Глава 6. Настройка механизмов управления доступом и защиты ресурсов
5.В ответ на запросы, которые появятся на экране, предъявите отмеченные в списке идентификаторы (номер нужного идентификатора указываетсяв запросе).
При записи пароля в идентификатор eToken, который защищен нестандартным для Secret Net PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".
После успешной замены пароля в идентификаторе на экране появляется соответствующее сообщение.
У остальных идентификаторов, которые не были отмечены в списке, признак хранения пароля в идентификаторе будет снят.
6.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Аппаратные средства идентификации и аутентификации
На компьютере может быть установлено несколько различных аппаратных устройств для идентификации пользователей при их входе в систему. При этом использоваться будет только одно из них. Такое устройство называется текущим.
Установка на компьютер и настройка аппаратных средств может выполняться как до, так и после установки системы Secret Net. Программное обеспечение устройств eToken, ЭЗ "Соболь" и COM-считыватель Touch Memory поставляется отдельно. ПО остальных аппаратных средств входит в состав системы Secret Net 2000.
Программное обеспечение для работы с eToken и ЭЗ "Соболь" рекомендуется устанавливать до начала установки Secret Net 2000.
Подключение устройства
Процедура предварительной подготовки и порядок установки устройства аппаратной поддержки в компьютер зависят от его типа и описаны в документе "Secret Net. Аппаратные средства. Руководство по установке и эксплуатации".
Следует помнить. Установка и подключение к компьютеру ЭЗ "Соболь" имеет свои особенности. Подробная инструкция содержится в документе "Электронный замок "Соболь". Руководство администратора".
Настройка устройства
Настройка устройства выполняется после его подключения и установки поставляемого с ним ПО. Процедура настройки включает в себя выбор текущего устройства и режима входа в систему, а также настройку порта ввода-вывода, если в качестве устройства аппаратной поддержки используется Secret Net TM Card стандарта ISA
или Secret Net Proximity.
Для настройки устройства аппаратной поддержки:
1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу "Устройства".
Если устройства аппаратной поддержки на компьютер не устанавливались или устанавливались, но не были настроены в соответствии с данной процедурой, в поле "Текущее устройство аппаратной поддержки" будет отображаться значение "Отсутствует", а поле "Состояние" будет пустым. При этом в списке "Драйверы для устройств аппаратной поддержки" будут отображены все устройства, с которыми система может работать в данный момент.
55
Secret Net 2000. Автономный вариант. Руководство по администрированию
Выбор текущего устройства
Выбор режима входа в систему
Устройство, используемое в настоящий момент
Нажмите для отключения этого устройства
Состояние используемого устройства
Для выбора или смены устройства выберите его название в списке и …
…нажмите кнопку "Установить"
Выберите режим входа пользователей в систему
Рис. 23. Настройка устройства аппаратной поддержки
Если была выполнена настройка какого-либо устройства, его название будет отображаться в поле "Текущее устройство аппаратной поддержки", а в списке "Драйверы для устройств аппаратной поддержки" его название будет выделено (Рис. 23 иллюстрирует случай, когда таким устройством является Secret Net Touch Memory Card).
2.Выберите в списке название устройства и нажмите кнопку "Установить".
Название выбранного устройства аппаратной поддержки будет отображено как текущее.
3.Выберите нужный режим входа в систему с помощью переключателей группы "Вход в систему".
В режиме … |
для входа в систему необходимо … |
Стандартный |
Ввести информацию о пользователе с клавиатуры |
Смешанный |
Предъявить персональный идентификатор или вести инфор- |
|
мацию о пользователе с клавиатуры |
Вход по идентификатору |
Предъявитьперсональный идентификатор |
При выборе режима руководствуйтесь следующими соображениями. Использование аппаратных средств идентификации повышает защищенность системы. Однако на этапе ввода системы защиты в эксплуатацию, когда еще не все пользователи получили электронные идентификаторы, может использоваться смешанный режим. Для включения нужного режима поставьте отметку рядом с его названием в поле переключателя.
Позже, когда каждый из пользователей будет иметь свой персональный идентификатор, установите режим входа только по идентификатору.
4.Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.
Внесенные изменения будут зафиксированы и вступят в силу после перезагрузки компьютера.
