Главная Security, Новое Аутентификация и одноразовые пароли Часть 2. Внедрение OTP для аутентификации в AD
  • Аутентификация и одноразовые пароли Часть 2. Внедрение OTP для аутентификации в AD

    otp_screenshotВ предыдущей части статьи  были рассмотрены теоретические основы технологии одноразовых паролей. Теперь поговорим о практике их внедрения в рамках рабочей
    среды предприятия. Переход к аутентификации на основе одноразовых паролей обычно происходит в ситуации, когда приходит понимание, что стандартные долговременные пароли недостаточны с точки зрения безопасности и при этом возможности использования смарт-карт ограничены, например, в ситуации массового применения мобильных клиентов.

     

    Существуют два основных подхода к формированию значений одноразовых паролей (OTP):

    1. Синхронизация по событию – очередное значение OTP высчитывается на основе того значения, которое было использовано для предыдущей успешной аутентификации. Таким образом, учитывается число предварительно сгенерированных OTP.
    2. Синхронизация по времени – значения OTP зависят от значения текущего времени. Число предварительно сформированных OTP не влияет на генерацию значения текущего OTP.

    Впрочем, это не означает, другие технологии вовсе не применяются, однако они не будут рассматриваться в статье. Всегда возможно задать настройки, в соответствии с которыми пользователь для успешной аутентификации вместе со значением OTP должен ввести PIN-код для OTP и/или пароль Windows. Таким образом, даже если устройство с поддержкой OTP попадет в руки злоумышленника,он не сможет им воспользоваться, поскольку не знает пароля или PIN-кода, речь в этом случае идет уже о двухфакторной аутентификации. В настоящий момент существует несколько весьма популярных производителей средств OTP: SafeNet, RSA,Gemalto и т.д. В статье для рассмотрения выбраны именно OTP первой компании:

     

    • во-первых, поскольку они наиболее распространены на российском рынке;
    • во-вторых, в их продуктовой линейке присутствуют комбинированные устройства (eToken NG OTP), сочетающие функционал генератора одноразовых паролей со смарт-картой;
    • в-третьих, поддерживают синхронизацию по событию и наконец сертифицированы ФСТЭК. Сочетание этих особенностей делает использование OTP-устройств от SafeNet весьма привлекательным.Следует иметь в виду, что внедрение одноразовых паролей на основе технологий компании SafeNet подразумевает развертывание и настройку системы управления жизненным циклом средств аутентификации SafeNet Authentication Manager (SAM 8.0 SP3) и ряда дополнительных компонент, о которых мы поговорим ниже.
       

    В статье не рассматривается работа с системой SAM 8.0, список дополнительных материалов содержит указания на необходимые для работы с ней руководства.

     

    Основные сценарии внедрения OTP на основе технологий компании SafeNet

    Поддерживается несколько основных сценариев использования технологии одноразовых паролей. Рассмотрим таблицу №1

     

    Сценарий

    Описание

    Аутентификация на RADIUS-клиенте

    Пользователь предоставляет значение OTP RADIUS-клиенту (клиентскому приложению). Данный сценарий подразумевает установку на сервере IAS/NPS модуля поддержки OTP из состава SAM.

    Аутентификация в Microsoft OWA

    Пользователь предоставляет значение OTP для доступа к Microsoft Outlook Web Access/Outlook Web App (OWA).

    Данный сценарий подразумевает установку на сервере модуля поддержки OTP для IAS/NPS и модуля поддержки OTP для Microsoft OWA из состава SAM.

    Аутентификация для доступа к ресурсам на сервере IIS

    Пользователь предоставляет значение OTP для доступа к веб-приложению на сервере IIS.

    Данный сценарий подразумевает установку модуля поддержки OTP для IIS из состава SAM.

    Аутентификация для входа в домен Windows

    Пользователь предоставляет значение OTP для входа в корпоративную сеть (домен Windows).

    Данный сценарий подразумевает установку на клиентских компьютерах ПО Network Logon, которое не входит в поставку SAM.

     

    Предварительный этап. Что следует сделать перед внедрением OTP?

    Для внедрения аутентификации на основе одноразовых паролей потребуется выполнить комплекс предварительных действий.

