6. Wstępna konfiguracja serwera ActivPack

Transkrypt

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik technologii ActivCard
Część I. Instalacja i wstępna konfiguracja serwera ActivPack
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Spis treści
1. WPROWADZENIE
3
2. PODSTAWOWE KOMPONENTY SYSTEMU
4
3. ARCHITEKTURA SYSTEMU
5
4. ZASADY DZIAŁANIA ACTIVPACK
6
5. INSTALACJA OPROGRAMOWANIA ACTIVPACK
7
6. WSTĘPNA KONFIGURACJA SERWERA ACTIVPACK
8
7. KONSOLA ZARZĄDZAJĄCA ACTIVPACK
9
8. PERSONEL ZARZĄDZANIA SYSTEMU
10
9. KOMUNIKACJA Z SERWEREM UWIERZYTELNIANIA
12
10. BIEŻĄCE OPERACJE ZARZĄDZANIA ACTIVPACK
13
W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w
dokumencie produktów prosimy o kontakt: [email protected]
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
2
1. Wprowadzenie
ActivPack to system identyfikacji cyfrowej przeznaczony do wiarygodnego
uwierzytelniania tożsamości użytkowników systemów informatycznych, dedykowany do
zastosowań korporacyjnych oraz systemów o podwyższonych wymaganiach bezpieczeństwa
(m.in. systemy rządowe, wojskowe, bankowe, finansowe, e−Commerce).
Użytkownicy udowadniają swoja tożsamość w systemie informatycznym za pomocą
haseł jednokrotnego użycia, generowanych w specjalnych urządzeniach (m.in.. tokenach typu
"kalkulatorek" lub "breloczek", kartach inteligentnych Smart Card, tokenach USB, urządzeniach
biometrycznych) lub za pomocą specjalnego oprogramowania desktop-owego (tzw. tokenów
programowych).
System uwierzytelnia ActivPack może także używać haseł statycznych oraz w razie
potrzeby przekazywać zapytania do innych, istniejących w korporacji systemów uwierzytelnia
m.in. logowanie w domenach Windows NT i Windows 2000, bazach LDAP i SQL oraz innych
systemach RADIUS i TACACS+.
ActivPack jest kompatybilny ze wszystkimi wiodącymi na rynku rozwiązaniami
zabezpieczeń Firewall i VPN oraz urządzeniami sieci, m.in. Check Point VPN-1 SecuRemote,
Check Point FireWall-1 (OPSEC Certified), Cisco Secure PIX Firewall, Cisco Secure VPN
Concentrators, F-Secure VPN+, Nortel Contivity oraz Microsoft RAS.
ActivPack to nowoczesna, stabilna technologia dostarczana przez renomowanego
producenta (ActivCard, Nasdaq: ACTI, Nasdaq Europe: ACTI). Produkty ActivCard są bardzo
atrakcyjne cenowo w porównaniu do tej klasy rozwiązań konkurencyjnych. W Polsce istnieje
autoryzowany ośrodek dystrybucji wszystkich produktów ActivCard, świadczący poprzez
certyfikowanych inżynierów zabezpieczeń profesjonalne usługi pomocy technicznej, konsultacji
i szkoleń. Więcej informacji na ten temat można znaleźć na stronach http://www.clico.pl.
3
2. Podstawowe komponenty systemu
Oprogramowanie ActivPack:
− ActivPack Authentication Server (moduł serwera i stacji zarządzającej) wraz z
graficzną konsolą administratora GUI,
− tokeny programowe (tzn. program do generowania haseł dynamicznych),
− moduły wspierające komunikację z serwerami iPlanet i Microsoft IIS,
− oprogramowanie klienckie usprawniające wykorzystanie kart Smart Card dla
systemów Check Point VPN-1/FireWall-1 i Microsoft Windows NT RAS
(tzn. użytkownik logując się wkłada tylko kartę do czytnika i wprowadza swój kod
PIN),
− oprogramowanie Simple Sign-On umożliwiające całkowite zautomatyzowanie
procesu logowania użytkowników do różnych systemów i aplikacji (np. podczas
odbioru poczty Simple Sign-On samodzielnie odczytuje hasło z karty Smart Card i
wprowadza je do klienta poczty).
Sprzętowe elementy ActivPack (podstawowe):
− ActivCard Token One: tokeny generujące hasła dynamiczne,
− ActivCard Gold: karty inteligentne Smart Card, generujące hasła dynamiczne,
przechowujące hasła statyczne oraz wykonujące operacje PKI (m.in. generowanie
kluczy kryptograficznych, tworzenie podpisów cyfrowych, szyfrowanie tajnego klucza
sesji),
− ActivCard ActivKey: tokeny USB o funkcjonalności Smart Card (tzn. generujące hasła
dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI).
Uwaga:
Przykłady zamieszczone w dalszej części dokumentu wykorzystują tokeny ActivCard Token One
