, реализуются в ходе выполнения задачи Обслуживание программных OTP-токенов плана обслуживания жизненного цикла OTP-токенов (см. раздел «План обслуживания жизненного цикла OTP-токенов», с. 317). Для того чтобы данная задача корректно обработала токены, заблокированные в A2FA, следует также включить выполнение задачи Получение статусов программных OTP-токенов с сервиса Aladdin 2FA в том же плане обслуживания. |
Вкладка Список разрешенных стран
12. Выберите вкладку Список разрешенных стран.
Окно примет следующий вид.
Рис. 187 – Вкладка Список разрешенных стран
13. Выполните настройки, руководствуясь Табл. 56.
Табл. 56 – Установка списка разрешенных стран
Настройка | Описание |
|---|---|
Список разрешенных стран
| Поля данной вкладки становятся доступны для редактирования после установки флага Учитывать геолокацию пользователя на вкладке Параметры выпуска (см. выше). Для установки списка стран, в которых разрешён выпуск и использование программного OTP-токена нажмите Показывать всё и выберите страны из раскрывшегося списка. В поле Поиск… можно установить фильтр по названию страны (последовательно вводя первые буквы названия страны). Поле допускает выбор значения Выбрать все, при котором в Список разрешенных стран будут добавлены все страны из справочника (после чего можно, например, ограничить список стран методом исключения из него отдельных стран, используя поле Поиск…). Примечание. В случае если после привязки данного профиля к пользователям и выпуска OTP-токенов с включённой опцией Учитывать геолокацию пользователя в Список разрешенных стран будут внесены изменения, то для вступления в действие внесённых изменений на выпущенных токенах следует выполнить План обслуживания жизненного цикла OTP-токенов (см. раздел «План обслуживания жизненного цикла OTP-токенов», с. 317) с включённой задачей Синхронизация списков стран Geo OTP-токенов |
Завершение настройки профиля
14. По окончании всех настроек нажмите кнопку Создать (Рис. 186, с. 195) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Примечание. При сохранении профиля выполняется проверка на завершённость других настроек, необходимых для успешного выпуска для пользователей программных OTP-токенов.
- При появлении предупреждения об отсутствии настройки Веб-сервиса безопасной передачи OTP-секрета (Рис. 188) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal a2fa configure, подробнее см. руководство по установке и настройке JMS [2].
- При появлении предупреждения об отсутствии настройки SMTP-транспорта (Рис. 189) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2].
Рис. 188 – Предупреждение о необходимости настроить веб-сервис безопасной передачи OTP-секрета
Рис. 189 – Предупреждение о необходимости включить и настроить SMTP-транспорт
Настройка профиля выпуска Telegram OTP-токенов
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Выпуск Telegram OTP-токенов.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 190 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля.
Примечание. В поле Имя следует ввести информативное и понятное конечному пользователю название профиля, отображающее назначение Telegram OTP-токена, который будет применяться пользователем для аутентификации в определенной информационной системе, например Telegram OTP-токен для входа в Систему XYZ.
Данное имя будет отображаться в пользовательском интерфейсе (в личном кабинете пользователя) JWM-портала.
Вкладка Параметры выпуска
4. После редактирование полей на вкладке Общие переходите на вкладку Параметры выпуска (Рис. 183).
Рис. 191 – Вкладка Параметры выпуска
5. Выполните настройки, руководствуясь Табл. 53.
Табл. 57 – Параметры выпуска программных OTP-токенов
Настройка | Описание | |
|---|---|---|
<Секция> Общие параметры выпуска | ||
Эмитент | Введите в этом поле название вашего сайта или организации. | |
Внешняя система | Идентификатор внешней системы, для которой осуществляется аутентификация пользователя посредством Telegram OTP-токена. Важно! Один пользователь не может иметь более одного Telegram OTP-токена для одной внешней системы. Это означает, что при привязке профиля к пользователю (контейнеру пользователя) нужно убедиться, что к данному контейнеру в настоящий момент не привязан другой профиль выпуска Telegram OTP-токенов с тем же идентификатором внешней системы. В противном случае на этапе выпуска токена возникнет ошибка (отображается в отчете о выполнения плана обслуживания). Примечание. Данный идентификатор прописывается также на стороне интегрируемой системы. Например в случае интеграции с JAS-плагином ADFS данный идентификатор прописывается в параметре MessagingSystemId (см. [3], раздел «Настройка JAS-плагина для AD FS») Аналогичным образом, в случае интеграции с JAS-плагином NPS данный идентификатор следует задать в его настройках (см. [3], раздел «Настройка JAS-плагина для NPS»). При настройке Telegram OTP-аутентификации через API данный идентификатор следует сообщить разработчикам, выполняющим данную интеграцию. | |
Алгоритм | Параметр позволяет выбрать тип алгоритма генерации OTP-пароля: – HOTP SHA1 6 цифр – генерация OTP по RFC 4226 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; – HOTP SHA256 6 цифр — RFC 4226, хэш SHA256, результирующий пароль длиной 6 цифр; – HOTP SHA256 7 цифр —пароль длиной 7 цифр; – HOTP SHA256 8 цифр — пароль длиной 8 цифр | |
Режим аутентификации | Выполните настройку по аналогии с настройкой параметра для выпуска аппаратных OTP-токенов (см. Табл. 49, с. 183) | |
Тема email сообщения | Укажите тему письма, которое будет содержать активационную информацию для OTP-аутентификатора | |
Использовать произвольный атрибут пользователя для Email | Установите флаг, если необходимо определить специальный атрибут в любой из подключенных в JMS ресурсных систем, в котором будет содержаться адрес электронной почты пользователя для передачи на него активационной информации OTP-аутентификатора. Примечание. Чтобы проверить, в каком атрибуте ресурсной системы хранится адрес электронной почты, можно воспользоваться вкладкой Учетные записи свойств пользователя, пролистав поле Атрибуты учетной записи. | |
<Секция> Параметры OTP | ||
Время жизни OTP (с) | Промежуток времени (в секундах), в течение которого производятся попытки отправки сообщения с OTP (паролем) и время, в течение которого данный OTP действителен. Значение по умолчанию: 180 | |
Задержка генерации OTP (мс) | Определяет, через какое время (в миллисекундах) с момента генерации предыдущего пароля OTP разрешается запрашивать следующий. Значение по умолчанию: 5000 | |
Кол-во попыток ввода OTP | Количество дополнительных (к первой) попыток аутентификации, т.е. ввода одноразового пароля. Например, если в поле указано 3, то общее количество попыток составит 1+3. Значение по умолчанию: 3 | |
<Секция> Параметры OTP PIN | ||
Способ установки OTP PIN Фиксированный OTP PIN Длина случайного OTP PIN (мин) Длина случайного OTP PIN (макс) Количество цифр в OTP PIN Количество строчных букв в OPT PIN Количество прописных букв в OPT PIN Количество спецсимволов в OPT PIN | В данных полях формы выполните настройки по аналогии с настройками Параметров выпуска в аппаратных OTP-токенов (см. Табл. 49, с. 183) | |
Вкладка Параметры обновления
6. Выберите вкладку Параметры обновления.
Окно примет следующий вид.
Рис. 192 – Вкладка Параметры обновления
7. Выполните настройки, руководствуясь Табл. 55.
Табл. 58 – Параметры обновления профиля
Настройка | Описание |
|---|---|
Прекращение действия профиля Обновление профиля Блокировка пользователя Разблокировка пользователя | Для данных параметров выполните настройки, руководствуясь Табл. 52, с. 187. |
Блокировка токена в Aladdin 2FA | Параметр определяет действия, которые необходимо предпринять с OTP-токеном, выпускавшимся по данному профилю, в случае если токен был заблокирован в системе Aladdin 2FA. Доступные значения: · Перевыпустить токен – при блокировке токена в A2FA он должен быть перевыпущен в JMS (данная опция позволяет автоматически перевыпускать токен, если истекло время жизни «тикета» (т.е. одноразовой ссылки), значение которого по умолчанию 3 дня); · Заблокировать токен – при блокировке токена в A2FA он должен быть автоматически заблокирован в JMS. Значение по умолчанию: Перевыпустить токен Примечание. Действия, предлагаемые в данном параметре, реализуются в ходе выполнения задачи Обслуживание Telegram OTP-токенов плана обслуживания жизненного цикла OTP-токенов (см. раздел «План обслуживания жизненного цикла OTP-токенов», с. 317). Для того чтобы данная задача корректно обработала токены, заблокированные в A2FA, следует также включить выполнение задачи Получение статусов Telegram OTP-токенов с сервиса Aladdin 2FA в том же плане обслуживания. |
Завершение настройки профиля
8. По окончании всех настроек нажмите кнопку Создать (Рис. 192, с. 201) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Примечание. При сохранении профиля выполняется проверка на завершённость других настроек, необходимых для успешного выпуска для пользователей Telegram OTP-токенов.
