You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

На этапе развертывания системы необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации всех сервисов системы располагаются в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot).

Файлы конфигурации сервиса Card Monitor расположены в %ProgramFiles%\Indeed CM\CardMonitor.

Настройка файлов конфигурации осуществляется при помощи Мастера настройки Indeed CM. Мастер настройки запускается автоматически после завершения работы Мастера установки сервера Indeed CM, если в последнем отмечена соответствующая опция.

Также Мастер настройки Indeed CM может быть запущен в любой момент вручную (Пуск – Все программы – Indeed Identity – Indeed CM).


Рисунок 2 – Мастер настройки Indeed CM.

В Таблице 1 приведены разделы Мастера установки с описанием параметров, которые могут быть в них определены.

Таблица 1 – Разделы мастера настройки Indeed CM и их описание.

РазделОписание
Перед началом работы

Информация о назначении и возможностях мастера настройки Indeed CM.

Восстановление настроек

Загрузка файла резервной копии конфигурации Indeed CM.

Функции системы:

  • Общие функции
  • Журнал учета СКЗИ
  • Microsoft CA
  • КриптоПро УЦ 2.0
  • КриптоПро DSS
  • AirKey Enterprise
  • Клиентский агент


Общие функции (настройка внутренних параметров web-приложений Indeed CM).

Удостоверяющие центры (настройка параметров работы с центрами сертификации и КриптоПро DSS).


AirKey Enterprise (настройка параметров интеграции с сервером виртуальных смарт-карт Indeed AirKey Enterprise)

Клиентский агент (настройка параметров работы агентов на рабочих станциях пользователей).

Каталог пользователей:

  • Active Directory
  • КриптоПро УЦ 2.0
  • Active Directory + КриптоПро УЦ 2.0

Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.

Соответствия атрибутов

Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства.

Например: создать нового пользователя в ЦР КриптоПро с теми значениями атрибутов, которые есть для существующего пользователя Active Directory.

Контроль доступа:

  • Администратор ролей

Определение параметров доступа к сервисам Indeed CM и учетной записи для настройки ролей пользователей.

Хранилище данных:

  • Active Directory или
    Microsoft SQL
  • Ключ шифрования

Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа.

Служба Card Monitor

Служба Card Monitor предназначена для выполнения операций по контролю за обращением смарт-карт и выполняет:

    • Отзыв карт удаленных пользователей
    • Отзыв временных карт с истекшим сроком действия
    • Выключение (опционально) карт пользователей, чьи учетные записи Active Directory были отключены
    • Установку и сброс статуса содержимого устройства (истекает/истекло)
    • Обновление содержимого устройств

      Если обновление устройства проводилось через Агент Indeed CM без автоматического одобрения сертификатов оператором УЦ.

    • Рассылку почтовых уведомлений администраторам и пользователям системы:
      – Истечение срока действия сертификатов пользователей, хранящихся на карте
      – Одобрение/отклонение выпуска карты
      – Одобрение/отклонение обновления сертификатов на карте
      – Одобрение/отклонение замены карты
      – Изменение политики, действующей на пользователя
Подтверждение

Сводная информация по настройкам всех разделов Мастера с возможностью создания резервной копии конфигурации Indeed CM.

Результаты

Прогресс работы Мастера по записи указанных значений в файлы конфигурации сервисов Indeed CM.

Для работы Card Monitor в разделе Роли конфигурации (см. Руководство по эксплуатации) потребуются создать сервисную роль, включить в нее учетную запись, от имени которой будет работать Card Monitor и определить для роли привилегии:

  • Обновление устройства
  • Выключение устройства
  • Отзыв устройства
  • Отвязка устройства
  • Очистка устройства
  • Отзыв DSS
  • Выключение DSS

  • Удаление DSS

Для выполнения задач по регулярному запуску службы Card Monitor, учетная запись, указываемая в мастере настройки должна иметь разрешения на Локальный вход (Log on locally) на сервер Indeed CM, или разрешение на Вход в качестве пакетного задания (Log on as a batch job).

При первой установке Indeed CM настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Подтверждение).

Резервная копия настроек Indeed CM включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования данных. При развертывании новых серверов Indeed CM используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера установки и настройки.

Файл резервной копии содержит данные сервисных учетных записей (для работы с каталогом пользователей и хранилищем данных), алгоритм и ключ шифрования. Храните файл резервной копии в защищенном месте.

После завершения работы Мастера настройки Indeed CM указанные значения для всех параметров будут записаны в файлы конфигурации всех приложений и зашифрованы. Шифрование осуществляется при помощи машинного ключа шифрования Microsoft .NET (NetFrameworkConfigurationKey). Алгоритм шифрования – RSA.


  • No labels