Портал документации Рутокен

Page tree

Rutoken KeyBox Client Tools – клиентский компонент Rutoken KeyBox, необходимый для разблокировки устройств, которые используются для аутентификации в ОС Windows в режимах онлайн и офлайн, и для разблокировки устройств, которые не используются для входа в ОС.

Установите Rutoken KeyBox Client Tools на рабочие станции пользователей. Запустите файл Keybox.Client.Tools-<номер версии>.ru-ru.msi из каталога CM.Client дистрибутива системы и выполните установку, следуя указаниям мастера.

Разблокировка устройств реализована в двух режимах: 

В онлайн-режиме рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером Rutoken KeyBox. Соединение с сервером необходимо для аутентификации пользователя с помощью ответов на секретные вопросы.

Для связи рабочих станций пользователей с сервером Rutoken KeyBox при онлайн-разблокировке рекомендуется использовать защищенное соединение https.

В офлайн-режиме оператор Rutoken KeyBox разблокирует устройство по принципу аутентификации вида запрос-ответ (challenge-response authentication mechanism).

При исчерпании заданного числа попыток ввода PIN-кода пользователь получает сообщение о блокировке устройства и уникальный 16-символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону) и подтвердить свою личность.

Настройка онлайн-разблокировки устройств

Настройте разблокировку устройств через групповые политики или реестр Windows (для рабочих станций вне домена Windows).

Для включения возможности онлайн-разблокировки устройств настройте соответствующую групповую политику. Эта политика должна распространяться на рабочие станции пользователей Rutoken KeyBox.

Добавьте административные шаблоны компании Актив

  1. Скопируйте содержимое каталога CM.Client\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.

    При использовании локального хранилища ADMX-файлов поместите шаблоны компании Актив в C:\Windows\PolicyDefinitions.

  2. Откройте консоль Управление групповой политикой (Group Policy Management).

  3. В дереве окна консоли создайте новый объект групповой политики, или выберите существующий.
  4. Вызовите контекстное меню и выберите пункт Изменить (Edit).
  5. В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration) → Политики (Policies) → Административные шаблоны (Administrative Templates) → Rutoken KeyBox → Client .
  6. Включите политику Сервер разблокировки смарт-карт (Smart card unlocking server) и укажите ее значения:
    • в параметре URL сервиса (Service URL) укажите ссылку на компонент credprovapi, размещенный на сервере Rutoken KeyBox: https://<FQDN сервера Rutoken KeyBox>/keybox/credprovapi;
    • в параметре Проверять сертификат сервера (Verify server certificate) установите значение Да, если необходимо проводить проверку подлинности сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.
  7. Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Rutoken KeyBox.
  8. Нажмите Применить (Apply) и обновите политики.

При необходимости настройте дополнительные политики, определяющие работу сервиса разблокировки.

ПолитикаПараметры
Задать разъяснения для офлайн-разблокировки (Set explanations for offline unlocking)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, то при офлайн-разблокировке устройства текст разъяснения в Credential Provider не отображается.

Если политика включена, то при офлайн-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Rutoken KeyBox
Credential Providers: Отключить обертку стандартного провайдера смарт-карт (Credential Providers: Disable smart card standard provider wrapping)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, пользователь имеет возможность выполнить разблокировку смарт-карты в стандартном интерфейсе входа в ОС Windows по смарт-карте.

Если политика включена, то отдельная опция для разблокировки смарт-карты будет отображаться на экране входа в ОС. Такая настройка может быть использована в ситуации, когда на рабочей станции установлено стороннее ПО, запрещающее разблокировку карты через стандартный Credential Provider
Credential Providers: Скрывать опцию "Выключить смарт-карту" (Credential Providers: Hide the "Disable the smart card" option)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, пользователь имеет возможность выполнить выключение смарт-карты в интерфейсе входа в ОС Windows.

Если политика включена, то опция для выключения смарт-карты не будет отображаться на экране входа в ОС

Если сервер Rutoken KeyBox и рабочие станции пользователей находятся вне домена Windows, пропишите путь к приложению credprovapi в реестре каждой клиентской рабочей станции.

Для этого создайте файл реестра REG со следующим содержанием:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\CM\Client]
"CredProvAPIURL"=""
"AdminDetails"=""
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000000
"DisableWrapperCP"=dword:00000000
  • CredProvAPIURL: задайте адрес приложения credprovapi на сервере Rutoken KeyBox.
  • AdminDetails: задайте текст разъяснения для пользователя.
  • DisableServerCertificateChecking: установите значение 0 (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера Rutoken KeyBox. Установите 1 (dword:00000001), если проверку подлинности проводить не требуется.
  • DisableSuspendCP: установите значение 0 (значение по умолчанию), если в интерфейсе входа в ОС необходимо отображать опцию Выключение смарт-карты или значение 1 (dword:00000001), если опцию Выключение смарт-карты отображать не требуется.
  • DisableWrapperCP: установите значение 0 (значение по умолчанию), если необходимо выполнять разблокировку смарт-карты с использованием стандартного Credential Provider. Установите значение 1 (dword:00000001), если необходимо использовать отдельный Credential Provider.
Пример файла REG
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\CM\Client]
"CredProvAPIURL"="https://server.demo.local/keybox/credprovapi"
"AdminDetails"="Свяжитесь с администратором по внутреннему номеру 1607"
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000001
"DisableWrapperCP"=dword:00000001

В примере указано имя машины server.demo.local, включена проверка подлинности сертификата сервера, отключено отображение кнопки Выключить смарт-карту и включена опция разблокировки смарт-карты в отдельном Credential Provider на экране входа в ОС.


  • No labels