9. При появлении предупреждения об отсутствии настройки Веб-сервиса безопасной передачи OTP-секрета (Рис. 193) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal a2fa configure, подробнее см. руководство по установке и настройке JMS [2].
10. При появлении предупреждения об отсутствии настройки SMTP-транспорта (Рис. 194) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2].
Рис. 193 – Предупреждение о необходимости настроить веб-сервис безопасной передачи OTP-секрета
Рис. 194 – Предупреждение о необходимости включить и настроить SMTP-транспорт
Настройка профиля выпуска Messaging-токенов
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Выпуск Messaging-токенов.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 195 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля.
Примечание. В поле Имя следует ввести информативное и понятное конечному пользователю название профиля, отображающее назначение Messaging-токена, который будет применяться пользователем для аутентификации в определенной информационной системе, например Messaging-токен для входа в Систему XYZ.
Данное имя будет отображаться в пользовательском интерфейсе (в личном кабинете пользователя) JWM-портала.
После редактирование полей на вкладке Общие переходите на вкладку Параметры выпуска (Рис. 196).
Рис. 196 – Вкладка Параметры выпуска
4. Выполните настройки, руководствуясь Табл. 59.
Табл. 59 – Параметры выпуска Messaging-токенов
Настройка | Описание |
|---|---|
<Секция> Общие параметры выпуска | |
Эмитент | Введите в этом поле название вашего сайта или организации. |
Внешняя система | Идентификатор внешней системы, для которой осуществляется аутентификация пользователя посредством Messaging-токена. Важно! Один пользователь не может иметь более одного Messaging-токена для одной внешней системы. Это означает, что при привязке профиля к пользователю (контейнеру пользователя) нужно убедиться, что к данному контейнеру в настоящий момент не привязан другой профиль выпуска Messaging-токенов с тем же идентификатором внешней системы. В противном случае на этапе выпуска токена возникнет ошибка (отображается в отчете о выполнения плана обслуживания). Примечание. Данный идентификатор прописывается также на стороне интегрируемой системы. Например в случае интеграции с JAS-плагином ADFS данный идентификатор прописывается в параметре MessagingSystemId (см. [3], раздел «Настройка JAS-плагина для AD FS») Аналогичным образом, в случае интеграции с JAS-плагином NPS данный идентификатор следует задать в его настройках (см. [3], раздел «Настройка JAS-плагина для NPS»). При использовании Messaging-otp для JWM данная настройка прописывается в поле Внешняя система секции Настройки Messaging (см. , раздел «Настройка вкладки Вход по Messaging», Табл. 112, с. 374). При настройке Messaging-аутентификации через API данный идентификатор следует сообщить разработчикам, выполняющим данную интеграцию. |
Алгоритм | Алгоритм генерации одноразового пароля аутентификации (OTP). Допустимые значения: · HOTP SHA1 6 цифр – генерация OTP по RFC 4226 с использование хэш-функции SHA1, результирующий пароль длиной 6 цифр; · HOTP SHA256 6 цифр — RFC 4226, хэш SHA256, результирующий пароль длиной 6 цифр; · HOTP SHA256 7 цифр —пароль длиной 7 цифр; · HOTP SHA256 8 цифр — пароль длиной 8 цифр. |
Режим аутентификации | Параметр позволяет выбрать, какие данные должны будут предоставить пользователи для успешной аутентификации. Доступны следующие варианты: · OTP – для аутентификации в поле пароля пользователь должен ввести значение одноразового пароля; · OTP PIN-код + OTP – для аутентификации в поле пароля пользователь одной строкой должен ввести PIN-код для OTP и значение одноразового пароля; · Доменный пароль + OTP - для аутентификации в поле пароля пользователь одной строкой должен ввести пароль от своего доменного профиля и значение одноразового пароля; · Доменный пароль + OTP PIN-код + OTP - для аутентификации в поле пароля пользователь одной строкой должен ввести пароль от своего доменного профиля, PIN-код для OTP и значение одноразового пароля. Важно! При выборе режима аутентификации (т.е. при добавлении к OTP требования ввода PIN-кода и/или доменного пароля) следует убедиться, что данные настройки согласованы с настройками модуля JWM (см. параметры Запрашивать OTP-PIN-код и Запрашивать доменный пароль в секции Настройки OTP, раздел «Настройка вкладки Вход по Messaging», Табл. 112, с. 374). В случае если настройки профиля будут рассинхронизированы с JWM по данным параметрам, при аутентификации пользователя в личном кабинете на JWM будет возникать ошибка. |
Атрибут с номером телефона | Выберите атрибут в любой из подключенных в JMS ресурсных систем, в котором будет содержаться номер телефона пользователя для передачи на него одноразового пароля и других оповещений в рамках работы со своим messaging-токеном. Примечание. 1. Чтобы проверить, в каком атрибуте ресурсной системы хранится номер мобильного телефона, можно воспользоваться вкладкой Учетные записи свойств пользователя, пролистав поле Атрибуты учетной записи. 2. Атрибут может содержать одновременно несколько номеров телефонов (данная возможность реализуется средствами самой ресурсной системы). |
<Секция> Параметры OTP | |
Время жизни OTP (с) | Промежуток времени (в секундах), в течение которого производятся попытки отправки сообщения с OTP (паролем) и время, в течение которого данный OTP действителен. Значение по умолчанию: 180 |
Задержка генерации OTP (мс) | Определяет, через какое время (в миллисекундах) с момента генерации предыдущего пароля OTP разрешается запрашивать следующий. Значение по умолчанию: 5000 |
Кол-во попыток ввода OTP | Количество дополнительных (к первой) попыток аутентификации, т.е. ввода одноразового пароля. Например, если в поле указано 3, то общее количество попыток составит 1+3. Значение по умолчанию: 3 |
<Секция> Параметры OTP PIN Примечание. Параметры секции доступны для настройки при включении опции OTP PIN-код + OTP в параметре Режим аутентификации (выше) | |
· Способ установки OTP PIN · Фиксированный OTP PIN · Длина случайного OTP PIN (мин) · Длина случайного OTP PIN (макс) · Количество цифр в OTP PIN · Количество строчных букв в OPT PIN · Количество прописных букв в OPT PIN · Количество спецсимволов в OPT PIN | Выполните настройки по аналогии настройками Параметров выпуска в профиле выпуска аппаратных OTP-токенов (см. Табл. 49, с. 183). |
5. Выберите вкладку SMS-оповещения.
Окно примет следующий вид.
Рис. 197 – Вкладка SMS оповещения
6. Выполните настройки, руководствуясь Табл. 60.
Табл. 60 – Настройки SMS оповещений
Настройка | Описание |
|---|---|
Оповещать при помощи SMS при выпуске Messaging-токена | Установите флажок в том случае, если пользователя необходимо оповестить по SMS о факте выпуска для него Messaging-токена |
Шаблон оповещения | В случае если оповещение о выпуске токена включено, можно отредактировать шаблон такого оповещения для всех пользователей, для которых будет выпущен токен по данному профилю. Шаблон содержит зарезервированные переменные, которые будут заменены при отправке данного оповещения: · {systemid} – идентификатор внешней системы; · {username} – имя пользователя; · {pin} – значение добавочного PIN-кода (OTP PIN), следует указать, только если OTP PIN был определен на вкладке Параметры выпуска. Шаблон сообщения по умолчанию: Выпущен токен SystemId={systemid}, UserName={username}, PIN ={pin} |
7. Выберите вкладку Параметры обновления.
Окно примет следующий вид.
