Авторизация windows по rutoken
Кратко: Теперь популярный идентификатор ruToken можно использовать в программах Rohos Logon Key и Rohos Disk как единный Ключ для входа в Windows и защиты данных.
Программа Rohos Logon Key полноценно работает в Windows Vista, а также поддерживает авторизацию на удаленный рабочий стол с помощью ruToken.
Устройство ruToken разработанно Российской компанией «Актив», которая производит семейство идентификаторов для осуществления аппаратной авторизации пользователей при доступе к информационным ресурсам и защиты электронной переписки.
Вход в Windows с помощью ruToken.
Программа Rohos Logon Key устанавливает надежную двухфакторную аутентификацию, когда доступ в Windows можно получить, только обладая USB токеном, и зная некоторый пароль (PIN-код).
Все что должен сделать пользователь — подключить ruToken к USB-порту и набрать PIN-код.
Rohos Logon Key единственная программа, которая полноценно работает в Windows Vista, а также поддерживает авторизацию на удаленный рабочий стол с помощью ruToken.
Преимущества использования ruToken в Rohos Logon:
Полноценная поддержка Windows Vista включая: Доступ на удаленный рабочий стол, автоматическая смена пароля по требованию Администратора, работа в Windows Active Directory, поддержка UAC — получение пароля администратора с ruToken в диалоге запроса полномочий. Узнать подробнее: Rohos Credential Provider.
- Аварийный вход — помогает войти в Windows при утере или поломке ruToken.
- PIN код по умолчанию — если установить PIN код 1111, тогда программа Rohos Logon Key не будет его запрашивать у пользователя.
- Возможность использования нескольких ruToken для входа на один компьютер, и наоборот одного брелка для нескольких компьютеров.
- Rohos Logon Key занимает 4кб на rutoken и совместим с другими программами, использующими ruToken.
Использовние ruToken и Rohos Logon Key в сети
Rohos Logon Key поддерживает работу в рамках сети Windows Active Directory. Серверная версия Rohos Logon Key позволяет легко настраивать программу и USB ключ eToken на множестве компьютерах удаленно.
Серверная версия влючает в себя две утилиты:
- Утилита управления token — используется для настройки всех token для аутентификации на рабочих станциях в сети (создание/удаление профайлов на token, создание резервной копии, установка PIN кода, настройка eToken на удаленный рабочий стол).
- Утилита Rohos Remote Admin — позволяет менять настройки Rohos Logon Key на удаленном компьютере, подключенном к Active Directory. Позволяет изменять следующие настройки: разрешение входа только по eToken, действие после извлечения token, блокировка token для пользователей и др.
- MSI пакет установки программы.
Настройка ruToken в Rohos Logon Key:
- Для начала необходимо установить программу Rohos Logon Key.
- В этом окне как тип устройства, которое будет использованно как ключ для входа, следует выбрать ruToken
(эта опция может быть установлена по умолчанию в параметрах MSI пакета ) - В этом окне можно установить различные опции для USB ключа. Подробности можно узнать в справке.
Настраивать eToken для входа в систему необходимо в окне «Настроить ключ»
Rohos Disk — защита данных с помощью USB ключа ruToken:
USB токен ruToken также может быть использован как Ключ для доступа с секретному диску в программе Rohos Disk.
Программа Rohos Disk предоставляет удобное решение для защиты данных:
- Секретный диск работает автономно : при входе в систему с помощью USB ключа ruToken становиться доступным.
- При отключении USB ключа — диск отключается.
- Встроенный файл шреддер помогает перемещать файлы и папки на Rohos Диск и затирать оригиналы.
- Ярлыки документов на рабочем столе автоматически скрываются на Rohos диск в конце работы.
- Иконка диска доступна в MS Office и других приложениях для быстрого доступа.
- Rohos Disk может быть портативно установлен на USB flash накопитель для мобильной работы с секретным диском прямо с USB flash drive.
Внимание: Чтобы использовать eToken в программе Rohos Disk, необходимо установить Rohos Logon Key, так как в ней и происходит основная настройка eToken для входа в систему.
Технические характеристики
Для работы программы Rohos Logon Key требуется:
- Windows 2000 / 2003 / XP / Vista
- 2 Mb свободного места на диске
- Привилегии администратора для установки программы.
- Установленые драйвера ruToken (с PKCS11 модулем rtpkcs11.dll )
Rohos Logon Key также поддерживает :
- Windows XP / Vista 64 бит редакции;
Требования к идентификатору ruToken:
- Наличие 2 килобайт свободного места;
Програма Rohos Logon Key поддерживает любой PKCS11 совместимый токен :
- Aladdin eToken PRO/R2
- Aktiv ruToken
- uaToken
- iKey 1000/2000
- Crypto Identity
- ePass
Rohos Logon Key — Программа устанавливает новый способ для входа в Windows — с помощью USB flash drive. Загрузить (800 Кб )
Rohos Диск — Программа для защиты данных — шифрование диска, защита входа в Windows, контроль доступа, хранение паролей на USB flash накопителе. Загрузить (1 Мб )
Авторизация windows по rutoken
Данная инструкция предназначена для пользователей удаленного рабочего стола Windows с тонких Linux терминалов и использующих Рутокен для авторизации на сервере.
