Чтобы дополнительно обезопасить данные предприятия, учетные записи пользователей от несанкционированного доступа, в системе ОСА предусмотрено применение двухфакторной аутентификации (2ФА).
Система ОСА поддерживает применение двухфакторной аутентификации, если сервер работает под управлением следующих ОС:
•Windows 7SP1 / Server2008 R2 SP1 и новее;
•Astra Linux Special Edition версии 1.7 или новее;
•ALT Linux версии 10.2 или новее;
•РЕД ОС версии 7.3 или новее.
Для подключения двухфакторной аутентификации должны быть выполнены следующие условия:
Серверная часть:
1.Установлен криптопровайдер КриптоПРО CSP 5.0.12.
2.Указан путь к каталогу корневых сертификатов.
При установке ОСА по умолчанию указывается каталог хранения корневых сертификатов ./certificates/2fa. Путь к каталогу корневых сертификатов рекомендуется изменить в разделе Двухфакторная аутентификация Редактора настроек.
3.Пользователю, от имени которого выполняется запуск службы AsconCommonWebSvc (для ОС Windows) или asconcommon.web.service (для ОС Linux), предоставлен доступ с правами на чтение к каталогу корневых сертификатов и к файлам сертификатов.
Права доступа к каталогу ./certificates/2fa определяются инсталлятором КОМПЛЕКСА при установке ОСА.
4.Файлы корневых сертификатов, размещенные в каталоге корневых сертификатов и необходимые для проверки личных сертификатов пользователей, должны быть в одной из допустимых кодировок: DER(BINARY), BASE64.
Клиентская часть:
1.Установлен криптопровайдер КриптоПРО CSP 5.0.12. Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на одном рабочем месте с доступом на портал технической поддержки.
2.Установлен плагин КриптоПРО ЭЦП Browser plug-in и включен в браузере.
|
Рекомендуется использовать браузеры, которые не требуют дополнительной настройки после установки плагина. |
3.Установлен драйвер Рутокен ЭЦП 3.0 для работы с сертификатами с неизвлекаемой подписью (Рутокен).
4.Личный сертификат пользователя зарегистрирован в ОС.
|
Информация о пользователе в параметрах личного сертификата должна соответствовать учетным данным (ФИО) этого пользователя в БД ОСА. |
5.На компьютер пользователя в раздел Доверенные корневые центры сертификации должен быть установлен корневой сертификат, необходимый для проверки личного сертификата пользователя.
Использование двухфакторной аутентификации
Включение двухфакторной аутентификации осуществляется путем активации соответствующей опции при настройке учетной записи пользователя (см. раздел документации к приложению Консоль управления ОСА).
При первичном входе в систему ОСА с использованием 2ФА пользователю необходимо зарегистрировать его личный сертификат в БД ОСА.
При регистрации сертификата 2ФА учетные данные (Фамилия, Имя, Отчество) пользователя в БД ОСА сопоставляются с параметрами из сертификата: SN (SurName) — Фамилия, G (GivenName) — Имя и Отчество, CN (CommonName) — наименование субъекта (владельца) сертификата или ФИО пользователя.
Сертификат применяется, если учетные данные пользователя в БД ОСА соответствуют либо параметру CN, либо паре параметров SN и G. В противном случае сертификат не применяется, в связи с чем на экране появляется соответствующее информационное сообщение.
При каждом входе в систему проверяется соответствие сертификата, установленного на компьютер пользователя, сертификату, зарегистрированному в БД ОСА.
Сообщения о неполадках при использовании двухфакторной аутентификации
Сообщение1: |
Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. |
|
|
Сообщение2: |
Не удается построить цепочку сертификатов для доверенного корневого центра. |
Комментарий: |
Некорректно установлен сертификат на компьютере пользователя. |
Рекомендация: |
Проверить сертификат пользователя, используя плагин КриптоПРО ЭЦП Browser plug-in. Выполнить корректную настройку сертификата. |
Сообщение3: |
Не удалось проверить цепочку сертификатов. |
Комментарий: |
•Неудачная проверка сертификата пользователя на сервере. •Отсутствует или недоступен каталог корневых сертификатов на сервере. •Отсутствует файл корневого сертификата на сервере. •Срок действия корневого сертификата истёк. |
Рекомендация: |
Выполнить настройку на сервере согласно инструкции. |
Сообщение4: |
The certificate key algorithm is not supported. *Сообщение может варьироваться в зависимости от используемой ОС. |
Комментарий: |
Не выполняется инициализация КриптоПро CSP на сервере. |
Рекомендация: |
Выполнить установку или переустановку КриптоПро CSP на сервере. |