Рис. 198 – Вкладка Параметры обновления
8. Выполните настройки, руководствуясь Табл. 61.
Табл. 61 – Настройки параметров обновления
Настройка | Описание |
|---|---|
Прекращение действия профиля Обновление профиля Блокировка пользователя Разблокировка пользователя | Выполните настройки по аналогии настройками Параметров обновления в профиле выпуска аппаратных OTP-токенов (см. Табл. 52, с. 187). |
Изменение номера телефона | Параметр определяет действия, которые необходимо предпринять с Messaging-токеном, выпускавшимся по данному профилю, в случае изменения номера телефона, указанного в Атрибуте с номером телефона (см. Табл. 59, с 205 ) данного пользователя Доступные значения: · Заблокировать токен – при изменении номера телефона пользователя токен должен быть автоматически заблокирован в JMS; · Обновить токен – при изменении номера телефона пользователя токен должен быть автоматически обновлен в БД JMS; Примечание. Обновление номера в БД JMS происходит в результате последовательно отработки Плана обслуживания по умолчанию (задача Выявление рассинхронизации учетных записей, выявляет изменения данных пользователя в ресурсной системе, в частности, значение телефонного номера см. «План обслуживания по умолчанию»", с.324) и Плана обслуживания жизненного цикла OTP-токенов (задача Синхронизация номеров телефонов Messaging-токенов, см. раздел «План обслуживания жизненного цикла OTP-токенов»", с.317) · Не предпринимать никаких действий Значение по умолчанию: Обновить токен |
9. По окончании всех настроек нажмите кнопку Создать (Рис. 198, с. 208) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Настройка профиля выпуска Push OTP-токенов
Push OTP-токен – это виртуальный токен с использованием Push-технологии, обеспечивающей протокол аутентификации с персонально аутентифицированного доверенного устройства, не требующей от пользователя ввода аутентификационной информации.
Примечание. Для обеспечения функционирования Push OTP-токенов следует установить безопасную передачу OTP-секрета и выполнить настройку сервиса A2FA c помощью команд configure и enable консольного агента Aladdin.EAP.Agent.Terminal (см. первую часть руководства администратора [2], раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»), либо в графическом приложении Web-консоль сервера JMS в разделе Конфигурация сервера в секции JaCarta Authentication Server фрейм Веб-сервис безопасной передачи OTP-секрета (см. первую часть руководства администратора [2], раздел «Настройка подключения к JAS»).
Для настройки профиля выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Выпуск Push OTP-токенов.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 199 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля.
Примечание. В поле Имя следует ввести информативное и понятное конечному пользователю название профиля, отображающее назначение OTP-токена, который будет применяться пользователем для аутентификации в определенной информационной системе, например Push OTP-токен для входа в Систему XYZ.
Данное имя будет отображаться в пользовательском интерфейсе (в личном кабинете пользователя) JWM-портала.
Вкладка Параметры выпуска
4. После редактирование полей на вкладке Общие переходите на вкладку Параметры выпуска (Рис. 200).
Рис. 200 – Вкладка Параметры выпуска
5. Выполните настройки, руководствуясь Табл. 62.
Табл. 62 – Параметры выпуска Push OTP-токенов
Настройка | Описание |
|---|---|
<Секция> Общие параметры выпуска | |
Алгоритм Режим аутентификации | Нередактируемые поля |
Использовать произвольный атрибут пользователя для Email Учитывать геолокацию пользователя | Выполните настройки по аналогии с одноименными настройками для выпуска программных OTP-токенов (см. Табл. 53, с. 190) |
<Секция> Передача OTP-секрета | |
Способ передачи OTP-секрета | Нередактируемое поле Значение: Защищенный |
Время жизни тикета. Если не указано - время жизни не ограничено | Настройка для ограничения срока жизни OTP-секрета. Значение по умолчанию – 3 дня. Если время жизни тикета не задано, то срок действия OTP-секрета не ограничен. |
Способ передачи QR-кода | Параметр для указания того, по каким каналам следует передать QR-код для инициализации токена в мобильном приложении пользователя. Доступные значения (должно быть выбрано хотя бы одно): · E-mail – передача QR-кода на адрес электронной почты пользователя; · JMS Web Manager – передача QR-кода осуществляется непосредственно на web-страницу личного кабинета пользователя в JWM-портале. При этом для отображения QR-кода пользователю необходимо нажать на его мнемоническое обозначение (см. рис. ниже) Важно! При указании значения E-mail следует убедиться в наличии следующих настроек: 1. У пользователей, для которых выпускаются Push-токены, в ресурсной системе Active Directory настроен адрес электронной почты. 2. В консольном агенте JMS должен быть настроен транспортный почтовый сервис (команда Aladdin.EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2]). |
Тема email-сообщения | Установите тему почтового сообщения с QR-кодом, при выборе способа передачи E-mail. Значение по умолчанию: [JMS] Регистрация Push OTP-токена |
Вкладка TOTP
6. Выберите вкладку TOTP.
Окно примет следующий вид.
Рис. 201 – Вкладка TOTP
7. Выполните настройки, руководствуясь Табл. 54, с. 193.
Вкладка Параметры обновления
8. Выберите вкладку Параметры обновления.
Окно примет следующий вид.
Рис. 202 – Вкладка Параметры обновления
9. Выполните настройки, руководствуясь Табл. 63.
Табл. 63 – Параметры обновления профиля
Настройка | Описание |
|---|---|
Прекращение действия профиля Обновление профиля Блокировка пользователя Разблокировка пользователя | Для данных параметров выполните настройки, руководствуясь Табл. 52, с. 187. |
Блокировка токена в Aladdin 2FA | Параметр определяет действия, которые необходимо предпринять с PUSH OTP-токеном, выпускавшимся по данному профилю, в случае если токен был заблокирован в системе Aladdin 2FA. Доступные значения: · Перевыпустить токен – при блокировке токена в A2FA он должен быть перевыпущен в JMS (данная опция позволяет автоматически перевыпускать токен, если истекло время жизни «тикета» (т.е. одноразовой ссылки), значение которого по умолчанию 3 дня); · Заблокировать токен – при блокировке токена в A2FA он должен быть автоматически заблокирован в JMS. Значение по умолчанию: Перевыпустить токен Примечание. Действия, предлагаемые в данном параметре, реализуются в ходе выполнения задачи Обслуживание PUSH OTP-токенов плана обслуживания жизненного цикла OTP-токенов (см. раздел «План обслуживания жизненного цикла OTP-токенов», с. 317). Для того чтобы данная задача корректно обработала токены, заблокированные в A2FA, следует также включить выполнение задачи Получение статусов PUSH OTP-токенов с сервиса Aladdin 2FA в том же плане обслуживания |
Вкладка Список разрешенных стран
10. Выберите вкладку Список разрешенных стран.
Окно примет следующий вид.
Рис. 203 – Вкладка Список разрешенных стран
11. Выполните настройки, по аналогии с одноименной вкладкой Профиля выпуска программных OTP-токенов,Табл. 56, с. 196.
Завершение настройки профиля
12. По окончании всех настроек нажмите кнопку Создать (Рис. 202, выше) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Примечание. При сохранении профиля выполняется проверка на завершённость других настроек, необходимых для успешного выпуска для пользователей Push OTP-токенов.
- При появлении предупреждения об отсутствии настройки Веб-сервиса безопасной передачи OTP-секрета (Рис. 204) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal a2fa configure, подробнее см. руководство по установке и настройке JMS [2].
- При появлении предупреждения об отсутствии настройки SMTP-транспорта (Рис. 205) выполните соответствующую настройку в консольном агенте JMS (команда EAP.Agent.Terminal smtp configure, подробнее см. руководство по установке и настройке JMS [2].
Рис. 204 – Предупреждение о необходимости настроить веб-сервис безопасной передачи OTP-секрета
Рис. 205 – Предупреждение о необходимости включить и настроить SMTP-транспорт
Профиль управления ISO-образами JaCarta SF/ГОСТ
Для создания или настройки профиля записи ISO-образов JaCarta SF/ГОСТ выполните следующие действия:
- В консоли управления JMS перейдите в раздел Профили
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать, выберите тип профиля Управление ISO-образами.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию на нём правой кнопкой мыши выберите Свойства.