     
    Шаг 1. Следует выбрать сценарий или сценарии внедрения (см. таблицу 1). В зависимости от выбранного типа аутентификации определяется набор компонент, которые потребуется установить. Основным компонентом будет SafeNet Authentication
    Manager. Список дополнительных компонент определяется задачами аутентификации.
    Шаг 2. Необходимо проверить соответствие используемого оборудования системным требованиям.
    Шаг 3. Если в рамках внедрения предполагается использование виртуальных токенов или параллельно с внедрением двухфакторной аутентификации требуется внедрение аутентификации на основе технологий асимметричной криптографии с помощью смарт-карт и USB-ключей, то необходимо развернуть eToken PKI Client/SafeNet Authentication
    Client. Впрочем, это не будет представлять сколько-нибудь серьезных проблем для администраторов. Поскольку процесс установки клиентского ПО может быть легко автоматизирован за счет применения групповых политик AD, возможности работы с помощью командной строки (скрипты по развертыванию ПО), применения иных средств автоматизации процесса управления ППО, например, SCCM. Все вышеупомянутые варианты могут быть использованы при развертывании указанного ПО.
    Установка клиентского ПО не потребуется на тех компьютерах, на которых не будут производиться инициализация и выпуск eToken, разумеется, здесь имеются в виду
    устройства eToken PASS, eToken NG-OTP и eToken NG-OTP (Java) при отсутствии потребности в применении функционала смарт-карты, то есть когда речь идет только лишь об использовании генератора OTP и непосредственное подключение устройства к компьютеру не требуется.
    Шаг 4. Следующим этапом будет развертывание, обновление и настройка ПО управления смарт-картами и USB-ключами SafeNet Authentication Manager. В процессе настройки SAM потребуется сообщить всем рабочим станциям и серверам, вовлеченным в работу со средства ми аутентификации SafeNet, имя сервера SAM и сервера Desktop Agent. Служба Desktop Agent работает, только если в качестве хранилища пользователей используется Active Directory или экземпляр ADAM (AD LDS). Если выбранный сценарий развертывания не подразумевает установку eToken PKI Client/SafeNet Authentication Client, в настройке Desktop Agent нет необходимости.

    Выполнение этой задачи осуществляется с помощью групповых политик AD, однако для того, чтобы указанные настройки появились в списке доступных, потребуется добавить соответствующий административный шаблон, распространяемый с дистрибутивом SAM.  Далее выполняется настройка веб-службы OTP и в зависимости от выбранного на первом этапе сценария (см. таблицу 1) устанавливается тот или иной набор компонент.

     

    Общие действия при настройке OTP

    1. Нам предстоит выполнить настройку веб-службы OTP.
    2. Установить необходимый набор дополнительных компонент.
    3. Осуществить настройку политик управления токенами
    (Token Policy Object (TPO).

     

    Настройка веб-службы OTP

    OTP-сервис работает как веб-служба, с помощью которой устанавливаются все параметры поведения одноразовых паролей. Ее настройка осуществляется с помощью
    Configuration Manager, вызов которого выполняется из меню
    приложений SafeNet:

    «Пуск → Все программы → SafeNet →SafeNet Authentication Manager → Configuration Manager».
    Весь процесс происходит в консоли, привычной любому администратору Windows-систем.
    С помощью панели управления мастера настройки (Configuration Manager) вызывается настройка веб-службы OTP (OTP Web Service, см. рис.1). Элементы настройки OTP приводятся в таблице 2.

    clip_image001

    Рис. 1.

     

    Таблица 2

     

    Элемент интерфейса

    Описание

    Blank Presses

    (Синхронизация по событию)

    Диапазон значений OTP с синхронизацией по событию, которые будут проверяться во время аутентификации пользователя. (Количество допустимых “пустых” нажатий пользователем.)

    Blank Presses Resync

    (Ресинхронизация по событию)

    Диапазон пар значений OTP, который будет проверяться, в случае если OTP не совпадает ни с одним значением из диапазона Blank Presses (Синхронизация по событию). В этом случае пользователь должен будет предъявить два правильных значения OTP подряд.

    Time Sync

    (Синхронизация по времени)

    Допустимая разница во времени (в сторону увеличения) между системой и eToken OTP. Единица увеличения значения времени равна 30 секундам.

    Значение по умолчанию: 30

    (То есть в данном случае 30×30=900 секунд.)

    Time Resync

    (Ресинхронизация по времени)

    Диапазон пар значений OTP, который будет проверяться, в случае если OTP не совпадает ни с одним значением из диапазона Time Sync (Окно синхронизации по времени). Единица увеличения значения времени равна 30 секундам. (То есть в данном случае 100×30=3000 секунд.)