z uwagi na łatwość ich użycia przy poznawaniu produktu (m.in. nie ma potrzeby instalacji
dodatkowych sterowników, ani też montowania czytnika Smart Card).
4
3. Architektura systemu
System identyfikacji cyfrowej ActivPack składa się z serwerów uwierzytelniania
(Authentication Servers), stacji do zarządzania (Administration Console), centralnej bazy danych
(Administration Database) oraz lokalnych bazy danych serwerów (Server Database).
Architektura systemu uwierzytelniania składa się z następujących obszarów:
− system uwierzytelniania ActivPack,
− użytkownicy wyposażeni w tokeny, karty Smart Card i inne urządzenia służącego do
uwierzytelniania (m.in. urządzenia biometryczne),
− urządzenia dostępowe (m.in. Firewall, rutery, RAS, WWW),
− chronione zasoby systemu informatycznego.
ActivPack to technologia identyfikacji cyfrowej, zaprojektowana pod kątem zaspokojenia
potrzeb użytkownika korporacyjnego (m.in. rozproszenie geograficzne, stała dostępność HA)
oraz systemów o podwyższonych wymaganiach bezpieczeństwa. System dostarcza wsparcie
dla zapewniania stabilnej, niezakłóconej pracy zabezpieczeń (serwery Backup) oraz
uwierzytelniania użytkowników często zmieniających miejsce pracy (User Roaming).
5
4. Zasady działania ActivPack
Proces uwierzytelniania użytkownika przebiega w następującej kolejności:
1. Użytkownik w czasie próby dostępu do aplikacji uwierzytelnia swoją tożsamość za
pomocą identyfikatora oraz hasła dynamicznego wygenerowanego w tokenie.
2. Urządzenie dostępowe (np. Firewall, ruter, serwer RAS, serwer WWW) przekazuje
dane użytkownika do zweryfikowania przez serwer ActivPack.
3. Serwer ActivPack weryfikuje dane identyfikacyjne użytkownika i informuje o tym
urządzenie dostępowe.
4. Użytkownik uzyskuje dostęp do zasobów systemu informatycznego po pozytywnym
uwierzytelnieniu swojej tożsamości i autoryzacji.
Hasła dynamiczne w systemie ActivPack generowane są w dwóch trybach:
− Synchronizacji: token jest zsynchronizowany z serwerem (czas, licznik),
− Wyzwanie-Odpowiedź (Challenge-Response): hasło generowane jest
podstawie wpisanego do tokenu kodu, otrzymanego wcześniej od serwera.
na
Więcej informacji na temat trybów generowania haseł dynamicznych znajduje się w
rozdziale o tokenach ActivCard.
Uwaga:
Uwierzytelnienie użytkowników może odbywać się także za pomocą haseł statycznych oraz
zawartych na ActivCard Gold (Smart Card) certyfikatów cyfrowych X.509.
6
5. Instalacja oprogramowania ActivPack
1/ Uruchamiamy program instalacyjny ActivPack.
2/ Wybieramy komponenty do zainstalowania:
− ActivPack Administration Console: oprogramowanie stacji zarządzającej,
− ActivPack Server Configuration: oprogramowanie serwera uwierzytelniania,
− ActivCard CreateDB: skrypty do konfiguracji baz SQL (ODBC).
Uwaga:
Przed instalacja ActivPack na platformie Windows NT/2000 należy zainstalować Microsoft Data
Access Components (MDAC) w wersji 2.5 lub nowszej. MDAC znajduje się na CD.
7
6. Wstępna konfiguracja serwera ActivPack
1/ Uruchamiamy program konfiguracji serwera Programs | ActivCard | ActivPack | ActivPack
Server configuration
2/ Ustalamy identyfikator i hasło dostępu do serwera.
Uwaga:
− Wprowadzone powyżej dane (tzn. identyfikator i hasło) są wykorzystywane do szyfrowania
kluczy kryptograficznych (3DES), używanych do zabezpieczenia baz danych serwera
ActivPack.
− Bazy danych serwerów i stacji zarządzającej ActivPack mogą być składowane w dowolnej
relacyjnej bazie danych obsługującej operacje transakcji (m.in. Oracle, MS SQL, Sybase,
Informix). Dostęp do baz SQL odbywa się poprzez ODBC.
3/ Ustalamy port TCP (Port) do komunikacji serwera ze stacją zarządzającą oraz klucz sesji
(Secret) do ochrony tej komunikacji. W razi potrzeby można także zmodyfikować identyfikator
i hasło dostępu do serwera (ActivPack User ID /Password) oraz identyfikator i hasło dostępu
do bazy danych serwera (DSN ODBC User ID /Password).
Uwaga:
− W konfiguracji stacji zarządzającej ActivPack należy ustalić taki sam port TCP oraz taką