Отобразится страница следующего вида.
Рис. 206 – Вкладка Общие
3. На вкладке Общие в соответствующих полях введите (или отредактируйте) имя и описание профиля.
4. Перейдите на вкладку ISO Образы.
Рис. 207 – Вкладка ISO-образы
5. Выполните настройку, руководствуясь Табл. 64.
Табл. 64 – Параметры записи ISO-образов JaCarta SF/ГОСТ
Пункт | Описание |
|---|---|
<Секция> Файл ISO-образа открытого раздела | |
Файл ISO-образа открытого CD-ROM раздела | Укажите полный сетевой путь к файлу ISO-образа открытого CD-ROM раздела. Примечание. Сетевой путь к файлу должен быть доступен для всех рабочих станций и консолей управления, используемых в развернутой системе JMS |
Файл ISO-образа скрытого CD-ROM раздела | То же для ISO-образа скрытого раздела. |
<Секция> Удаление файлов ISO-образов из кэша после записи | |
Консоль Управления JMS | При установке флага ISO-образы разделов CD-ROM будут удалены из кэша компьютера с установленной консолью управления JMS. Флаг установлен по умолчанию |
Клиент JMS | При установке флага ISO-образы разделов CD-ROM будут удалены из кэша компьютера с установленным клиентом JMS. Флаг установлен по умолчанию. |
6. Перейдите на вкладку Параметры.
7. Выполните необходимые настройки, руководствуясь Табл. 65.
Табл. 65 – Параметры записи ISO-образов JaCarta SF/ГОСТ
Пункт | Описание |
|---|---|
<Секция> Параметры обновления | |
Разрешить обновление средствами клиента JMS | Установите флаг в случае, если необходимо предоставить возможность пользователям обновлять ISO-образы в ЭН, подключенных к компьютеру, при работе из клиента JMS. |
Блокировать ключевой носитель в случае отказа от обновления после указанной даты | Установите флаг в случае, если необходимо заблокировать ЭН JaCarta SF/ГОСТ при отказе от обновления после даты, указанной в поле Последний день обновления |
Последний день обновления | Выберите дату, если установлен признак блокировки |
Блокировать ключевой носитель в случае отказа от обновления при превышении количества подключений скрытых разделов | Установите флаг в случае, если необходимо заблокировать ЭН JaCarta SF/ГОСТ с устаревшим ISO-образом по счетчику подключений скрытых разделов (указывается в числовом поле). Значение по умолчанию: 10 (подключений скрытых разделов) |
Очищать ISO-образ после отвязки профиля | Установите флаг в случае, если необходимо удалить ISO-образ с ЭН JaCarta SF/ГОСТ после того, как привязка профиля к контейнеру пользователя будет отменена. |
<Секция> Запрос на подтверждение операции | |
Консоль управления JMS | При установленном флаге, перед обновлением ISO-образов в консоли управления JMS будет выполнен запрос на разрешение пользователем операции. |
Клиент JMS | При установленном флаге перед обновлением ISO-образов в клиенте JMS будет выполнен запрос на разрешение пользователем операции. |
8. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Профиль обновления встроенного ПО JaCarta SF/ГОСТ
Для создания или настройки профиля обновления встроенного ПО JaCarta SF/ГОСТ выполните следующие действия:
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать, выберите тип профиля Обновление встроенного ПО.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию на нём правой кнопкой мыши выберите Свойства.
Отобразится страница следующего вида.
Рис. 208 – Вкладка Общие
3. На вкладке Общие в соответствующих полях введите (или отредактируйте) имя и описание профиля.
4. Перейдите на вкладку Параметры.
Рис. 209 – Вкладка Параметры
5. Выполните настройку, руководствуясь Табл. 66.
Табл. 66 – Параметры обновления встроенного ПО JaCarta SF/ГОСТ
Пункт | Описание |
|---|---|
<Секция> Выбор встроенного ПО | |
Встроенное ПО JaCarta SF/ГОСТ | Нажмите три точки (…) и в отрывшемся списке выберите необходимую учетную запись файла обновления, ранее зарегистрированного в JMS (для получения актуального списка нажмите на Обновить). В случае если необходимое обновление в раскрывающемся списке отсутствует, добавьте его из файла, нажав Зарегистрировать (настройки выполняются по аналогии с настройками, изложенными в разделе «Регистрация обновлений встроенного ПО JaCarta SF/ГОСТ», с. 224). |
<Секция> Данные файла встроенного ПО | |
Описание | Описание пакета обновления встроенного ПО JaCarta SF/ГОСТ. Нередактируемое поле (заполняется автоматически). |
Обновлять с версий | Список версий встроенного ПО JaCarta SF/ГОСТ, установленных в подключаемом ЭН, которые (и только они) требуют обновления. Нередактируемое поле (заполняется автоматически). |
Обновлять по версию | Версия встроенного ПО, на которое будет осуществляться обновление. Нередактируемое поле (заполняется автоматически). |
<Секция> Параметры обновления | |
Разрешить обновление средствами клиента JMS | Установите флаг в случае, если необходимо предоставить возможность пользователям обновлять встроенное ПО JaCarta SF/ГОСТ в ЭН, подключенных к компьютеру, на которых установлен клиент JMS. |
Блокировать ключевой носитель в случае отказа от обновления после указанной даты | Установите флаг в случае, если необходимо заблокировать ЭН JaCarta SF/ГОСТ при отказе от обновления после даты, указанной в поле Последний день обновления |
Последний день обновления | Выберите дату, если установлен признак блокировки |
Блокировать ключевой носитель со старой версией встроенного ПО при превышении количества подключений скрытых разделов | Установите флаг в случае, если необходимо заблокировать ЭН JaCarta SF/ГОСТ с устаревшей прошивкой по счетчику подключений скрытых разделов (указывается в поле числовом поле Количество подключений скрытых разделов до блокировки, ниже). Значение по умолчанию: 10 (подключений скрытых разделов) |
Количество подключений скрытых разделов до блокировки | Укажите число подключений срытых разделов, после которых следует заблокировать ЭН в случае, если пользователь откажется от обновления встроенного ПО |
Предупреждение о переинициализации носителя после обновления | В случае если после обновления прошивки в ЭН требуется его переинициализация, установите данный флаг. Примечание. Информация о необходимости переинициализации ЭН после обновления в нем встроенного ПО содержится в сопроводительной документации к данному файлу обновления встроенного ПО. |
Переинициализировать носитель автоматически после обновления | Установите флаг, если переинициализация ЭН должна выполняться автоматически. |
6. Нажмите Создать (или Сохранить, если редактировался ранее созданный профиль).
Импорт/экспорт контейнеров JaCarta SF/ГОСТ (kka-контейнеров)
Контейнеры JaCarta SF/ГОСТ (kka-контейнеры) или ключевые контейнеры администратора доступа служат для инициализации работы с ЗНИ (в заводской документации – ЭН, электронными носителями) JaCarta SF/ГОСТ, определяют механизм доступа к скрытым разделам данных ЗНИ и содержат другую служебную информацию. Для доступа к данным в контейнере требуется знание PIN-кода (пароля) данного контейнера. (Подробное описание см. в документации из комплекта поставки ЭН JaCarta SF/ГОСТ).
Контейнеры .kka необходимы для выпуска и синхронизации ЗНИ JaCarta SF/ГОСТ. Данные контейнеры создаются с помощью ПО из комплекта поставки ЗНИ JaCarta SF/ГОСТ.
Для добавления или создания учетной записи с kka-контейнером выполните следующие действия:
- В консоли управления JMS перейдите в раздел JaCarta SF/ГОСТ -> Контейнеры JaCarta SF/ГОСТ.
Рис. 210 – Раздел JaCarta SF/ГОСТ -> Контейнеры JaCarta SF/ГОСТ консоли управления JMS
2. Выполните одно из следующих действий:
- если вы хотите добавить новую учетную запись с контейнером JaCarta SF/ГОСТ, справа вверху нажмите Импорт, откроется страница импорта контейнера (Рис. 211);
- если вы хотите отредактировать существующую учетную запись с контейнером JaCarta SF/ГОСТ, в центральной части окна консоли управления JMS отметьте эту учетную запись, нажмите правой кнопкой мыши и в меню действий выберите Свойства.
