Rohos Logon Key v3.4 с поддержкой Active Directory
Мы рады сообщить вам о первой публикации больших обновлений программы Rohos Logon Key для Windows. Теперь Rohos Logon Key автоматически определяет наличие окружения Active Directory и использует хранилище Active Directory для хранения настроек, связанных с доменом, списка ключей и пользователей. Мы полностью переделали программы Rohos Remote Config и Rohos Key manager.
Что нового в Rohos management Tools
Добавлена поддержка Active Directory Application Partition. Появилось централизованное управление настройками домена и списком устройств доступа.
Список изменений:
- Программа Rohos Remote Config теперь автоматически создает и руководит базой данных Rohos в Active Directory.
- Теперь вы можете поменять любую настройку Rohos Logon Key во всем домене, и это будет немедленно применено при следующем входе на любую рабочую станции в сети.
- Rohos Remote Config отображает список разрешенных устройств аутентификации по серийному номеру и назначенному имени пользователя, и позволяет удалять или блокировать ключ в списке.
- Rohos Key Manager позволяет создавать ключ аутентификации и автоматически сохраняет его серийный номер и имя пользователя в списке ключей, расположенном в базе данных Rohos в Active Directory.
Настройки домена включают: тип политики 2-факторной аутентификации (Для всех пользователей, по группам, по IP-адресу), тип допустимых устройств, Вопросы и ответы аварийного входа, Настройки Rohos Logon, и т. д.
Что нового в Rohos Logon Key:
Rohos Logon автоматически определяет наличие Active Directory во время установки и использует ее настройки из базы данных домена:
- Каждый раз во время процедуры аутентификации пользователя , Rohos считывает настройки из Active Directory.
- При каждой попытке 2-факторной аутентификации Rohos проверяет серийный номер носителя, используя список разрешенных устройств из базы данных Active Directory.
Эти изменения не влияют на функциональность Rohos при использовании на персональных ПК на Windows 7/8/10.
Application Partition (база данных)
Rohos использует преимущество технологии хранения данных, предоставленной MS Active Directory, используя прикладной раздел (Application Partition) для хранения всех данных пользователей и обще-системных настроек. Windows Server хранит эту базу данных и также использует этот метод для хранения каталога AD.
При первой установке Rohos Managements Tools на контроллере домена будет автоматически создан это прикладной раздел. Rohos не добавляет и не меняет каких-либо системных свойств «пользователя» или других встроенных объектов в Active Directory. Все данные Rohos хранятся отдельно только на прикладном разделе Rohos. Импорт элементов схемы Rohos не окажет влияние на существующие объекты и настройки репликации, поскольку эти объекты не будут затронуты.
Название раздела Rohos: «DC=Rohos,DC=Com». Вы можете посмотреть и поменять содержимое разделас помощью программы ADExplorer от Microsoft.
Обратите внимание, удаление программы Rohos не удаляет прикладной раздел Rohos в Active Directory. Вы можете удалить его только вручную, используя утилиту ntdsutil.exe от MS.
Программа Rohos Remote Config
При первом запуске Rohos Remote Config, программа автоматически подключается к настройкам Active Directory на локальной машине и предлагает создать прикладной раздел Rohos Application Partition (базу данных) и сохранить там настройки Rohos по умолчанию.
Внимание: Для того чтобы запустить Rohos Remote Config в первый раз, нужны права администратора домена и администратора схемы домена.
Системные требования:
- Windows 2008 R2 / 2012 / 2016 Domain Controller
- Привилегии Domain Administrator и Domain Schema Administrator для запуска Rohos Remote Config в первый раз.
Устранение неисправностей
В случае проблем нажмите кнопку Troubleshooting чтобы послать нам файлы отчетов об ошибках.
Список устройств, используемых в качестве аппаратного ключа
В настоящее время полностью поддерживаются следующие устройства:
- USB flash drive
- PKCS#11 совместимые HSM токены, такие как iKey, eToken и т.д.
- MiFare RFID метки
- Yubikey
Ведется работа по добавления других устройств и технологий одноразовых паролей для Active Directory.
Как настроить систему при помощи Rohos Management Tools
- Загрузите и установите этот пакет на контроллер домена.
- Запустите программу Rohos Remote Config и создайте базу данных в Active Directory.
Внимание: Убедитесь, что ваш административный аккаунт имеет разрешения Domain Schema Administrator. - Настройка параметров :
- Выберите тип устройства, который будет использоваться на рабочих станциях в качестве ключа;
- Выберите политику 2FA: Для всех пользователей, для группы пользователей, для пользователей Remote Desktop;
- Создайте группу пользователей и введите ее имя в поле “2FA user group name”, если вы используете политику для группы пользователей;
- Введите “2FA filter for Remote Desktop login” если вы хотите применить 2FA по IP-фильтру. Пример фильтра: “192.168.,192.56.”
- Введите “1FA filter for Remote Desktop login” если вы хотите отключить IP-фильтр;
- Настройте аварийный вход если вам нужно иметь запасной путь на случай утери аппаратного ключа;
- Нажмите кнопку “Save Settings” для сохранения настроек и применения их к рабочим станциям где установлена программа Rohos Logon Key.
- Нажмите кнопку “Rohos Key Manager” чтобы начать создавать ключи аутентификации.В случае OTP следует установить на контроллере домена программу Rohos Logon Key и создать там OTP для всех пользователей. В настоящее время существует возможность автоматического создания OTP для группы пользователей в Active Directory и отправки им по e-mail. Подробнее об этом…
- После завершения следует перезагрузить рабочие станции для подключения к обновленной базе данных;
- Готово.
Примечание: На рабочей станции также возможно создание ключей в программе Rohos USB key manager, но только в случае если ключем является USB Flash накопитель. Для этого предварительно нужно запустить программу Rohos Remote config и убедиться что настройки синхронизированы с базой данных.
Загрузить Бета-версии: