Перейти к основному содержимому

Indeed CM Agent

Indeed CM Agent (клиентский агент Indeed CM) является дополнительным компонентом системы, который устанавливается после развертывания Indeed Certificate Manager.

Indeed CM Agent позволяет удаленно управлять и контролировать использование устройств пользователей (USB-токенов, смарт-карт).

С помощью агента на рабочих станциях пользователей в автоматическом режиме выполняются следующие операции:

  • блокировка и сброс PIN-кода пользователя,
  • обновление содержимого устройства,
  • очистка и инициализация устройства при отзыве,
  • смена PIN-кода администратора устройства,
  • контроль использования устройств и блокировка пользовательской сессии и устройства,
  • мониторинг устройств с информацией об устройствах с заблокированным PIN-кодом пользователя и администратора, о попытках ввода неверного PIN-кода и о подключении незарегистрированных устройств.

Indeed CM Agent устанавливается вместе с Indeed CM Middleware на рабочие станции, к которым подключаются устройства, выпущенные с помощью Indeed CM.

Установка и настройка Indeed CM Agent

Выберите инструкцию в зависимости от ОС, установленной на сервере Indeed CM:

Чтобы установить и настроить Indeed CM Agent, выполните следующие действия:

  1. Создайте сертификаты сервисов агента.
  2. Настройте защищенное соединение с сайтом сервисов агента.
  3. Настройте Indeed CM для работы с клиентскими агентами.
  4. Установите и настройте агенты на рабочих станциях.

Создание сертификатов сервисов агента

Для работы агента требуются следующие сертификаты:

  • CM Agent CA – корневой сертификат сервисов агента. Используется для выдачи сертификатов рабочим станциям пользователей, на которых будут устанавливаться Агенты.
  • CM Agent SSL – сертификат проверки подлинности, подписан корневым сертификатом. Необходим для установки двустороннего защищенного соединения между сервером и рабочей станцией с установленным Агентом. Сертификат выдается на имя рабочей станции, на которой развернут сервер Indeed CM.
  • Сертификат рабочей станции – выдается автоматически при регистрации Агента. Обращаясь к серверу, клиентский компьютер предоставляет свой сертификат, а сервер Indeed CM проверяет его подлинность. После проверки сервер добавляет клиентский компьютер в список доверенных и может передавать на него задачи. 

Сертификаты сервисов агента создаются с помощью утилиты Cm.Agent.Cert.Generator.

Параметры утилиты Cm.Agent.Cert.Generator

Генерация корневого и SSL-сертификата:
/root – генерация корневого сертификата сервисов агента.
/rootKeySize – размер закрытого ключа корневого сертификата сервисов агента (необязательный параметр, по умолчанию генерируется закрытый ключ размером 4096 бит, возможный диапазон от 512 до 8192 бит).
/sn <DNS-имя сервера> – генерация SSL-сертификата на указанное DNS-имя сервера.
/csn – генерация SSL-сертификата на имя сервера, на котором запущена утилита.
/sslKeySize – размер закрытого ключа SSL-сертификата (необязательный параметр, по умолчанию генерируется закрытый ключ размером 2048 бит, возможный диапазон от 512 до 4096 бит).
/pwd – пароль SSL-сертификата (необязательный параметр).
/installToStore – публикует сертификаты, выпущенные утилитой, в хранилища сертификатов сервера (необязательный параметр):

  • сертификат CM Agent CA в Доверенные корневые центры сертификации (Trusted Root Certification Authorities).
  • сертификат CM Agent SSL в хранилище Личных сертификатов рабочей станции, на которой установлен сервер Indeed CM.

Генерация только SSL-сертификата с помощью корневого сертификата CM Agent CA:

/rootKey – путь до файла корневого сертификата сервисов агента.
/ssl – генерация SSL-сертификата сервисов агента.
/sn <DNS-имя сервера> – генерация SSL-сертификата на указанное DNS-имя сервера.
/csn – генерация SSL-сертификата на имя сервера, на котором запущена утилита.
/pwd – пароль SSL-сертификата (необязательный параметр).
/sslKeySize – размер закрытого ключа SSL-сертификата (необязательный параметр, по умолчанию генерируется закрытый ключ размером 2048 бит, возможный диапазон от 512 до 4096 бит).

Чтобы создать сертификаты сервисов агента, выполните следующие действия:

  1. Перейдите в каталог IndeedCM.WindowsServer\Misc\AgentCertGenerator на сервере Indeed CM.
  2. От имени администратора запустите в командной строке утилиту Cm.Agent.Cert.Generator c параметрами и дождитесь завершения её работы:
    Cm.Agent.Cert.Generator.exe /root /csn /installToStore

В каталоге с утилитой появятся файлы:

  • agent_root_ca.json - корневой сертификат сервисов агента с закрытым ключом в формате JSON;
  • agent_root_ca.cer - корневой сертификат сервисов агента;
  • agent_root_ca.key - закрытый ключ корневого сертификата сервисов агента;
  • agent_ssl_cert.cer - SSL-сертификат сайта сервисов агента;
  • agent_ssl_cert.key - закрытый ключ SSL-сертификата сайта сервисов агента;
  • agent_ssl_cert.pfx - SSL-сертификат сервисов  агента с закрытым ключом в формате PFX.
к сведению

Поместите сертификат CM Agent CA (agent_root_ca.cer) в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.