Примечание. Если вы открыли уже зарегистрированную в JMS учетную запись контейнера, то для редактирования будет доступно только поле Имя.
Рис. 211 – Страница импорта контейнера JaCarta SF/ГОСТ
3. Для импорта контейнера выполните необходимые действия, руководствуясь Табл. 67.
Табл. 67 – Параметры учетной записи контейнера JaCarta SF/ГОСТ
Пункт | Описание |
|---|---|
Имя | Введите имя учетной записи контейнера, которое будет использоваться для обозначения данного контейнера в профилях, в которых он задействуется. |
Тип | Из раскрывающегося списка выберите тип контейнера: · Административный – для импорта административного контейнера JaCarta SF/ГОСТ (в документации из комплекта ПО обозначается как ключевой контейнер для ЭН администратора доступа); |
Файл | Нажмите на три точки «…» и в диалоге выберите файл с расширением kka. Примечание. Контейнеры JaCarta SF/ГОСТ создаются при помощи программного обеспечения из комплекта поставки электронных ключей JaCarta SF/ГОСТ. При этом в соответствии с документацией JaCarta SF/ГОСТ данные контейнеры имеют следующие названия: · «ключевой контейнер ЭН администратора доступа» (контейнер JaCarta SF/ГОСТ, используемый для инициализации административных электронных ключей JaCarta SF/ГОСТ. Тип: Административный); |
PIN-код контейнера | Введите PIN-код контейнера JaCarta SF/ГОСТ, указанного в поле Файл. Примечание. PIN-код контейнера JaCarta SF/ГОСТ задается при создании последнего с помощью ПО из комплекта поставки JaCarta SF/ГОСТ. Заблаговременно узнайте PIN-код у администратора безопасности, создававшего данный контейнер. |
4. Нажмите кнопку Импортировать в случае импортирования контейнера JaCarta SF/ГОСТ, либо Сохранить в случае редактирования ранее созданной учетной записи соответствующего контейнера.
Примечание. После сохранения контейнера в режиме редактирования (т.е. после нажатия на кнопку Сохранить) для выхода со страницы редактирования контейнера следует закрыть данную страницу (Рис. 212).
Рис. 212 – Закрытие страницы редактирования контейнера JaCarta SF/ГОСТ
Для экспорта контейнера JaCarta SF/ГОСТ, ранее импортированного в JMS, в разделе JaCarta SF/ГОСТ -> Контейнеры JaCarta SF/ГОСТ выберите в центральной части экрана необходимую учётную запись контейнера, нажмите на ней правой кнопкой мыши и выберите пункт Экспорт. Файл контейнера будет записан в папку, назначенную по умолчанию для загрузок (для скачанных файлов) используемого web-браузера.
Для экспорта контейнера JaCarta SF/ГОСТ пользователю JMS должно быть предоставлено право на операцию «JaCarta SF/ГОСТ – Контейнеры: Экспорт»
Регистрация обновлений встроенного ПО JaCarta SF/ГОСТ
В JMS имеется возможность добавлять в БД файлы обновления встроенного ПО (прошивки) электронных ключей (ЭН) JaCarta SF/ГОСТ, и в дальнейшем управлять данными файлами.
Для создания учетной записи с файлом обновления встроенного ПО JaCarta SF/ГОСТ выполните следующие действия:
- В консоли управления JMS перейдите в раздел JaCarta SF/ГОСТ -> Реестр обновлений встроенного ПО JaCarta SF/ГОСТ.
Рис. 213 – Раздел JaCarta SF/ГОСТ -> Реестр обновления встроенного ПО JaCarta SF/ГОСТ консоли управления JMS
2. Выполните одно из следующих действий:
- если вы хотите добавить новую учетную запись с файлом обновления встроенного ПО JaCarta SF/ГОСТ, справа вверху нажмите Регистрация, откроется страница регистрации обновления встроенного ПО (Рис. 214);
- если вы хотите отредактировать существующую учетную запись с файлом обновления встроенного ПО JaCarta SF/ГОСТ, в центральной части окна консоли управления JMS отметьте эту учетную запись, нажмите правой кнопкой мыши и в меню действий выберите Свойства.
Рис. 214 – Страница регистрации обновления встроенного ПО JaCarta SF/ГОСТ
3. Для регистрации файла обновления встроенного ПО выполните необходимые действия, руководствуясь Табл. 68.
Табл. 68 – Параметры учетной записи файла обновления встроенного ПО JaCarta SF/ГОСТ
Пункт | Описание |
|---|---|
Архив обновления ПО | Нажмите на три точки «…» и в диалоге выберите zip-файл обновлением встроенного ПО |
Имя | Имя пакета обновления встроенного ПО в ЭН JaCarta SF/ГОСТ. Заполняется автоматически (может быть отредактировано). |
Описание | Описание пакета обновления встроенного ПО JaCarta SF/ГОСТ. Заполняется автоматически (может быть отредактировано). |
Обновлять с | Список версий встроенного ПО JaCarta SF/ГОСТ, установленных в подключаемом ЭН, которые (и только они) требуют обновления с помощью файла, указанного в поле Архив обновления ПО. Нередактируемое поле (заполняется автоматически). |
Дата создания | Дата создания файла обновления встроенного ПО JaCarta SF/ГОСТ. Нередактируемое поле (заполняется автоматически). |
Версия обновления | Версия регистрируемого обновления. Нередактируемое поле (заполняется автоматически). |
4. Нажмите Зарегистрировать в случае регистрации файла обновления встроенного ПО JaCarta SF/ГОСТ, либо Сохранить в случае редактирования учетной записи ранее зарегистрированного файла обновления.
После регистрации новая учетная запись отобразится в реестре обновлений встроенного ПО JaCarta SF/ГОСТ:
Рис. 215 – Учетная запись в реестре обновлений встроенного ПО JaCarta SF/ГОСТ
Настройка профиля доступа в личный кабинет JWM
Примечание. Профили Доступ в личный кабинет становятся доступны в консоли управления JMS после установки расширения JWM-коннектор для JMS (подробнее см. руководство по установке и настройке [2], раздел «JWM-коннектор для JMS») на компьютере, где развернуто приложение Консоль управления JMS.
Профиль Доступ в личный кабинет предназначен для массовой настройки свойств пользователей, на которых распространяется действие данного профиля (благодаря механизмам привязки профилей и фильтрации пользователей на основе Глобальных групп.)
Заданные в профиле права пользователей по отношению к объектам доступа из их личного кабинета на портале JWM будут занесены в личные настройки пользователей после выполнения Плана обслуживания настроек личного кабинета (см. раздел «План обслуживания настроек личного кабинета», с. 324).
Права пользователей по отношению к объектам доступа из их личного кабинета на портале JWM можно найти в свойствах пользователя на вкладке Личный кабинет.
Важно! При привязке профиля Доступ в личный кабинет к контейнеру ресурсной системы нужно убедиться, что к одному контейнеру привязано не более одного профиля.
Для создания (или настройки) профиля выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- Выполните одно из следующих действий:
- чтобы создать новый профиль, нажмите Создать выберите тип профиля Прочее -> Доступ в личный кабинет.
- чтобы изменить существующий профиль, выберите этот профиль на правой панели в консоли управления JMS, после чего по нажатию правой кнопкой мыши выберите Свойства.
Отобразится следующее окно.
Рис. 216 – Вкладка Общие
3. В соответствующих полях введите (или отредактируйте) имя и описание профиля.
После редактирование полей на вкладке Общие переходите на вкладку Права пользователя.
Рис. 217 – Вкладка Права пользователя
4. Выполните настройки, руководствуясь Табл. 69.
