Введение

Использование Rohos Logon Key в Active Directory позволяет однозначно идентифицировать пользователя на любом компьютере домена при помощи USB ключа. Также можно ограничить доступ к некоторым компьютерам, путем блокировки ключей только на этих компьютерах. Для этого следует обязать определенную группу пользователей использовать USB ключи, запретив для них обычную авторизацию при помощи логина и пароля.
Для примера создадим домен с DNS именем AMP.local и NetBIOS именем AMP. Предположим, что кроме администратора в домене есть пользователь User12345, который может входить в систему как с ключом, так и по паролю. Другой пользователь, назовем его Rohos321, должен будет входить в систему только по ключу, вход исключительно по паролю для него будет запрещен. Тогда мы должны создать группу rohos и включить в нее пользователя Rohos321. Таким образом, этот пользователь будет состоять сразу в двух группах: Domain users и rohos.

Примечание: Группа пользователей с ограничениями по входу может иметь любое название, не обязательно rohos. Ее нужно создать стандартными средствами Active directory. Пользователи, входящие в эту группу могут быть одновременно членами любых других групп.

Программу Rohos Logon Key устанавливают на всех рабочих станциях, куда имеют доступ пользователи домена.


 Создание универсальных ключей для авторизации на нескольких компьютерах

Учитывая, что в домене или в рабочей группе компьютеров может быть много, и пользователи периодически могут меняться местами, необходимо обеспечить возможность авторизоваться с одним ключом сразу на всех компьютерах домена или рабочей группы. Делается это в три этапа:

1 этап — создаем базу данных настроек программы Rohos Logon key.

На контроллере домена следует установить бесплатный пакет Rohos Management tools и запустить программу Rohos Remote config из него.

Программа автоматически предложит создать новую базу данных. После ее создания приступаем к настройке 2-факторной аутентификации.

  1. Указываем тип ключа в поле Authentication media;
  2. Выбираем действие при извлечении ключа;
  3. В списке 2-factor authentication control type выбираем для каких пользователей будет обязательным использование 2-факторной аутентификации. Если настраивается ограничение по группе, в следующее поле следует вписать название этой группы. Следует создать эту группу стандартными средствами Active Direcory перед сохранением настроек.
  4. В этой программе можно создать и аварийный вход для администратора.

После завершения настроек нажмите кнопку Save Settings.

2 этап. — Создаем ключи в программе USB Key manager. Для быстрого запуска этой программы можно нажать кнопку в окне Rohos Remote config либо найти программу в списке программ Rohos.

Примечание: теперь создавать ключи в программе USB Key manager можно не только на контроллере домена, но и на любой рабочей станции домена из учетной записи с правами администратора домена и администратора схемы домена.

Подключите аппаратный ключ и запустите  USB Key manager.  Если на аппаратном ключе уже есть профайл пользователя, он появится в окне приложения. Для создания нового профайла служит кнопка Add logon profile.

USB_key_man

Для просмотра и редактирования профиля выделите его и нажмите кнопку Edit. Если ключ был сделан ранее в программе Rohos Logon Key, пароль будет записан в зашифрованном виде. Такой ключ не подходит для аутентификации на компьютерах домена. Нажмите справа на кнопку со звездочкой для просмотра пароля в зашифрованном виде. Следует поменять его на незашифрованный в обоих полях и нажать OK:

add_edit_profile

Если мы работаем не в домене, а в рабочей группе, то поле Domain можно оставить пустым. Тогда ключ будет подходить ко всем компьютерам, где содержится такая комбинация логина и пароля.

Если во время создания ключа не вводить пароль, то он не будет храниться на ключе. Тогда пользователь при идентификации будет обязан вводить пароль вручную вместе с ключом. Это сложнее для пользователя, но проще для администратора. Если пользователь поменяет пароль, то администратору не придется перенастраивать USB-ключ.

После создания ключей в программе Rohos Remote config нажмите кнопку Refresh all… В поле под ней появится список ключей и пользователей.

3-й этап. Устанавливаем программу Rohos Logon Key (от версии 3.4 и новее) на все компьютеры, которые следует защитить. Почувствовав, что компьютер является частью домена, программа Rohos Logon Key  считает настройки из базы данных и применит их на том компьютере где она установлена. Теперь созданные в домене ключи будут работать на всех компьютерах домена.

 

 Ограничение доступа на определенные компьютеры(для ключей на основе USB Flash носителей).

  • Для того, чтобы ограничить доступ некоторых пользователей из группы rohos на определенные компьютеры домена, запустите на таком компьютере программу Rohos Logon Key и откройте список пользователей и ключей (команда Users and Keys).

Выделите нежелательного пользователя и нажмите кнопку Block. Его имя окрасится в красный цвет. Это означает что на данном компьютере вход по ключу этого пользователя будет невозможен. Для включения пользователя, следует выделить его имя и нажать кнопку Unblock.


Лицензии Rohos Logon Key для рабочих станций домена:

  • Pro лицензия – для локального доступа к любой рабочей станции домена. Допускается использование RDC при доступе на Windows XP, Vista,7,8. Одby лицензионный ключ можно использовать на трех разных компьютерах домена.
  • Серверная лицензия – специально предназначена для Терминального Сервера. Доступ к Windows 2003, 2008, 2012, 20016 через RDC.