Введение

Использование Rohos Logon Key в Active Directory позволяет однозначно идентифицировать пользователя на любом компьютере домена при помощи USB ключа. Также можно ограничить доступ к некоторым компьютерам, путем блокировки ключей только на этих компьютерах. Для этого следует обязать определенную группу пользователей использовать USB ключи, запретив для них обычную авторизацию при помощи логина и пароля.
Для примера создадим домен с DNS именем AMP.local и NetBIOS именем AMP. Предположим, что кроме администратора в домене есть пользователь User12345, который может входить в систему как с ключом, так и по паролю. Другой пользователь, назовем его Rohos321, должен будет входить в систему только по ключу, вход исключительно по паролю для него будет запрещен. Тогда мы должны создать группу rohos и включить в нее пользователя Rohos321. Таким образом, этот пользователь будет состоять сразу в двух группах: Domain users и rohos.

Примечание: Группа пользователей с ограничениями по входу может иметь любое название, не обязательно rohos. Ее нужно создать стандартными средствами Active directory. Пользователи, входящие в эту группу могут быть одновременно членами любых других групп.

Программу Rohos Logon Key устанавливают на всех рабочих станциях, куда имеют доступ пользователи домена.


 Создание универсальных ключей для авторизации на нескольких компьютерах

Учитывая, что в домене или в рабочей группе компьютеров может быть много, и пользователи периодически могут меняться местами, необходимо обеспечить возможность авторизоваться с одним ключом сразу на всех компьютерах домена или рабочей группы. Делается это в три этапа:

1 этап — создаем базу данных настроек программы Rohos Logon key.

На контроллере домена следует установить бесплатный пакет Rohos Management tools и запустить программу Rohos Remote config из него.

Программа автоматически предложит создать новую базу данных. После ее создания приступаем к настройке 2-факторной аутентификации.

  1. Указываем тип ключа в поле Authentication media;
  2. Выбираем действие при извлечении ключа;
  3. В списке 2-factor authentication control type выбираем для каких пользователей будет обязательным использование 2-факторной аутентификации. Если настраивается ограничение по группе, в следующее поле следует вписать название этой группы. Следует создать эту группу стандартными средствами Active Direcory перед сохранением настроек.
  4. В этой программе можно создать и аварийный вход для администратора.

После завершения настроек нажмите кнопку Save Settings.

2 этап. — Создаем ключи в программе Rohos Logon Key. Информация о ключах будет добавляться в базу данных AD. В программе Rohos Remote config нажмите кнопку Refresh чтобы увидеть созданные ключи.  

Примечание: Ключи на основе USB Flash drive можно создавать и в программе USB Key manager. Учтите что в этой программе в отличие от Rohos Logon key  пароль записывается на ключ в открытом виде.

USB_key_man

Для просмотра и редактирования профиля выделите его и нажмите кнопку Edit. Если ключ был сделан ранее в программе Rohos Logon Key, пароль будет записан в зашифрованном виде. Такой ключ не подходит для аутентификации на компьютерах домена. Нажмите справа на кнопку со звездочкой для просмотра пароля в зашифрованном виде. Следует поменять его на незашифрованный в обоих полях и нажать OK:

add_edit_profile

Если мы работаем не в домене, а в рабочей группе, то поле Domain можно оставить пустым. Тогда ключ будет подходить ко всем компьютерам, где содержится такая комбинация логина и пароля.

Если во время создания ключа не вводить пароль, то он не будет храниться на ключе. Тогда пользователь при идентификации будет обязан вводить пароль вручную вместе с ключом. Это сложнее для пользователя, но проще для администратора. Если пользователь поменяет пароль, то администратору не придется перенастраивать USB-ключ.

После создания ключей в программе Rohos Remote config нажмите кнопку Refresh all… В поле под ней появится список ключей и пользователей.

3-й этап. Устанавливаем программу Rohos Logon Key (от версии 3.4 и новее) на все компьютеры, которые следует защитить. Почувствовав, что компьютер является частью домена, программа Rohos Logon Key  считает настройки из базы данных и применит их на том компьютере где она установлена. Теперь созданные в домене ключи будут работать на всех компьютерах домена.

 

 Ограничение доступа пользователей без ключа.

  • Для того, чтобы ограничить доступ пользователей на определенные компьютеры домена, запустите программу Rohos Remote config на контроллере домена и в группе 2-factor authentication control выберите правило для доступа.
  • Нажмите кнопку Save settings.

 


 

Удаление данных Rohos из базы данных AD

На контроллере домена, где Rohos Remote Config был установлен с самого начала, в командной строке (Win+R) запустите команду

ntdsutil

введите последовательно следующие команды:

partition management
connections
Connect to server %servername%
quit
list
delete nc DC=Rohos,DC=com
quit
quit

Лицензии Rohos Logon Key для рабочих станций домена:

  • Pro лицензия – для локального доступа к любой рабочей станции домена. Допускается использование RDC при доступе на Windows XP, Vista,7,8. Одby лицензионный ключ можно использовать на трех разных компьютерах домена.
  • Серверная лицензия – специально предназначена для Терминального Сервера. Доступ к Windows 2003, 2008, 2012, 20016 через RDC.