Настройка рабочего окружения
Тонкий Linux терминал должен отвечать следующим требованиям:
- наличие libpcsclite , pcscd
- наличие установленного драйвера (только для Рутокен S)
- наличие libccid (только для Рутокен ЭЦП)
- наличие rdesktop, скомпилированного с поддержкой смарт-карт.
Для Рутокен S
Итак, для работы с Рутокен S нам потребуются libpcsclite, pcscd и драйвер Рутокен S.
Для Рутокен ЭЦП
Итак, для работы с Рутокен ЭЦП нам потребуются libpcsclite, pcscd и libccid.
Драйвер устройства
Программное обеспечение pcsc-lite представляет собой аналог Windows ресурс-менеджера winscard.dll для *nix-платформ.
Демон pcscd работает со смарт-картами через своего рода «драйверы», которые обычно находятся в системном каталоге /usr/lib/pcsc/drivers.
Для Рутокен S
Для Рутокен S существует специальный драйвер, который можно скачать на странице http://www.rutoken.ru/support/download/drivers-for-nix/, запустить его и следовать указаниям установщика.
Для Рутокен ЭЦП
Для Рутокен ЭЦП драйвером является стандартная библиотека libccid , которая поддерживает почти все известные ccid-устройства. Иногда случается так, что версия libccid слишком стара для поддержки Рутокен ЭЦП.
В таком случае нужно конфигурационный файл
/usr/lib/pcsc/drivers/ifd-bundle/Contents/Info.plist (обычно он находится тут)
открыть в любом текстовом редакторе и добавить следующие данные о Рутокен ЭЦП:
в массиве ifdVendorID
добавить 0x0A89
в массиве ifdProductID
добавить 0x0030
в массиве ifdFriendlyName
добавить Aktiv Rutoken ECP
Rdesktop
Для поддержки смарт-карт Rdesktop должен быть скомпилирован с флагом —enable-smartcard.
Не во всех linux дистрибутивах rdesktop распространяется с такой опцией, но пакет rdesktop-smartcard достаточно часто встречается в сторонних репозиториях и найти его для нужного дистрибутива обычно не представляет проблем.
Для того, чтобы rdesktop попытался увидеть Рутокен, ему нужно указать опцию:
Настройка учетных записей пользователей
В первую очередь необходимо настроить учетные записи пользователей. В этом примере будет настроена учетная запись User — пользователь домена, включенные только в группу Пользователи домена.
Для настройки учетной записи пользователя:
- Откройте Панель управления.
- В поле поиска введите слово «администрирование».
Два раза щелкните по названию Администрирование.
В домене под управлением Windows Server 2019 есть возможность одним действием запретить всем входить в домен без наличия устройства Рутокен с необходимым сертификатом (пользователь с учетной записью Administrator также не сможет войти в домен без наличия устройства Рутокен). Шаги 2-5 данной инструкции необходимо выполнить только в том случае, если в домене будут пользователи не только с устройствами Рутокен, но и использующие альтернативные способы аутентификации (пароли, биометрические данные и т. д.). При этом шаги 9-10 надо пропустить .
Настройка политик безопасности домена
Для настройки политик безопасности:
- Откройте Панель управления.
- Два раза щелкните по названию пункта Администрирование.
- Два раза щелкните по названию оснастки Управление групповой политикой.
- В окне Управление групповой политикой рядом с названием категории Объекты групповой политики щелкните по стрелочке.
Щелкните правой кнопкой мыши по названию объекта групповой политики Default Domain Policy и выберите пункт Изменить.
Шаги 4-5 необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом.
Настройка будет доступна только после перезагрузки компьютера. Настройка серверной операционной системы после этого будет завершена.
Настройка клиентской операционной системы
Компьютеры с установленными клиентскими операционными системами Windows 10/8.1/8/7/Vista/XP/2000 необходимо ввести в домен и установить на них драйверы Рутокен.
Редакции ОС должны включать возможность присоединения к домену.
Если клиентские компьютеры были загружены во время настройки сервера, то необходимо их перезагрузить.
Теперь пользователи, которым выдан сертификат типа Пользователь со смарт-картой или Вход со смарт-картой, смогут входить в домен только при подключении к компьютеру устройства Рутокен с этим сертификатом.
При извлечении устройства Рутокен в процессе открытого пользовательского сеанса, клиентская ОС будет автоматически заблокирована (в ОС Windows 10/8.1/8/7/Vista для блокировки рабочего стола при отключении устройства Рутокен необходимо установить автоматический запуск службы Политика удаления смарт-карт/Smart Card Removal Policy).