56
Настройка порта ввода-вывода
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Данная настройка выполняется, если в качестве устройства аппаратной поддержки используется Secret Net TM Card стандарта ISA или Secret Net Proximity. Настройка выполняется до начала работы с устройством аппаратной поддержки, при условии, что устройство установлено на компьютере и выбрано как текущее (см. выше).
Для настройки порта ввода/вывода:
1. Вызовите на экран панель управления Windows 2000 и откройте в ней компонент "Администрирование".
2.Откройте службу "Управление компьютером" и выберите в ней – "Диспетчер устройств":
В правой части окна будет отображена группа "Устройства идентификации Secret Net", включающая в себя текущее устройство (на рисунке таким устройством является Secret Net TM Card).
3.Откройте окно свойств устройства, перейдите на закладку "Ресурсы" и установите значения адреса порта ввода-вывода. Они должны соответствовать тем значениям, которые были установлены на плате устройства с помощью перемычек JP3-JP4. См. документ "Secret Net. Аппаратные средства. Руководство по установке и эксплуатации".
4.Закройте окно свойств устройства с сохранением изменений.
Отключение устройства
Текущее устройство можно отключить. Это означает, что устройство не будет использоваться для идентификации пользователей при входе пользователей в систему.
Для отключения устройства:
1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу "Устройства".
2.Нажмите кнопку "Отключить" (см. Рис. 23).
В поле "Текущее устройство…" вместо наименования отключенного устройства появится надпись "Отсутствует".
57
Secret Net 2000. Автономный вариант. Руководство по администрированию
3.Нажмите кнопку "Применить" или "OK". Система предложит перезагрузить компьютер.
4.Подтвердите перезагрузку или откажитесь и выполните ее позже. Изменения вступят в силу только после перезагрузки компьютера.
Для восстановления работы отключенного устройства необходимо выполнить его настройку, как описано на стр. 55.
Персональные идентификаторы
Персональный идентификатор пользователя – это аппаратное средство, пред-
назначенное для идентификации пользователя и хранения необходимой служебной информации. Персональный идентификатор выдается пользователю и предъявляется им по требованию системы. В идентификаторе может храниться пароль пользователя, который считывается автоматически при предъявлении идентификатора для входа в систему.
Предъявить идентификатор – это означает, сделать его доступным системе для выполнения необходимых операций (например, чтения или записи). В зависимости от типа устройств эта процедура выполняется по-разному. Идентификатор Touch Memory (новое название – iButton) необходимо приложить к считывателю так, чтобы между ними был надежный контакт, а идентификатор eToken следует вставить непосредственно или через удлинитель в разъем USB-порта компьютера. При выполнении этой процедуры могут возникать ошибки, связанные, например, с нарушением контакта со считывателем или неверным форматом идентификатора. В каждом таком случае система выведет на экран соответствующее сообщения с рекомендациями по продолжению работы.
Каждому пользователю можно присвоить несколько идентификаторов разного или одного и того же типа2, но общее число не может превышать 10-ти. Кроме того, нельзя присвоить один и тот же персональный идентификатор нескольким пользователям.
Всистеме предусмотрены следующие операции с идентификаторами:
•инициализация свободного идентификатора;
•присвоение идентификатора пользователю или удаление идентификатор из перечня идентификаторов пользователя;
•запись или удаление пароля из идентификатора.
Инициализация персонального идентификатора – это форматирование, обеспечивающее возможность его применения с конкретным аппаратным устройством. Необходимость в инициализации возникает в тех случаях, когда в персональном идентификаторе по каким-либо причинам была нарушена структура данных или до этого он использовался с другим устройством идентификации и аутентификации.
При инициализации идентификатора из его памяти удаляется записанная ранее информация и производится разметка носителя информации. Таким образом выполняетсяподготовкаидентификаторадлядальнейшегоиспользования. Инициализировать можно только тот идентификатор, который никому не принадлежит.
Совет. Для доступа к защищенной памяти eToken рекомендуется использовать стандартный для Secret Net PIN-код, так как в этом случае при выполнении операций чтения или записи данных в идентификатор на экране не появиться запрос на ввод PIN-кода, что упрощает процедуру использования идентификатора eToken. Стандартное значение PIN-кода – "1234567890". С таким PINкодом новые идентификаторы eToken R2 поставляются компанией Alladin.
