Versions Compared

Old Version 1

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version Current

changes.mady.by.user Mikhail Yakovlev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

На этапе развертывания системы необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации всех сервисов системы располагаются в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot).

Info

Файлы конфигурации сервиса Card Monitor расположены в %ProgramFiles%\Indeed CM\CardMonitor.

Настройка файлов После установки сервера Indeed AirCard Enterprise выполните его настройку. Настройка конфигурации осуществляется при помощи Мастера настройки Indeed CM. Мастер настройки AirCard Enterprise, который запускается автоматически после завершения работы Мастера установки сервера Indeed CMAirCard Enterprise, если в последнем отмечена соответствующая опция.

Также Также Мастер настройки Indeed CM AirCard Enterprise может быть запущен в любой момент вручную (Пуск – Все программы – Indeed Identity).

Image Modified


Рисунок 13 – Мастер настройки Indeed CM.

Scroll Pagebreak
Разделы Мастера настройки Indeed AirCard Enterprise

В Таблице 5 приведены разделы Мастера установки

с описанием параметров, которые могут быть в них определены

.Таблица 5 – Разделы мастера настройки Indeed CM и их описание

.

РазделОписание
Перед началом работы

Информация о назначении и возможностях мастера настройки Indeed

CM

AirCard Enterprise.

Восстановление настроек

Загрузка файла резервной копии конфигурации Indeed AirCard Enterprise.

Клиентский сертификат

Настройка параметров контроля доступа к серверу Indeed AirCard Enterprise по сертификатам.

Предъявляемый клиентом (сервером системы Indeed CM) сертификат должен удовлетворять заданному Фильтру сертификата и быть выдан на имя сервера Indeed CM, которое используется в адресе подключения. 

Функции системы:

  • Общие функции
  • Журнал событий
  • Журнал учета СКЗИ
  • Microsoft CA
  • КриптоПро УЦ 2.0
  • КриптоПро DSS
  • AirKey Enterprise
  • Клиентский агент

Общие функции: настройка внутренних параметров web-приложений Indeed CM.

  • Интеграция с Indeed Access Manager
  • Интеграция с Secret Net Studio
  • Просмотр содержимого устройства в сервисе самообслуживания
  • Просмотр SO PIN устройства
  • Собственная организационная структура
  • Сброс пароля пользователя в Active Directory
  • Переопределять атрибут имени пользователя для поиска в Журнале событий. Значение по умолчанию: CN(common name)

Журнал событий: настройка подключения к единому журналу событий для нескольких серверов Indeed CM.

Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ.

Удостоверяющие центры: настройка параметров работы с центрами сертификации.

КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS.

AirKey Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirKey Enterprise.

Клиентский агент: настройка параметров работы клиентского агента Indeed CM.

Каталог пользователей:

  • Active Directory
  • КриптоПро УЦ 2.0
  • Active Directory + КриптоПро УЦ 2.0

Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.

Соответствия атрибутов

Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства.

Например: создать нового пользователя в ЦР КриптоПро с теми значениями атрибутов, которые есть для существующего пользователя Active Directory.

Возможные значения:

  • Назначение сертификата (OID) раздела Улучшенный ключ (Enhanced Key Usage) сертификата
  • Отпечаток сертификата (Thumbprint)
Info
iconfalse
titleНапример:
  • EKUs:1.3.6.1.5.5.7.3.2
  • Thumbprint:05eac3725eaa791f18ef45118ff3fa269c4d706f


Warning

Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности клиента (Client Authentication).

Если в инфраструктуре используются несколько серверов Indeed CM, то OID или Thumbprint сертификатов каждого из них следует указать через точку с запятой:

Info
iconfalse
titleНапример:
  • EKUs:OID1;EKUs:OID2
  • Thumbprint:1;Thumbprint:2


Параметры карт AirCard

Определение параметров работы смарт-карт AirCard:

Если опция Показывать все подключенные смарт-карты AirCard включена, то в активной Windows-сессии пользователя будут отображаться все подключенные смарт-карты AirCard к данной рабочей станции.

Если опция выключена, то в Windows-сессии пользователя будут отображаться только подключенные смарт-карты AirCard текущего пользователя.