Табл. 69 – Права пользователей по отношению к объектам личного кабинета на портале JWM
Настройка | Описание |
|---|---|
<Секция> Доступ в личный кабинет | |
Внутренний портал | Установите флаг, если пользователю необходимо предоставить право аутентификации в личном кабинете на внутреннем портале JWM |
Внешний портал | Установите флаг, если пользователю необходимо предоставить право аутентификации в личном кабинете на внешнем портале JWM |
<Секция> Управление OTP-аутентификаторами (в настоящей секции под OTP-аутентификаторами подразумеваются программный OTP-, Messaging- и A2FA Push‑токены) | |
Выпуск OTP-аутентификатора | Установите флаг, если пользователю следует разрешить самостоятельный выпуск OTP-аутентификатора |
Перевыпуск OTP-аутентификатора | Установите флаг, если пользователю следует разрешить самостоятельный перевыпуск OTP-аутентификатора |
Синхронизация счётчика | Установите флаг, если пользователю следует разрешить самостоятельную синхронизацию счетчиков в OTP-аутентификаторе и БД JAS |
Изменение OTP-PIN | Установите флаг, если пользователю следует разрешить самостоятельную смену (установку) PIN-кода для OTP |
Отключение OTP-аутентификатора | Установите флаг, если пользователю следует разрешить самостоятельную блокировку своего OTP-аутентификатора |
Включение OTP-аутентификатора | Установите флаг, если пользователю следует разрешить самостоятельную разблокировку своего OTP-аутентификатора |
По окончании всех настроек нажмите кнопку Создать (Рис. 217, выше) или Сохранить (при редактировании профиля), чтобы сохранить изменения.
Привязка профилей
Для выпуска электронных ключей после настройки профилей необходимо привязать эти профили к пользователям, на имя которых электронные ключи будут выпускаться.
Чтобы привязать созданные профили к пользователям, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- В центральной панели отметьте контейнер, содержащий пользователей, к которым вы хотите привязать настроенные профили (например, контейнер FreeIPA), нажмите на нем правой кнопкой мыши и в появившемся меню выберите + Привязать профиль:
Рис. 218 – Выбор контейнера для привязки профиля
3. Откроется перечень профилей.
Рис. 219 – Выбор профилей для привязки к контейнеру
4. Отметьте профили, которые вы хотите привязать к выбранному контейнеру, и нажмите Привязать. Отобразится окно запроса на подтверждение привязки:
Рис. 220 – Окно запроса на подтверждение привязки профиля
5. Для привязки профиля нажмите Да.
Список привязок отобразится на центральной панели с контейнерами ресурсной системы:
Рис. 221 – Результат привязки профилей к контейнеру ресурсной системы
Примечание. Привязку профилей можно также выполнить методом «перетаскивания мышью» профилей из правой панели на панель с деревом ресурсной системы.
Для отмены привязки профиля к контейнеру выполните следующие действия.
- Выберите необходимую привязку профиля в центральной части окна.
- Нажмите на ней правой кнопкой мыши и выберите пункт –Отменить привязку.
С примерами порядка настройки и привязки профилей можно ознакомиться в разделе «Примеры настроек профилей», с. 237.
Ограничение действия профилей через группы домена/глобальные группы JMS
Чтобы распространить действие привязки профиля только на определенных пользователей выбранного контейнера ресурсной системы (а также на определенные рабочие станции), используя группы домена (или ресурсной системы, такой как FreeIPA или Active Directory) или глобальные группы JMS, выполните следующие действия.
Если вы планируете ограничить действие привязки профиля за счет глобальных групп JMS, такие группы предварительно нужно создать (см. «Глобальные группы JMS», с. 297).
- В консоли управления JMS перейдите в раздел Профили.
Окно консоли будет выглядеть следующим образом.
Рис. 222 – Привязки профилей
2. В центральной части окна отметьте привязку, действие которой необходимо ограничить глобальной группой, нажмите на ней правой кнопкой и выберите Свойства.
Отобразится окно следующего вида.
Рис. 223 – Свойства привязки профиля
3. В секции Фильтр безопасности нажмите Добавить.
Отобразится окно следующего вида.
Рис. 224 – Окно выбора групп для фильтра привязки
4. В верхнем поле выберите тип групп для фильтрации (Глобальные группы или группы домена ресурсной системы, Рис. 225). По умолчанию выбраны Глобальные группы.
Рис. 225 – Выбор типа группы для фильтрации
5. При выборе фильтра по глобальным группам отобразится соответствующее окно (по умолчанию, Рис. 224). Выберите в нем необходимые группы и нажмите Выбрать.
6. При необходимости добавить доменные группы, в верхнем поле выберите домен (ресурсную систему, Рис. 225).
Отобразится окно следующего вида:
Рис. 226 – Окно выбора доменных (локальных) групп
7. Отметьте доменную (локальную) группу (группы), которой вы хотите ограничить область действия привязки профиля, после чего нажмите Выбрать.
8. Выбранные группы отобразятся в списке Фильтр безопасности (Рис. 227).
Рис. 227 – Окно выбора доменных (локальных) групп
9. В секции Фильтр безопасности выберите один из двух пунктов:
- По вхождению – профиль действует только для членов указанных групп;
- По исключению – профиль действует для всех, кроме членов указанных групп.
10. Повторите необходимые действия, если необходимо создать фильтр с использованием других групп JMS.
11. Нажмите Сохранить, чтобы сохранить изменения и закрыть окно.
Наследование профилей
В JMS контейнеры (например, cn=accounts) ресурсных систем (например, FreeIPA) наделены настраиваемым признаком наследования профилей. Наследование профилей вложенным контейнером означает, что действие профилей, привязанных к вышестоящему контейнеру, переносится на данный вложенный контейнер. По умолчанию наследование профилей в JMS разрешено во всех контейнерах.
Для того чтобы запретить/разрешить наследование профилей у контейнера, выполните следующие действия.
- В консоли управления JMS перейдите в раздел Профили.
- На центральной панели с деревом ресурсной системы выберите необходимый контейнер, нажмите правой кнопкой мыши и выберите Запретить наследование (в случае запрета) или Разрешить наследование (в случае разрешения).
- В окне подтверждения действия нажмите Да.
После запрета/разрешения наследования профилей изменения отразятся в полях Наследование и Унаследованные профили свойств контейнера (можно посмотреть, выбрав пункт Свойства по нажатию правой кнопкой мыши на контейнере).
Экспорт/импорт профилей
Чтобы экспортировать/импортировать профиль JMS, выполните следующие действия.
Экспорт профилей 1. В консоли управления JMS перейдите в раздел Профили. 2. В правой секции страницы выберите профиль, который нужно экспортировать, нажмите на нем правой кнопкой мыши и в контекстном меню выберите Экспорт. 3. В окне подтверждения действия нажмите Да. XML-файл с параметрами экспортированного профиля будет записан в папку, назначенную по умолчанию для загрузок (для скачанных файлов) используемого web-браузера. | Импорт профилей 1. В консоли управления JMS перейдите в раздел Профили. 2. Справа вверху страницы нажмите Импорт. 3. В отобразившемся окне укажите путь к XML-файлу профиля и нажмите Открыть. 4. В окне сообщения об успешном импорте нажмите OK. Импортированный профиль отобразится в списке профилей в правой секции страницы. |
Настройка параметров печати при выпуске объектов JMS
JMS позволяет настроить параметры печати документов, которые формируются при выпуске различных объектов в JMS (электронных ключей, ЗНИ и сертификатов). Настройка параметров печати осуществляется в свойствах профиля выпуска.
Существует возможность распечатать указанные в настройках профиля документы, как непосредственно в момент выпуска электронного ключа, так и по прошествии времени после выпуска электронного ключа (подробнее см. Акты и заявки).
В зависимости от профиля, в котором происходит настройка печати, возможна настройка параметров печати для следующих типов документов (см. табл. 70).
Табл. 70 – Параметры печати
Профиль | Тип документа |
|---|---|
См. «Настройка профиля выпуска электронных ключей», с. 102. | · Заявка на выпуск КН; · Акт выдачи КН. |
См. «Настройки профиля выпуска сертификатов в центре сертификации Microsoft», с. 130. | · Запрос на сертификат; · Сертификат. |
См. «Настройки профиля выпуска сертификатов в УЦ AeCA», с. 144. | |
См. «Настройки профиля выпуска сертификатов в УЦ DogTag», с. 155. |
Настройка параметров печати документов рассмотрена на примере вкладки Печать запроса на сертификат (см. «Настройка печати на примере вкладки Печать акта выдачи КН», ниже). Настройка параметров печати на вкладках Печать заявки на выпуск КН, Печать акта выдачи КН и Печать сертификата аналогична приведенному примеру.