Если в вашей инфраструктуре развернуто несколько серверов Indeed CM с агентами, то для каждого сервера необходимо выпустить SSL-сертификат сервисов агента, используя общий корневой сертификат CM Agent CA. Корневой сертификат сервисов агента на всех серверах должен быть один и тот же.

Для создания SSL-сертификата дополнительного сервера или обновления истекшего сертификата перенесите на сервер каталог с утилитой Cm.Agent.Cert.Generator и корневой сертификат сервисов агента с закрытым ключом в формате JSON (agent_root_ca.json) и выполните команду:

Cm.Agent.Cert.Generator.exe /rootKey <путь к файлу agent_root_ca.json> /ssl /sn <DNS-имя сервера IndeedCM> /installToStore
Пример
Cm.Agent.Cert.Generator.exe /rootKey "C:\AgentCertGenerator\agent_root_ca.json" /ssl /sn server.demo.local /installToStore

Настройка защищенного соединения с сайтом сервисов агента

  1. Перейдите в Диспетчер служб IIS (Internet Information Services (IIS) Manager).
  2. Выберите сайт IndeedCM Agent Site и перейдите в раздел Привязки... (Bindings...).
  3. Выберите привязку по порту 3003.
  4. Нажмите Изменить... (Edit...).
  5. Укажите в качестве SSL-сертификата сертификат CM Agent SSL или другой SSL/TLS-сертификат, выпущенный с любого доверенного УЦ в инфраструктуре на имя сервера системы и нажмите OK.
Пример настройки привязки для сайта IndeedCM Agent Site

к сведению

Порт 3003 используется по умолчанию. Если вы используете другой порт, то создайте и настройте новую привязку для него. Убедитесь, что порт открыт для входящих подключений в брандмауэре.

В качестве SSL/TLS-сертификата допускается использование RSA-сертификата, выпущенного c любого доверенного УЦ на имя сервера Indeed CM.

  • Субъект (Subject) сертификата должен содержать атрибут Общее имя (Common name) (FQDN сервера системы).
  • Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера системы).
    Например: server.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).
  • Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).

Настройка Indeed CM для работы с клиентскими агентами

Настройте Indeed Certificate Manager на работу с агентами:

  1. Запустите Мастер настройки Indeed CM:
    1. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
    2. Введите код в поле Код аутентификации и нажмите Войти.
  2. Перейдите в раздел Клиентский агент.
  3. Включите опцию Разрешить использование клиентских агентов.
  4. Укажите стратегию генерации Идентификатора агента для доменных/вне доменных компьтеров для регистрации в Indeed CM:
    • Не задано. Значение по умолчанию.
    • Использовать машинный GUID. MachineGuid рабочей станции.
    • Генерировать новый GUID. Выберите данную опцию, если у нескольких рабочих станций будет одно значение MachineGuid.
    • Использовать доменный SID компьютера.
    • Использовать SID компьютера. Выберите данную опцию, если агент установлен на рабочую станцию, которая находится вне домена. Идентификатору агента присвоится строковое значение MachineGuid из ветки реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] рабочей станции.
Смена стратегии генерации идентификатора агента

Если вам нужно сменить Стратегию генерации идентификатора агента после первоначальной настройки Indeed CM, выполните следующие действия:

  1. Остановите сервисы агентов agentregistrationapi и agentserviceapi на сервере Indeed CM.
  2. Удалите все клиентские агенты в разделе Агенты Консоли управления или выполните запрос в базу данных системы для удаления зарегистрированных агентов и их сессий.
  3. Примените изменения в Мастере настройки и распространите измененный файл конфигурации сервиса agentregistrationapi на сервере системы.
  4. Запустите сервисы агентов agentregistrationapi и agentserviceapi.
  1. Для регистрации агентов без подтверждения администратора включите опцию Автоматическая регистрация Агентов. Если включить опцию Автоматическая регистрация Агентов, то после установки и настройки Агента на рабочей станции он появится в разделе Агенты Консоли управления Indeed CM со статусом Зарегистрирован.
  2. Загрузите сертификат агента – файл корневого сертификата сервисов агента с закрытым ключом в формате JSON agent_root_ca.json.
  3. Выберите Уровень журналирования событий агентом:
    • все (значение по умолчанию),
    • только ошибки,
    • только предупреждения и ошибки.
  4. Укажите Периодичность получения данных с сервера и Интервал повторного выполнения отмененной пользователем задачи.
  5. Имя заголовка HTTP-запроса сертификата указано по умолчанию. Если Indeed CM используется с балансировщиком нагрузки. Включите опцию Передавать только поле 'Субъект' сертификата агента в заголовках HTTP-запросов при использовании Indeed CM с балансировщиком нагрузки, чтобы снизить трафик.
  6. Перейдите в пункт Подтверждение и нажмите Применить для сохранения настроек.
  7. Примените настройки на сервере Indeed CM.