Бастион-2. Руководство администратора

Внимание! Если после установок параметров безопасности загрузить компьютер не удается (если «Бастион» не может загрузиться, а «Проводник» недоступен), рекомендуется загрузить Windows в «Безопасном режиме с поддержкой командной строки». Из командной строки выполнить regedit и в редакторе реестра исправить значение

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell на «explorer.exe».

5.5Использование службы Active Directory (AD) и двухфакторная авторизация

5.5.1Общие вопросы

Двухфакторная авторизация подразумевает аппаратную авторизацию посредством ключа usb token (токен) и авторизацию вида «логин\пароль».

Токен позволяет, при наличии прав, подтвержденных на аппаратном уровне, войти в доменную сеть предприятия и открыть сессию ОС Windows. При входе в сессию Windows пользователь вторично подтверждает своё право путём ввода имени пользователя и пароля. При необходимости смены пользователя, необходимо средствами ОС закончить сессию, либо, если настроено, завершить сессию путём вынимания токена из компьютера. Следующий пользователь должен войти в сессию под своим паролем и со своим токеном. Если пользователь прошёл проверку при запуске сессии Windows, то в АПК «Бастион-2» будет считаться, что он идентифицирован. При запуске АПК «Бастион-2» данные о текущем пользователе автоматически проверяются в AD. Если этот пользователь входит в группу пользователей АПК «Бастион-2», то ему предоставляется право входа в программу согласно прописанным в AD правам. В ином случае, открывается стандартная форма ввода логина\пароля. Подробнее описано в алгоритме работы (п.5.5.3)

5.5.2Общие настройки

АПК «Бастион-2» позволяет использовать службу Active Directory для идентификации пользователя. Настройка режима возможна на форме «Общие настройки» (см. Рис. 42 Настройка

Active Directory).

Бастион-2. Руководство администратора

Рис. 42 Настройка Active Directory

Опция «Использовать идентификацию Active Directory» позволяет либо использовать (флаг установлен), либо не использовать (флаг не установлен) эту возможность. По умолчанию, флаг не установлен.

Поле «Название группы пользователей АПК Бастион» должно содержать название группы Active Directory, в которую входят пользователи АПК «Бастион-2». По умолчанию, группа называется

APK_BASTION_USERS.

Поле «Название атрибута AD для хранения профиля пользователя» должно содержать название атрибута пользователя в AD, в котором должно храниться название профиля оператора АПК «Бастион-2». По умолчанию, это атрибут extensionAttribute13. Название профиля в этом поле в AD должно соответствовать названию профиля, определённого в АПК «Бастион-2» (см. п. 4.6). Выбранный атрибут должен быть текстовым.

Поле «Название атрибута AD для хранения уровня привилегий» должно содержать название атрибута пользователя в AD, в котором должен храниться уровень привилегий оператора АПК «Бастион-2». По умолчанию, это атрибут extensionAttribute14. Уровень, число от 0 до 99, определяет, какие возможности доступны данному оператору АПК «Бастион-2» (см. п. 4.5). Выбранный атрибут должен быть текстовым.