    Authentication Retries

    (Попытки доступа)

    Количество неудачных попыток аутентификации перед блокированием eToken.

    Audit Condition

    (Условия аудита)

    Выбранное значение определяет, какое событие будет включено в отчет аудита. Список содержит следующие значения:

    OnFailure (В случае неудачи) – в аудит включаются только попытки неудачной аутентификации.

    Always (Всегда) — в аудит включаются все попытки аутентификации.

    Never (Никогда) – в аудит не включаются никакие данные об аутентификации по OTP.

    Max Delayed DB Updates

    (Максимум задержек обновления БД)

    Максимальное число накопленных записей обновления перед записью в базу данных SAM. Данная настройка позволяет экономить системные ресурсы в периоды пиковой активности.

    Exclude Group Check

    (Проверка групп исключения

    Параметры проверки групп исключения, к которым не будет применяться аутентификация по OTP. Список содержит следующие значения:

    Disabled (Отключено) – проверка групп исключения отключена.

    Default (Стандартное) – исключить всех членов групп исключения и дочерних групп. Все пользователи, входящие в группы верхнего уровня, буду проверяться при каждой аутентификации.

    DefaultFlat (Без наследования) — исключить всех членов групп исключения, но не исключать членов дочерних групп.

    Preload (До загрузки) – исключить всех членов групп исключения, данные о которых содержатся в хранилище служебной информации SAM, но не обновлять список исключения. См. также Preload Groups Refresh (Обновление списка исключения).

    Token (eToken) – исключить все eToken, отмеченные в хранилище служебной информации SAM как члены группы исключения. Данная информация обновляется службой Backend Service.

    Exclude Groups

    (Группы исключения)

    Содержит список групп исключения, для которых отключена возможность аутентификации по OTP. Чтобы добавит группу в список исключения, воспользуйтесь кнопкой New (Создать).

    Preload Groups Refresh

    (Обновление списка исключения)

    Если в списке Exclude Group Check (Проверка групп исключения) выбран пункт Preload (До загрузки), данный параметр определяет временной интервал (в минутах) между обновлением групп исключения в веб-службе OTP.

    NetBIOS

    (Имя NetBIOS)

    Список согласования имени NetBIOS и имени домена. Чтобы создать новое согласование, нажмите New (Создать). Чтобы удалить существующее согласование, нажмите Remove (Удалить).

     

    Установка дополнительных модулей для работы с OTP. Компоненты для работы с AD DS.

    Чтобы установить модуль или модули для поддержки OTP
    к серверу SAM, нам следует запустить пакет установки модулей для OTP – SafeNetOTPAuthenticationPlugIns-SetupManager-8.0-SP3.exe на соответствующем сервере
    (см. рис. 2). В списке выбора компонент для OTP приводится перечень доступных видов аутентификации, при этом нет никаких упоминаний об аутентификации в AD. А именно это для нас наиболее важная составляющая (см. рис. 2).

    clip_image001[4]

    Рис. 2.

    Чтобы обеспечить возможность входа пользователей в домен Windows с использованием OTP, потребуется развернуть Network Logon версии 8.0 или выше на всех компьютерах, с которых будет производиться вход в домен. Назначение этого программного средства – обеспечить
    аутентификацию в службе каталога AD с использованием eToken и одноразовых паролей. Стоит отметить, что возможности Network Logon – это не только поддержка использования одноразовых паролей, а в том числе и обеспечение двухфакторной аутентификации на основе USB-ключей и смарт-карт даже при отсутствии инфраструктуры открытых ключей. Так что его внедрение позволит в дальнейшем
    обеспечить развитие системы в целом с точки зрения информационной безопасности.
    Процесс установки SafeNet Network Logon также просто автоматизировать с помощью сценариев, групповых политик и т.д. Следующим немаловажным шагом будет обеспечение безопасного SSL-доступа к веб-службе OTP.

     

    Настройка SSL-доступа к веб-службе OTP

    Необходимо подготовить запрос сертификата сервера к удостоверяющему центру, что выполняется с помощью консоли управлении IIS (Диспетчер служб IIS) из меню «Сертификаты сервера» (см. рис. 3).

    clip_image002

    Рис. 3.