Info

При выключенной опции устройства других пользователей будут не видны только внутри сессии. В интерфейсе разблокировки рабочей станции и смены пользователя будут доступны все подключенные устройства AirCard.

Выберите созданный Сертификат подписи.

Отпечаток (Thumbprint) сертификата подписи Indeed AirCard Enterprise. Необходим для выдачи сертификатов клиентским рабочим станциям. Сертификат клиента создается в локальном хранилище компьютера при первом подключении устройства AirCard к рабочей станции

Контроль доступа:

  • Администратор ролей
Определение параметров доступа к сервисам Indeed CM и учетной записи для настройки ролей пользователей

.

Хранилище данных:

  • Active Directory или
    Microsoft SQL
  • Ключ шифрования

Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа

.Служба Card Monitor

Служба Card Monitor предназначена для выполнения операций по контролю за обращением смарт-карт и выполняет:

  • Отзыв карт удаленных пользователей
  • Отзыв временных карт с истекшим сроком действия
  • Выключение (опционально) карт пользователей, чьи учетные записи Active Directory были отключены
  • Установку и сброс статуса содержимого устройства (истекает/истекло)

    • Обновление содержимого устройств

    InfoЕсли обновление устройства проводилось через Агент Indeed CM без автоматического одобрения сертификатов оператором УЦ

    .

    Рассылку почтовых уведомлений администраторам и пользователям системы:
    – Истечение срока действия сертификатов пользователей, хранящихся на карте
    – Одобрение/отклонение выпуска карты
    – Одобрение/отклонение обновления сертификатов на карте
    – Одобрение/отклонение замены карты
    – Изменение политики, действующей на пользователя

    Подтверждение

    Сводная информация по настройкам всех разделов Мастера с возможностью создания резервной копии конфигурации Indeed

    CM

    AirCard Enterprise.

    Результаты

    Прогресс работы Мастера по записи указанных значений в файлы конфигурации сервисов Indeed CM.

    Scroll Pagebreak

    Для работы Card Monitor в разделе Конфигурация > Роли потребуются создать сервисную роль, включить в нее учетную запись, от имени которой будет работать Card Monitor и определить для роли привилегии:

    • Обновление устройства
    • Выключение устройства
    • Отзыв устройства
    • Отвязка устройства
    • Очистка устройства
    • Отзыв DSS

    • Выключение DSS

    • Удаление DSS

    Warning

    Для выполнения задач по регулярному запуску службы Card Monitor, учетная запись, указываемая в мастере настройки должна состоять в группе Администраторов (Administrators) на сервере Indeed CM и иметь разрешение на Вход в качестве пакетного задания (Log on as a batch job).

    Если для данной учетной записи изменился пароль, то для работы Card Monitor необходимо в Мастере настройки Indeed CM передобавить пользователя, указав новое значение пароля.

    При первой установке Indeed

    CM

    AirCard Enterprise настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации

    в разделе Подтверждение).

    ).

    При развертывании новых серверов Indeed AirCard Enterprise используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки.

    Note

    Резервная копия настроек Indeed

    CM

    AirCard Enterprise включает в себя все параметры, определенные при установке системы

    для всех сервисов

    , а также алгоритм и ключ шифрования данных.

    При развертывании новых серверов Indeed CM используйте

    Сохраните файл резервной копии

    , указав его в разделе Восстановление настроек Мастера установки и настройки

    в защищенном месте.

    Warning


    Результаты

    Прогресс работы Мастера по записи указанных значений в файлы конфигурации сервисов Indeed AirCard Enterprise

    Файл резервной копии содержит данные сервисных учетных записей (для работы с каталогом пользователей и хранилищем данных), алгоритм и ключ шифрования. Храните файл резервной копии в защищенном месте

    .

    После завершения работы Мастера настройки Indeed

    CM

    AirCard Enterprise указанные значения для всех параметров будут записаны в

    файлы

    файл конфигурации

    всех приложений

    приложения и зашифрованы. Шифрование осуществляется при помощи машинного ключа шифрования Microsoft .NET (.NetFrameworkConfigurationKey). Алгоритм шифрования – RSA.