sama wartość klucza sesji.
− Po instalacji serwera na platformie Windows NT/2000 i wykonaniu jego wstępnej konfiguracji
(Apply) zalecane jest przeładowanie komputera.
8
7. Konsola zarządzająca ActivPack
1/ Uruchamiamy program konsoli zarządzającej Programs | ActivCard | ActivPack |
ActivPack Administration Console.
2/ Ustalamy identyfikator i hasło dostępu do stacji zarządzającej.
Konsola zarządzająca ActivCard składa się z trzech panelów:
1. Menu,
2. Lista obiektów,
3. Parametry i ustawienia konfiguracyjne.
9
8. Personel zarządzania systemu
W zależności od polityki bezpieczeństwa instytucji zadania zarządzania systemem
ActivPack spoczywają na następujących osobach:
1. Administrator: osoba posiadająca pełne prawa (np. oficer bezpieczeństwa).
Do jego podstawowych zadań należy:
− definiowanie i konfigurowanie serwerów uwierzytelniania,
− definiowanie i konfigurowanie punktów dostępu do serwerów (tzw. Gates)
− tworzenie grup użytkowników
− tworzenie profili uwierzytelniania (Authentication), praw dostępu (Authorization) i
rozliczania (Accounting),
− dostep do baz LDAP i SQL.
2. Help Desk: osoba odpowiadająca za udzielanie pomocy użytkownikom.
− sprawdzanie stanu kont użytkowników (m.in. kto został zablokowany na skutek wielu
niepoprawnych prób logowania),
− odblokowywanie użytkowników, których konta zostały zablokowanie na skutek wielu
niepoprawnych prób logowania,
− przydzielanie dla użytkowników tymczasowych haseł statycznych,
− synchronizowanie tokenów,
− blokowanie kont użytkowników,
− zarządzanie grup użytkowników.
3. User Manager: osoba odpowiadająca za zarządzanie bazy użytkowników.
− konfiguracja grup użytkowników,
− dodawanie i usuwanie użytkowników,
− inicjowanie i przydzielanie tokenów dla użytkowników,
− eksportowanie danych do innych systemów uwierzytelniania,
− wszystkie zadania "Help Desk".
10
Definiowanie nowych administratorów ActivPack odbywa się w następujący sposób:
1/ W menu Company wybieramy z listy obiektów Security.
2/ Dodajemy nowych administratorów (Add).
11
9. Komunikacja z serwerem uwierzytelniania
Komunikacja sieciowa stacji zarządzającej ActivPack z serwerami uwierzytelniania jest
zabezpieczona kryptograficznie (3DES).
Port TCP do komunikacji stacji zarządzającej z serwerem oraz klucz sesji należy ustalić
takie same jak wprowadzone wcześniej w konfiguracji serwera (ActivPack Server
configuration).
Na stacji zarządzającej ActivPack ustalamy parametry komunikacji z serwerem:
1/ W menu Company | Servers wpisujemy port TCP do komunikacji stacji zarządzającej z
serwerem (Administration port) oraz klucz sesji do ochrony tej komunikacji (Server shared
secret).
12
10. Bieżące operacje zarządzania ActivPack
Po dokonaniu wstępnej konfiguracji serwera ActivPack można przystąpić do
produkcyjnego wykorzystania systemu (m.in. świadczenie usług bezpieczeństwa, obsługa
użytkowników i tokenów) oraz bieżącego zarządzania systemu. Do podstawowych operacji
zarządzania systemu ActivPack można zaliczyć (patrz rysunek):
− zapisywanie konfiguracji na serwerach (m.in. instalowanie polityki bezpieczeństwa),
− odczyt i konsolidacja logów z serwerów,
− przeglądanie logu uwierzytelniania użytkowników,
− przeglądanie logu rozliczania użytkowników,
− przeszukiwanie bazy użytkowników.
Konfiguracja dokonywana na stacji zarządzającej ActivPack jest na bieżąco zapisywana
w bazie "Administration Database". Następnie, administrator ActivPack powinien wprowadzone
zmiany konfiguracyjne zapisać na serwerach (w bazach „Server Database”).
Uwaga:
Konieczność zapisania zmian konfiguracyjnych na serwerach ActivPack sygnalizowana jest
przez migotanie przycisku:
13

6. Wstępna konfiguracja serwera ActivPack

Transkrypt

Podobne dokumenty

Instrukcja odnośnie sposobu ściągnięcia poszczególnych części

Pobierz - Logicnet.pl

Załącznik 1 SUMNet oświadczenie

Konfiguracja programu do pracy w sieci.

SecureVisio

Cennik - Pc Service

PDF: Administracja serwerem aplikacji WildFly