Настройка печати на примере вкладки Печать акта выдачи КН
В настоящем разделе приводится типовой пример настроек печати на соответствующей вкладке профилей выпуска ЭК, ЗНИ и сертификатов.
Вкладка Печать акта выдачи КН выглядит следующим образом:
Рис. 228 – Вкладка Печать акта выдачи КН
Чтобы настроить печать документов, связанных с выпуском электронных ключей, выполните следующие действия:
- В поле Шаблон печатной формы выберите из раскрывающегося списка выберите шаблон печатной формы (например Шаблон акта выдачи КН), по которому будет создан и распечатан документ.
О создании и настройке Шаблона печатной формы подробнее см. в разделе «Подсистема печати», с. 280.
2. Чтобы в процессе выпуска ключевого носителя/сертификата происходило формирование соответствующего документа следует установить флаг Формировать документ (Рис. 229, ниже). В случае если такой документ необходимо печатать в процессе выпуска, следует установить флаг Печатать (флаг становится активен только после выбора шаблона сертификата в поле Шаблон печатной формы).
При установке флага Печать в процессе выполнения процедуры выпуска ключевого носителя/сертификата пользователю будет показано окно запроса на распечатку соответствующего документа. В противном случае (флаг Печать не установлен) документ будет сформирован и сохранен в БД JMS, после чего его можно распечатать из раздела Акты и заявки консоли управления JMS (см. раздел «Акты и заявки», c. 242)
Важно! Если флаг Формировать документ не установлен, то документ не будет сформирован в системе, т.е. его нельзя будет распечатать не только во время выпуска ключевого носителя/сертификата, но и позже.
Рис. 229 – Пример корректной настройки печати документа
Примеры настроек профилей
Комплекс профилей, привязываемых в JMS к контейнеру (см. «Привязка профилей», с. 229), полностью определяет набор возможных действий в отношении ЭК/ЗНИ пользователя. Ниже представлены примеры действий для создания типовых наборов профилей и их настроек, которые необходимо выполнить, чтобы в JMS стали доступны основные операции с электронными ключами.
Профили для выпуска ЗНИ SF/ГОСТ из консоли управления JMS
Для выпуска ЗНИ SF/ГОСТ из консоли управления JMS необходимо выполнить привязку к пользователю (контейнеру пользователя в ресурсной системе) следующего набора профилей:
- профиль выпуска ключевого носителя (см. «Настройка профиля выпуска электронных ключей», с. 102); в настройках параметров выпуска (в профиле) нужно разрешить инициализацию в приложении SF (параметр Способ выпуска для консоли администратора).
Примечание. В JMS к одному пользователю (контейнеру) не должно быть привязано более одного профиля выпуска ключевого носителя
- профиль инициализации JaCarta SF/ГОСТ (см. «Настройки параметров инициализации» -> «JaCarta SF/ГОСТ», с. 125).
В случае выпуска ЭН пользователя в профиле инициализации SF/ГОСТ на вкладке Параметры (см. «Вкладка Параметры», с. 126) в параметре Режим инициализации следует установить значение Инициализация КН пользователя
В случае выпуска ЭН администратора доступа в параметре Режим инициализации следует установить значение Инициализация КН администратора.
Профили для выпуска ЗНИ SF/ГОСТ из клиентского приложения JMS
Для того чтобы в клиенте JMS стал доступен выпуск ЗНИ SF/ГОСТ (ЭН Пользователя) следует настроить и привязать к пользователю (к его контейнеру) профили, указанные в разделе «Профили для выпуска ЗНИ SF/ГОСТ », выше. При этом в настройках параметров профиля выпуска ключевого носителя нужно разрешить инициализацию в приложении SF для клиента JMS (параметр Способ выпуска для клиентского агента).
Кроме того, необходимо создать (если он еще не создан) и привязать к пользователю профиль клиентского агента, а также настроить в нем параметры, разрешающие самостоятельный выпуск электронного ключа (см. «Настройка профиля клиентского агента», с. 106).
Профили для выпуска администратором электронного ключа с сертификатом
Для выпуска электронного ключа с сертификатом из консоли управления JMS необходимо выполнить привязку к пользователю (контейнеру пользователя в ресурсной системе) следующего набора профилей:
- профиль выпуска ключевого носителя (см. «Настройка профиля выпуска электронных ключей», с. 102);
Примечание. В JMS к одному пользователю (контейнеру) не должно быть привязано более одного профиля выпуска ключевого носителя
- профиль выпуска сертификата (см. например «Настройки профиля выпуска сертификатов в УЦ DogTag», с. 155).
Примечание. К одному пользователю (контейнеру) может быть привязано несколько профилей выпуска сертификата. Число выпускаемых сертификатов на электронном ключе будет равно числу таких привязанных профилей.
В случае если при выпуске электронного ключа требуется его очистка (инициализация) и установка заданных параметров аутентификации (PIN-кодов по умолчанию, парольной политики и др.), следует также:
- создать (если отсутствует) и привязать соответствующий профиль инициализации ключевого носителя (см. «Настройки параметров инициализации», с. 110)
- в профиле выпуска ключевого носителя в настройках параметров выпуска нужно разрешить инициализацию в соответствующем приложении (параметр Способ выпуска для консоли администратора).
Профили для выпуска пользователем электронного ключа с сертификатом
Для того чтобы в клиенте JMS стал доступен выпуск электронного ключа с сертификатом следует настроить и привязать к пользователю (к его учетной записи в JMS или контейнеру ) профили, указанные в разделе «Профили для выпуска администратором электронного ключа с сертификатом», выше, с тем отличием, что в случае настройки профиля инициализации ключевого носителя, в профиле выпуска ключевого носителя в настройках параметров выпуска для того чтобы разрешить инициализацию в соответствующем приложении следует настраивать параметр Способ выпуска для клиентского агента.
Кроме того, необходимо создать (если он еще не создан) и привязать к пользователю профиль клиентского агента, а также настроить в нем параметры, разрешающие самостоятельный выпуск электронного ключа (см. «Настройка профиля клиентского агента», с. 106).
Порядок настройки самостоятельного выпуска пользователями OTP-аутентификатора
Настройка самостоятельного выпуска пользователями OTP-аутентификатора из личного кабинета JWM использует специальные механизмы JMS, которые требуют выполнения дополнительных действий, отличных от стандартных настроек при выпуске других объектов JMS.
Примечание. Под OTP-аутентификаторами подразумеваются программный OTP-, Telegram OTP-, Messaging- и A2FA Push-токены.
Для настройки самостоятельного выпуска пользователями OTP-аутентификатора выполните следующие действия
- Создайте профиль выпуска OTP-аутентификатора в зависимости от требуемого типа:
- профиль выпуска программного OTP-токена (см. «Настройка профиля выпуска программных OTP-токенов», с. 188);
- профиль выпуска Telegram OTP-токена (см. «Настройка профиля выпуска Telegram OTP-токенов», с. 198);
- профиль выпуска Messaging-токена (см. «Настройка профиля выпуска Messaging-токенов», с. 203);
- профиль выпуска Push OTP-токена (см. «Настройка профиля выпуска Push OTP-токенов», с. 209).
2. Создайте глобальную группу для пользователей, которым необходимо предоставить право на самостоятельный выпуск OTP-аутентификатора (см. «Глобальные группы JMS», с. 297, группу можно оставить пустой, не добавляя в нее пользователей, подробнее см. далее)
3. Выполните привязку профиля (см. «Привязка профилей», с. 229).
4. Добавьте в привязку фильтр по глобальной группе, созданной на шаге 2 (создание фильтра см. в разделе «Ограничение действия профилей через группы домена/глобальные группы JMS», с. 231). Глобальную группу можно оставить пустой, поскольку специальный механизм индивидуального выпуска OTP-аутентификаторов будет заполнять эту группу автоматически.
Примечание.
- При отсутствии настройки фильтра по глобальной группе у пользователя не будет возможности отказаться от выпуска данного вида аутентификатора в момент, когда ему будет предоставлен список возможных аутентификаторов для выпуска.
- Поскольку при использовании глобальной группы с профилями выпуска OTP-аутентификаторов такая группа может пополняться пользователями автоматически (в момент выпуска аутентификатора из Личного кабинета), это следует учитывать при настройке фильтра с помощью той же глобальной группы для привязки другого профиля (чтобы избежать неконтролируемого выпуска OTP-аутентификаторов при запуске плана обслуживания). В общем случае следует использовать отдельную глобальную группу для установки фильтра на каждый профиль выпуска OTP-аутентификатора.