2Типопределяетаппаратноеустройство, скоторымприменяетсяидентификатор.
58
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Для просмотра информации об идентификаторах:
1. В окне программы "Проводник" выберите нужного пользователя, вызовите окно настройки свойств иперейдите к диалогу "Электронные идентификаторы":
Вид пиктограммы |
|
|
соответствует типу |
|
Служебная информация: |
персонального |
|
|
|
||
идентификатора |
|
- тип идентификатора: |
|
|
- его идентификационный |
|
|
номер. |
Отметка указывает на |
|
Кнопка для выполнения |
то, что в |
|
процедуры инициализации |
идентификаторе |
|
идентификатора |
хранится пароль |
|
|
|
|
Кнопка для выполнения |
|
|
процедуры присвоения |
|
|
идентификатора пользователю |
Рис. 24. Диалог "Электронные идентификаторы"
В диалоге отображается список присвоенных пользователю идентификаторов. Каждый идентификатор представлен пиктограммой, строкой служебной информации и признаком режима хранения пароля. Если поле “Пароль в идентификаторе” содержит отметку, это означает, что в электронном идентификаторе хранится пароль пользователя.
Для обозначения различающихся типов персональных идентификаторов используются следующие пиктограммы:
Электронный идентификатор iButton.
Брелок eToken, подключаемый к USB-порту компьютера.
2. Закончив просмотр, нажмите кнопку "OK" или "Применить".
Для инициализации идентификатора:
1. В диалоге "Электронные идентификаторы" (Рис. 24) нажмите кнопку "Инициализировать", если на компьютере установлено одно устройство идентификации.
Если на компьютере установлено несколько устройство идентификации, то нажмите на стрелку рядом с названием кнопки "Инициализировать" и в открывшемся меню выберите название нужногоустройства.
Появится запрос на предъявление идентификатора.
Следует помнить, что инициализировать можно только те идентификаторы, которые не принадлежат ни одному из пользователей.
59
Secret Net 2000. Автономный вариант. Руководство по администрированию
2.Предъявите идентификатор.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".
После успешной инициализации появится соответствующее сообщение.
3.Нажмите кнопку “OK” в окне сообщения.
Для присвоения пользователю идентификатора:
1. Нажмите кнопку “Присвоить” в диалоге "Электронные идентификаторы" (Рис. 24), если на компьютере установлено одно устройство идентификации.
Если компьютер оборудован несколькими устройствами идентификации, то нажмите на стрелку рядомсназваниемкнопки"Присвоить" ивыберитеназваниенужногоустройства.
Появится запрос предъявить идентификатор.
2.Предъявите идентификатор.
Система может обнаружить ошибочный формат идентификатора и потребовать выполнить его инициализацию(см. выше). Послеинициализацииповторитепроцедуруприсвоениясначала.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".
Если операция присвоения идентификатора завершается успешно, в списке идентификаторов пользователя появится новая запись. При этом пароль пользователя не записывается в идентификатор автоматически. Если требуется, чтобы пароль хранился в идентификаторе, выполните процедуру записи пароля в идентификатор (см. ниже).
3.Нажмите кнопку “Применить” или “OK” для сохранения изменений.
Для записи пароля в идентификатор:
Обратите внимание. При выполнении этой процедуры необходимо будет указать текущий пароль пользователя. Для этого нужно либо пригласить данного пользователя, чтобы он ввел свой пароль сам, либо предварительно сменить ему пароль, записать его в идентификатор, а затем при передаче идентификатора пользователю обязательно сообщить ему этот пароль.
1. В списке идентификаторов диалога "Электронные идентификаторы" (Рис. 24) установите отметку в поле “Пароль в идентификаторе”.
Появится запрос на предъявление идентификатора, в котором указан его учетный номер.
2.Предъявите идентификатор.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".
Пароль будет записан в идентификатор, после чего в поле “Пароль в идентификаторе” появится отметка.
3.Нажмите кнопку “Применить” или “OK” для сохранения изменений.
Для удаления пароля из идентификатора:
1. В списке идентификаторов диалога "Электронные идентификаторы" (Рис. 24) удалите отметку из поля “Пароль в идентификаторе”.
Появится запрос на предъявление идентификатора, в котором указан его учетный номер.
60