    В колонке «Действия» следует выбрать ссылку «Создать сертификат домена».
    Далее при формировании запроса сертификата заполняются все необходимые поля, особенно важно правильно указать имя сервера и тип сертификата.
    После успешного издания сертификата он отобразится в списке «Сертификаты сервера» (см. рис. 4).

    clip_image002[4]

    Рис. 4.

    Затем, воспользовавшись панелью «Подключения», потребуется привязать SSL к нужному сайту, таковым может быть сайт, используемый по умолчанию, как это показано в нашем примере:
    В панели «Подключения» разверните ветвь сервера и выберите «Сайты → Default Web Site».
    В панели «Действия» выбирается ссылка «Привязки».
    В этом окне нажмите «Добавить».
    В поле «Тип» выберите https (см. рис. 5).

    clip_image001[6]

    Рис. 5.

    В списке «Сертификаты SSL» выберите созданный сертификат домена и нажмите OK.
    В панели «Подключения» слева выберите Default Web Site → otpauthentication и в центральной части окна сделайте двойной щелчок на иконке «Параметры SSL»
    (см. рис. 6).

    clip_image002[6]
    Рис. 6.

    В центральной части окна установите флажок «Требовать» и выберите пункт «Игнорировать» (см. рис. 7).

    clip_image002[8]

    Рис. 7.

    Установите корневой сертификат (или цепочку сертификатов) удостоверяющего центра в хранилище доверенных корневых центров сертификации локального компьютера на всех компьютерах, с которых будет производиться вход в домен Windows по OTP.
    Проверьте доступность веб-службы OTP – для этого в адресной строке обозревателя Интернета введите следующий адрес:

    https://<имя сервера SAM>/otpauthentication/service.asmx.

    Убедитесь в том, что страница службы отображается без предупреждений в браузере клиентского компьютера.
    Итак, мы завершили очередной этап настройки, и теперь нам потребуется внести изменения в структуру объектов групповых политик и, собственно говоря, настроить
    политику, в соответствии с которой будет работать Network Logon.

     

    Установка и настройка административного шаблона из состава Network Logon

    Файл административного шаблона устанавливается вместе с приложением Network Logon и по умолчанию находится по последующему пути для ОС Windows от Vista и выше: C:\Program Files\SafeNet\Authentication\SNL\ADMX\SafeNetNetworkLogon.admx.
    Следует иметь в виду, что для более ранних операционных систем, например, Windows 2003, также существует возможность использования политик для настройки OTP, однако для этой цели будут использованы соответствующие им *.adm-файлы, которые входят в состав дистрибутива Network Logon.

    Для шаблона admx также необходим языковый файл SafeNetNetworkLogon.adml, который находится в каталоге: C:\Program Files\SafeNet\Authentication\SNL\ADMX\en-US.
    Рассмотрим установку шаблона SafeNetNetworkLogon.
    admx для Windows 2008. Скопируйте файл административного шаблона и соответствующий ему языковый файл на сервер SAM или на любой другой сервер, с которого доступно редактирование доменных групповых политик. Файл SafeNetNetworkLogon.admx необходимо поместить в папку

    C:\Windows\Sysvol\Domain\Policies\PolicyDefinitions, а файл SafeNetNetworkLogon.adml – в C:\Windows\Sysvol\Domain\Policies\PolicyDefinitions\en-US.

     

    Настройка административного шаблона из состава Network Logon

    Чтобы внести необходимые изменения в административный шаблон из состава Network Logon, выполняются следующие действия (SafeNetNetworkLogon.admx, Windows
    Server 2008):
    Из командной строки выполните команду gpmc.
    В отобразившемся окне выберите нужный домен, щелкните правой кнопкой на Default Domain Policy (Политика домена по умолчанию) и выберите «Изменить». Разумеется, объект групповой политики может быть и иным. Здесь Default Domain Policy приводится просто в качестве примера.

    В отобразившемся окне выберите «Конфигурация компьютера → Политики → Административные шаблоны → SafeNet Network Logon → OTP Settings (Настройки
    OTP).

    clip_image002[10]

    Рис. 8.

    Двойным щелчком откройте настройки политики Authentication Mode (Режим аутентификации).
    В отобразившемся окне выберите «Включить» и в списке Authentication Mode (Режим аутентификации) выберите один из вариантов, руководствуясь таблицей 3.

     

    Таблица 3.

    Политика Authentication mode
    (Режим аутентификации) шаблона SafeNetNetworkLogon.admx / Описание

    Соответствующие настройки коннектора
    для OTP в редакторе TPO

    OTP only

    (Только OTP)

    Для входа пользователь должен ввести только значение OTP.