5. Создайте профиль доступа в личный кабинет (см. «Настройка профиля доступа в личный кабинет JWM», с. 227).
6. Выполните привязку профиля (см. «Привязка профилей», с. 229) к тем пользователям, на которых распространяется право самостоятельного выпуска OTP-аутентификаторов.
Важно! При привязке профиля Доступ в личный кабинет к контейнеру ресурсной системы убедитесь, что к одному контейнеру привязано не более одного профиля.
7. Проверьте и при необходимости измените план обслуживания настроек личного кабинета (см. «План обслуживания настроек личного кабинета», с. 324) и запустите его на выполнение (см. раздел «Запуск и просмотр результатов планов обслуживания», с. 310). Результатом работы плана обслуживания будет настройка прав самостоятельного выпуска OTP-аутентификаторов в личном кабинете для всех пользователей, на которых распространяется действие профиля доступа в личный кабинет.
Примечание. Для того чтобы убедиться, что после завершения плана обслуживания конкретному пользователю разрешен доступ к соответствующему порталу и право на выпуск OTP-аутентификатора, откройте свойства пользователя и на вкладке Личный кабинет и проверьте, что установлены соответствующие настройки, как, например, на Рис. 230, ниже.
Рис. 230 –Пример разрешений пользователя в ЛК для самостоятельного выпуска OTP-аутентификатора
8. В настройках личного кабинета (раздел Настройки личного кабинета –> Выпуск OTP-аутентификаторов) у соответствующего профиля установите флаг Разрешить выпуск через личный кабинет (см. раздел «Раздел Выпуск OTP-аутентификаторов», Рис. 342 с. 382).
9. В настройках личного кабинета (раздел Настройки личного кабинета –> Аутентификация консоли управления JMS) сделайте доступной соответствующую вкладку для аутентификации пользователей, например Вход по OTP (для OTP- и Push-токенов) и/или Вход по Messaging (для Messaging-токенов), подробнее см. «Раздел Аутентификация», с. 358.
Проверку самостоятельного выпуска можно произвести из личного кабинета пользователя на портале JWM на вкладке Устройства в секции Выпуск OTP-аутентификатора в JMS (см. руководство пользователя [1]).
Примечание. В случае настройки аутентификации по Push OTP-токену во внешней системе с использование JAS-плагина NPS не забудьте выполнить дополнительную настройку параметров данного плагина в реестре (параметр PushTokenAction=Pass). Подробнее см. руководство по установке и настройке JAS [3], раздел «Настройка JAS-плагина для NPS».
Профили для отключения и замены пользователем ЭК / ЗНИ
Для того чтобы в клиенте JMS пользователю стало доступно отключение (временная блокировка в JMS) и замена ЭК/ЗНИ следует настроить и привязать к пользователю профили, указанные:
- для случая ЭК: в разделах «Профили для выпуска администратором электронного ключа с сертификатом» и «Профили для выпуска пользователем электронного ключа с сертификатом», выше.
- для случая ЗНИ: в разделах «Профили для выпуска ЗНИ SF/ГОСТ из консоли управления JMS» и «Профили для выпуска ЗНИ SF/ГОСТ из клиентского приложения JMS», с. 238.
Кроме того, в настройках профиля клиентского агента следует установить признаки Разрешать отключение и Разрешать замену на вкладке Ограничения по работе с КН (см. «Настройка профиля клиентского агента», с. 106).
Выпуск машинного сертификата (сертификата АРМ)
JMS позволяет выпускать машинные сертификаты (или сертификаты АРМ) с закрытым ключом в соответствующее хранилище на рабочей станции с установленным компонентом JWA (JMS Web Agent), т.е. клиентом JMS. В JMS для выпуска такого сертификата используется абстрактная модель электронного ключа: сертификат выпускается на виртуальный «ключевой носитель», в качестве которого выступает соответствующее машинное хранилище сертификатов на рабочей станции (см. «Виртуальные электронные ключи WpaStore и MachineStore, с. 71).
Для обеспечения выпуска машинных сертификатов на рабочих станциях (АРМ) убедитесь, что данные рабочие станции принадлежат домену ресурсной системы (AD, FreeIPA и т.д.) и зарегистрированы в JMS (см. раздел «Регистрация рабочих станций в JMS» c. 21) и на них установлен клиентский агент (JWA) (подробнее см. первую часть руководства администратора [2], раздел «Установка и первоначальная настройка JMS Web Agent (JWA)»).
Для подготовки выпуска такого сертификата выполните следующие действия.
- Создайте профиль выпуска сертификата, как это описано в соответствующем разделе:
- раздел «Настройки профиля выпуска сертификатов в центре сертификации Microsoft», с. 130, — для выпуска сертификата в MSCA;
- раздел «Настройки профиля выпуска сертификатов в УЦ AeCA», с. 144, — для выпуска сертификата в УЦ AeCA;
при этом на вкладке Типы приложений выберите:
- приложение Хранилище компьютера в случае выпуска сертификата для компьютера под управлением OC Windows;
- приложение Хранилище WPA в случае выпуска сертификата для компьютера под управлением OC Linux.
Примечание. По умолчанию приложения Хранилище компьютера и Хранилище WPA отсутствуют в списке на вкладке Типы приложений. Добавить данные приложения в список можно с помощью команды консольного агента Aladdin.EAP.Agent.Terminal applet enable (см. первую часть руководства администратора [2], раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»), либо в графическом приложении Web-консоль сервера JMS в разделе Конфигурация сервера в секции Безопасность (см. первую часть руководства администратора [2], раздел «Настройки используемых приложений»).
2. Создайте профиль Настройки синхронизации рабочей станции в соответствии с разделом «Профиль настроек синхронизации рабочей станции», с. 173.
3. Выполните привязку профилей, настроенных на шагах 1—2 к контейнерам, содержащим обслуживаемые рабочие станции (см. «Привязка профилей», с. 229), и/или к отдельным рабочим станциям (см. «Ограничение действия профилей через группы домена/глобальные группы JMS», с.231), для которых следует выпускать сертификат в соответствующее хранилище средствами JMS.
Выпуск/синхронизация сертификата (при соблюдении всех указанных выше условий) выполняется в следующих случаях:
- при запуске клиентского агента JMS (JWA);
- по расписанию синхронизаций на вкладке Синхронизация хранилищ рабочих станций привязанного профиля Настройки синхронизации рабочей станции (см. «Профиль настроек синхронизации рабочей станции», с. 173).
Примечание. Для выпуска сертификата на рабочей станции под управлением ОС Linux требуется выполнить ряд подготовительных действий (подробнее см. первую часть руководства администратора [2], раздел «Подготовительные действия по поддержке машинных сертификатов (802.1x) на АРМ под управлением ОС Linux» )
Выпущенный в хранилище пользователя сертификат в консоли управления JMS отображается:
- в разделе Сертификаты;
- в свойствах соответствующей рабочей станции на вкладке Сертификаты.
После выпуска сертификат имеет статус Выпущен на КН и не отличается от сертификатов, выпущенных на электронных ключах.
Служебный объект «виртуального электронного ключа» (посредством которого выпускается сертификат) после выпуска сертификата отображается в разделе Ключевые носители консоли управления JMS как электронный ключ модели Machine Store (для приложения типа Хранилище компьютера, т.е. хранилище машинных сертификатов в ОС Windows), либо WpaStore (для приложения типа Хранилище WPA, т.е. хранилища машинных сертификатов в ОС Linux). Сертификат можно посмотреть также на вкладке Содержимое свойств этого «виртуального электронного ключа».





























































































































































































