Indeed AM Hardware HOTP Provider

Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS: VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др. Подробную информацию об устройстве eToken PASS вы можете получить на официальном сайте компании Aladdin.

В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password – OTP). Этот алгоритм основан на алгоритме HMAC и хеш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра – секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе Indeed. Счетчик в устройстве увеличивается при каждой генерации OTP, на сервере – при каждой удачной аутентификации по OTP. 

Идентификатор провайдера

{631F1011-2DEE-47C5-95D8-75B9CAED7DC7}

Установка провайдера Hardware HOTP

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение hotp.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM HOTP Provider\<Номер версии> запустите пакет IndeedAM.AuthProviders.HOTP-<номер версии>.<разрядность>.ru-ru.msi.

2. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates.

Настройка провайдера HOTP в Management Console

Для настройки Hardware HOTP в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Hardware HOTP.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
2. В секции Доступные пользователю действия выполните следующие настройки:
   • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
   • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
   • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, перейдите в секцию Настройки блокировки аутентификатора и выполните следующие настройки:

1. Разрешите или заблокируйте использование Hardware HOTP в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройки одноразового пароля

Чтобы настроить генерацию одноразового пароля, выполните следующее:

1. Перейдите в секцию Настройки OTP.
2. В настройке Количество периодов сравнения укажите, сколько периодов обновления OTP должно пройти, по истечении которых пароль будет считаться недействительным.
3. В настройке Окно синхронизации задайте значение счетчика при синхронизации.

Добавление устройства

Информация

Одно устройство может быть зарегистрировано только для одного пользователя

Для добавления устройства необходимо выполнить следующее:

1. Откройте консоль управления Management Console.

2. Перейдите на вкладку Устройства.

3. Нажмите Добавить или Добавить из файла.

   Примечание

   Вы можете добавить устройство, выбрав файл с параметрами устройства (Добавить из файла), либо указать параметры вручную (Добавить).

   

Добавление из файла

1. Нажмите Добавить из файла.

2. Выберите файл формата XML с параметрами устройства и нажмите Добавить.

Пример конфигурации устройства

            <Tokens xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> 
                <Token serial="000200071927"> 
                        <CaseModel>5</CaseModel> 
                        <Model>109</Model> 
                        <ProductionDate>11/4/2008</ProductionDate> 
                        <ProductName>Aladdin OTPO v1.0</ProductName> 
                    <Applications> 
                        <Application ConnectorID="{a61c4073-2fc8-4170-99d1-9f5b70a2cec6}"> 
                        <Seed>884f20ce4b2c406e0b6199338990bb6cc3fabac403eaa7f8</Seed> 
                        <MovingFactor>1</MovingFactor> 
                        </Application> 
                    </Applications> 
                </Token> 
            </Tokens>

Добавление вручную

1. Нажмите Добавить.
2. В поле Серийный номер укажите серийный номер устройства.
3. В поле Секретный ключ укажите seed устройства.
4. Поле Комментарий — необязательный параметр.
5. Нажмите Добавить.

Редактирование устройства

Для редактирования устройства выполните следующие действия:

1. Откройте консоль управления Management Console.

2. Перейдите на вкладку Устройства.

3. Нажмите серийный номер устройства. 

   Информация

   При необходимости можно выполнить поиск, используя фильтры в верхней части страницы. 

   

4. В окне редактирования можно изменить комментарий, заблокировать устройство или синхронизировать.

5. После внесения изменений нажмите Сохранить.

   

Удаление устройства

Для удаления устройства выполните следующие действия:

1. Откройте консоль управления Management Console.

2. Перейдите на вкладку Устройства.

3. Выберите устройство и нажмите Удалить. 

Информация

При необходимости можно выполнить поиск, используя фильтры в верхней части страницы. 

Удаление из файла

1. Для удаления устройства по информации из файла нажмите Удалить из файла.
2. Выберите файл конфигурации устройства.
3. Нажмите Удалить.

Синхронизация устройства

Для синхронизации устройства выполните следующие действия:

1. Откройте консоль управления Management Console.
2. Перейдите на вкладку Устройства.
3. Нажмите серийный номер устройства. 
4. Выберите Синхронизировать OTP. 
5. В поле Одноразовый пароль 1 и Одноразовый пароль 2 укажите пароли с устройства и нажмите Синхронизировать.