Система Zlogin предназначена для двухфакторной аутентификации пользователей сети
с использованием электронных ключей. Вместо пароля пользователь должен
предъявить электронный USB-ключ и ввести PIN-код.
Zlogin предоставляет пользователям возможность аутентификации в следующие
системы:
- Домен NT (сервер Windows NT);
- Active Directory (сервер Windows 2000/2003);
- NDS/eDirectory (сервер Novell NetWare 4.x-6.x);
- SAMBA (сервер Linux);
- Локальные рабочие станции Windows NT/2000/XP.
Кроме этого, Zlogin обеспечивает аутентификацию пользователей, использующих
для доступа к сетевым ресурсам терминальные службы:
- Microsoft Windows Terminal Services;
- Citrix MetaFrame;
Установка и администрирование
Система Zlogin представлена в виде двух установочных модулей:
- Клиентская часть, которая непосредственно осуществляет аутентификацию
пользователя. Этот модуль должен быть установлен на все компьютеры сети, где
планируется использовать вход в сеть с использованием электронного ключа. При
этом для развертывания системы на большое число рабочих мест, возможна
автоматическая установка без участия пользователя.
- Модуль администрирования, который необходим для управления
аутентификационными данными, хранящимися в памяти ключа. Данный модуль
достаточно установить на рабочую станцию системного администратора. Доступ к
нему осуществляется через оснастку "Управление компьютером" ("Manage Computer")
Подготовкой к работе системы является создание профилей пользователей и
запись их на электронный ключ с помощью модуля администрирования. Эта операция
осуществляется с помощью мастера создания профилей.
На первом этапе мастера создания профилей администратор сети указывает
учетные записи, которые необходимо включить в профиль. Профиль может состоять из
одной учетной записи для аутентификации в Windows (домен или локально) и учетной
записи NDS (опционально).
На втором этапе происходит генерация нового пароля для выбранного
пользователя и запись в ключ информации, необходимой для аутентификации
пользователя при входе в сеть (имя пользователя, пароль), а также дополнительной
служебной и конфигурационной информации. После этой операции пользователь не
сможет войти в сеть без ключа, поскольку пароль его учетной записи будет сменен.
При необходимости можно создавать на одном ключе несколько профилей, тогда
пользователю перед входом в сеть будет предоставлен выбор из списка профилей,
хранящихся в ключе. Также модуль администрирования позволяет редактировать
созданные профили и удалять их из памяти ключа.
Принцип работы системы Zlogin
После загрузки операционной системы пользователю предлагается вставить ключ и
ввести PIN-код. После ввода правильного PIN-кода система считывает с
электронного ключа профиль пользователя и осуществляет аутентификацию сначала в
Windows-домен или локально на рабочую станцию, и, если эта операция завершена
успешно, в NDS (если в профиле имеются соответствующие данные). Если ни один из
серверов NDS не доступен, то пользователь может продолжить работу в Windows без
доступа к соответствующим ресурсам NetWare.
Кроме того, сохраняется возможность "парольного" входа в сеть с
использованием имени учетной записи и пароля, что позволит использовать данный
компьютер пользователям, не имеющим электронный ключ.
При извлечении электронного ключа система Zlogin может, в зависимости от
настроек, либо заблокировать консоль компьютера, либо осуществить выход из сети
(logout). Для разблокировки консоли потребуется снова подключить тот же ключ и
ввести правильный PIN-код.
Система Zlogin осуществляет автоматическую перегенерацию пароля с
периодичностью, заданной в свойствах учетной записи домена или NDS.
Zlogin также может использоваться совместно с системой Novell Modular
Authentication Service (NMAS) и применять для входа в сеть метод Universal
SmartCard Login и цифровые сертификаты X.509.
Безопасность
Система Zlogin не только упрощает аутентификацию пользователя в сети, не
требуя запоминать пароли, но и повышает безопасность сети в целом. Это
происходит благодаря следующим факторам:
- Пароль генерируется по специальному алгоритму и состоит из произвольных
букв, цифр и спецсимволов. Таким образом, он максимально устойчив к подбору;
- Пароли пользователей перегенерируются автоматически согласно политикам
учетных записей домена/NDS без участия пользователя;
- Настройки блокировки консоли устанавливаются в доменной политике
безопасности;
- Профили пользователя хранятся в защищенной PIN-кодом области электронного
ключа, что предотвращает использование ключа посторонними лицами в случае его
утери или кражи.
Характеристики
Многофакторная аутентификация с помощью электронного ключа и PIN-кода.
- Использование в качестве электронных идентификаторов смарт-карт и
USB-ключей;
- Минимизация «человеческого фактора». Система освобождает пользователей от
необходимости запоминать длинные пароли и периодически придумывать новые пароли
при их смене;
- Централизованное управление системой через службу каталога – Microsoft
Active Directory или Novell NDS/eDirecory;
- Возможность использования совместно с Novell Modular Authentication Service
(NMAS), интеграция с Novell Certificate Server и инфраструктурой открытых ключей
PKI;
- Возможность использования одного электронного ключа для доступа к разным
сетям и приложениям.
Системные требования
- Windows 2000/XP/2003;
- Клиентское ПО Novell NetWare для аутентификации в сетях NDS;