Versions Compared

Old Version 70

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version Current

changes.mady.by.user Ilya Solovyev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

На этапе развертывания системы необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации всех сервисов системы располагаются в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot).

Info

Файлы конфигурации службы Card Monitor расположены в %ProgramFiles%\Indeed CM\CardMonitor.

Настройка файлов конфигурации осуществляется при помощи Мастера настройки Indeed CM. Мастер настройки запускается автоматически после завершения работы Мастера установки сервера Indeed CM, если в последнем отмечена соответствующая опция.

Также Мастер настройки Indeed CM может быть запущен в любой момент вручную (Пуск – Все программы – Indeed Identity).

Image Modified

В Таблице 5 таблице приведены разделы Мастера установки с описанием параметров, которые могут быть в них определены.

Таблица 5 – Разделы мастера настройки Indeed CM и их описание.

РазделОписание
Перед началом работы

Информация о назначении и возможностях мастера настройки Indeed CM.

Восстановление настроек

Загрузка файла резервной копии конфигурации Indeed CM.

Функции системы:

  • Общие функции
  • Журнал событий
  • Журнал учета СКЗИ
  • Microsoft CA
  • КриптоПро УЦ 2.0
  • КриптоПро DSS
  • Валидата УЦ
  • AirKey Enterprise
  • Клиентский агент

Общие функции: настройка внутренних параметров web-приложений Indeed CM.

Консоль управления (Management Console)

  • Просмотр содержимого устройства в сервисе самообслуживания
  • Создавать TPM VSC в сервисе самообслуживания
    • Настраивать WHfB в сервисе самообслуживания
  • Собственная организационная структура
  • Сброс пароля пользователя в Active Directory
  • Включить журнал учета

    • Сервис самообслуживания (Self Service)

    WarningЖурнал учета реализован только для конфигурации системы с использованием Хранилища данных в MS SQL.

    Журнал событий:

    Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ.

    Удостоверяющие центры: настройка параметров работы с центрами сертификации MS CA, КриптоПро УЦ 2.0 и Валидата УЦ. 

    КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS.

    AirKey Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirKey Enterprise.

    Клиентский агент: настройка параметров работы клиентского агента Indeed CM.

    Каталог пользователей:

    • Active Directory
    • КриптоПро УЦ 2.0
    • Active Directory + КриптоПро УЦ 2.0

    Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.

    • Соответствия атрибутов

    Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства.

    Например: создать нового пользователя в ЦР КриптоПро с теми значениями атрибутов, которые есть для существующего пользователя Active Directory.

    • Обновляемые атрибуты

    Определение списка атрибутов пользователя при изменении которых

    необходимо

    требуется обновление сертификата на устройстве.

     

    В список отслеживаемых атрибутов пользователя в параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию включены:

    • Общее имя(CN)
    • E-mail
    • UPN-имя пользователя
    warning
    Note

    Отслеживание изменений в атрибутах пользователей Active Directory доступно только для атрибутов

    указанных в полях 

    из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.


    Контроль доступа:

    • Администратор ролей

    Определение параметров доступа к сервисам Indeed CM.

    Определение учетной записи для первоначальной настройки привилегий пользователей в разделе Роли Консоли управления Indeed Certificate Manager.

    warning
    Note

    Указанная учетная запись должна иметь User Principal Name (UPN) и входить в выбранный каталог пользователей системы.


    Хранилище данных:

    • Active Directory
    или

    • Microsoft SQL или PostgreSQL
    • Ключ шифрования

    Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа.

    Служба Card Monitor

    Служба Card Monitor предназначена для выполнения операций по контролю за обращением устройств (USB-токенов и смарт-карт) и выполняет:

      • Отзыв
    карт удаленных пользователей
      • и изъятие (опционально) устройств пользователей, чьи учетные записи были удалены из каталога пользователей Indeed CM
      • Отзыв временных
    карт
      • устройств с истекшим сроком действия
      • Выключение (опционально)
    карт
      • устройств пользователей, чьи учетные записи Active Directory были отключены
      • Удаление учетных записей (опционально) из каталога пользователей Indeed CM, чьи учетные записи Active Directory были отключены
      • Установку и сброс статуса содержимого устройства (истекает/истекло)

      • Обновление содержимого устройств

        Info

        Если обновление устройства проводилось через Агент Indeed CM без автоматического одобрения сертификатов оператором УЦ.

    Регистрация


      • Регистрации события Длительное отсутствие связи с агентом в системный журнал

      • Рассылку почтовых уведомлений администраторам и пользователям системы:

    – Истечение

      • – Истечение срока действия сертификатов пользователей, хранящихся на

    карте

      • устройстве
        – Одобрение/отклонение выпуска

    карты

      • устройства
        – Одобрение/отклонение обновления сертификатов на

    карте

      • устройстве
        – Одобрение/отклонение замены

    карты

      • устройства
        – Изменение политики, действующей на пользователя

        Warning

        Для выполнения задач по регулярному запуску службы Card Monitor, учетная запись, указываемая в мастере настройки должна состоять в группе Администраторов (Administrators) на сервере Indeed CM и иметь разрешение на Вход в качестве пакетного задания (Log on as a batch job).

    Подтверждение

    Сводная информация по настройкам всех разделов Мастера с возможностью создания резервной копии конфигурации Indeed CM.

    Результаты

    Прогресс работы Мастера по записи указанных значений в файлы конфигурации сервисов Indeed CM.


    Для работы Card Monitor в разделе Роли потребуются создать сервисную роль, включить в нее учетную запись, от имени которой будет работать Card Monitor и определить для роли привилегии:

    • Выключение устройства
    • Обновление устройства
    • Отзыв устройства
    Отвязка
    • Очистка устройства
    Очистка
    • Отмена назначения устройства
    • Удаление устройства
    • Выключение устройства КриптоПро DSS
    • Обновление устройства КриптоПро DSS
    • Отзыв устройства КриптоПро DSS
    • Удаление устройства КриптоПро DSS
    scroll-pagebreak
    • Удаление AirKey
    • Удаление
    AirKey
    • записи из журнала учета
    Note

    Если настроена интеграция с КриптоПро DSS и AirKey Enterprise, то задайте привилегии для работы с данными устройствами.


    Подтверждение

    Сводная информация по настройкам всех разделов Мастера с возможностью создания резервной копии конфигурации Indeed CM.

    При первой установке Indeed CM настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Подтверждение).

    Резервная копия настроек Indeed CM включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования данных. При развертывании новых серверов Indeed CM используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера установки и настройки.

    Warning

    Файл резервной копии содержит данные сервисных учетных записей (для работы с каталогом пользователей и хранилищем данных), алгоритм и ключ шифрования. Храните файл резервной копии в защищенном месте.


    Результаты

    Прогресс работы Мастера по записи указанных значений в файлы конфигурации сервисов Indeed CM.

    После завершения работы Мастера настройки Indeed CM указанные значения для всех параметров будут записаны в файлы конфигурации всех приложений и зашифрованы. Шифрование осуществляется при помощи машинного ключа шифрования Microsoft .NET (NetFrameworkConfigurationKey). Алгоритм шифрования – RSA.