    1. Authentication code (Параметры аутентификации) > OTP Only (Только OTP)

    2. Manage Windows password for Network Logon (Управлять паролем Windows для Network Logon) > Enabled (Включено)

    OTP PIN and OTP

    (PIN-код для OTP и OTP)

    Для входа пользователь должен ввести PIN-код для OTP и значение OTP.

    3. Authentication code (Параметры аутентификации) > OTP PIN and OTP (PIN-код для OTP и OTP)

    4. Manage Windows password for Network Logon (Управлять паролем Windows для Network Logon) > Enabled (Включено)

    Windows password (for SAM) and OTP

    (Пароль Windows для SAM и OTP)

    Для входа пользователь должен ввести пароль Windows и значение OTP. При этом пароль Windows проверяется как SAM, так и стандартными средствами Windows.

    5. Authentication code (Параметры аутентификации) > Windows password and OTP (Пароль Windows и OTP)

    6. Manage Windows password for Network Logon (Управлять паролем Windows для Network Logon) > Disabled (Отключено)

    Windows password and OTP

    (Пароль Windows и OTP)

    Для входа пользователь должен ввести пароль Windows и значение OTP. При этом Пароль Windows проверяется только стандартными средствами Windows.

    7. Authentication code (Параметры аутентификации) > OTP Only (Только OTP)

    8. Manage Windows password for Network Logon (Управлять паролем Windows для Network Logon) > Disabled (Отключено)

    Windows password and OTP PIN and OTP

    (Пароль Windows, PIN-код для OTP и OTP)

    Для входа пользователь должен ввести пароль Windows, PIN-код для OTP и значение OTP. При этом пароль Windows проверяется только стандартными средствами Windows.

    9. Authentication code (Параметры аутентификации) > OTP PIN and OTP (PIN-код для OTP и OTP)

    10. Manage Windows password for Network Logon (Управлять паролем Windows для Network Logon) > Disabled (Отключено)

     

    • Настройки данной политики должны совпадать с на стройками коннектора для OTP в редакторе TPO.
    • Сохраните настройки, нажав OK.
      Двойным щелчком откройте настройки политики OTP Web Servers (веб-серверы OTP).
    • Выберите «Включить» и в поле OTP Web Servers (веб серверы OTP) введите следующий адрес:https://<NetBIOS-имя сервера SAM>/otpauthentication/service.asmx. 
    • Сохраните настройки, нажав OK.

     

    Подведем итоги…

    Итак, мы выполнили все необходимые этапы и готовы к использованию технологий одноразовых паролей для аутентификации в службе каталога AD. Следует отметить, что для устаревших систем на основе Windows Server 2000/2003 процесс настройки практически ничем не будет отличаться от показанного в настоящей статье. Повысить уровень безопасности инфраструктуры предприятия за счет использования технологий безопасной аутентификации возможно не только в рамках современных операционных систем, но и при работе с устаревшими системами. Это очень актуально, когда нам приходится сталкиваться с тем, что пользователи повсеместно предпочитают мобильный стиль работы и мы заранее не можем предсказать с каким клиентским оборудованием нам предстоит столкнуться.

     

    Список литературы.

    [1] Шапиро Л. В. Аутентификация на основе одноразовых паролей Теоретические основы. Часть 1 //«Системный администратор», №9, 2012 г.

    [2] Шапиро Л. В. Active Directory Domain Services. Двухфакторная аутентификация. Теоретические основы. //«Системный администратор», №7-8, 2010 г. – С. 100-105.

    [3] Аутентификация, теория и практика обеспечения безопасного доступа к информационным ресурсам. – М., 2009, ISBN 978-5-9912—0110-0.

    [4] SafeNet Authentication Manager. Настройка аутентификации по OTP.

    [5] http://technet.microsoft.com/ru-ru/library/jj134229.

    [6] http://technet.microsoft.com/en-us/library/ee809064.aspx.

    [7] http://technet.microsoft.com/en-us/library/hh831379.aspx.

    [8] http://www.aladdin-rd.ru/catalog/etoken/.

     

    Статья опубликована в журнале “Системный администратор”

    • Рубрика: Security,Новое
    • Автор: Леонид Шапиро
    • Дата: Суббота 15 Дек 2012

Опубликовать

Я не робот.