Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.2

Мастер настройки

Мастер настройки позволяет автоматически заполнить файлы конфигурации для каждого сервиса Indeed CM.

Установка и аутентификация

Мастер настройки является независимым компонентом и устанавливается отдельно. Выберите инструкцию в зависимости от ОС, где установлен сервер Indeed CM.

  1. Запустите файл IndeedCM.Wizard-<номер версии>.x64.ru-ru.msi из каталога IndeedCM.WindowsServer дистрибутива Indeed CM и выполните установку. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\cm\wizard.
  2. Получите код аутентификации. Запустите пул приложения IIS IndeedCM Wizard, код сохранится в файл wizard_authentication_code.txt в каталоге C:\inetpub\wwwroot\cm\wizard\logs.
  3. Откройте файл wizard_authentication_code.txt и скопируйте код аутентификации.
  4. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
  5. Введите код в поле Код аутентификации и нажмите Войти.
Примечание

Если вы не смогли получить код аутентификации через запуск пула приложения IndeedCM Wizard, перезапустите службу IIS.

Функции системы

В разделе Общие функции выберите настройки Консоли управления и Сервиса самообслуживания.

Журнал событий

Настройте работу журнала событий:

  1. Укажите атрибут, по значению которого выполняется поиск пользователей в журнале событий. Значение по умолчанию: CN (Сommon name).
  2. Выберите опцию:
  • Использовать локальный журнал Windows, чтобы записывать события с одного или нескольких серверов в единый журнал Windows.
  • Использовать Log Server, чтобы записывать события с нескольких серверов Indeed CM в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.
Использовать локальный журнал Windows

События будут записываться в локальный журнал Windows.

Если в инфраструктуре развернуто несколько серверов Indeed CM, используйте компонент Indeed CM Event Log Proxy, чтобы все серверы записывали события в единый журнал Windows:

  1. Установите и настройте приложение Indeed CM Event Log Proxy. Инструкция по установке Indeed CM Event Log Proxy
  2. Включите опцию Включить Event Log Proxy.
  3. Укажите URL подключения к Event Log Proxy. Например, https://server.domain.loc/cm/eventlogproxy.
  4. Если сервер Indeed CM установлен на ОС Windows, введите данные учетной записи с правами на доступ к единому журналу событий (из секции authorization файла Web.config приложения Event Log Proxy).
    Если сервер Indeed CM установлен на ОС Linux, в поле Отпечаток сертификата укажите отпечаток клиентского сертификата, который предъявляет сервер Indeed CM для подключения к Event Log Proxy (из параметра allowedCertificateThumbprints файла appsettings.json приложения Event Log Proxy).
Использовать Log Server

Если в инфраструктуре развернуто несколько серверов Indeed CM, используйте приложение Indeed Log Server, чтобы все серверы записывали события в единый журнал Windows, SysLog, базу данных Microsoft SQL или PostgreSQL.

  1. Установите и настройте приложение Indeed Log Server. Инструкция по установке Indeed Log Server
  2. Укажите URL подключения к Indeed Log Server. Например, https://server.domain.loc/ls/api для ОС Windows, https://server.domain.loc/api для ОС Linux.

Журнал учета СКЗИ

Если в вашей организации ведется учет СКЗИ, включите опцию Вести журнал учета СКЗИ.

При необходимости укажите дополнительные атрибуты для полей, которые будут отображаться в журнале учета СКЗИ.

Удостоверяющие центры

Настройте интеграцию с удостоверяющими центрами:

  • Microsoft Enterprise CA
  • Aladdin Enterprise CA
  • SafeTech CA
  • КриптоПро УЦ 2.0
  • КриптоПро DSS
  • Валидата УЦ

Для КриптоПро УЦ 2.0 доступна опция Публиковать сертификаты пользователей КриптоПро УЦ 2.0 в базе приложений ЦФТ. Укажите строку подключения к базе приложений ЦФТ.

При необходимости укажите информацию о расположении пользователей в Центре Регистрации:

  1. Нажмите Добавить.
  2. Введите имя УЦ, которое отображается в Консоли управления ЦР в разделе Центры сертификации.
  3. Введите идентификатор папки с пользователями. Идентификатор отображается в Консоли управления ЦР в колонке Идентификатор папки.

AirCard Enterprise

Настройте интеграцию с Indeed AirCard Enterprise:

  1. Включите опцию Включить интеграцию c Indeed AirCard Enterprise.
  2. Введите URL подключения к серверу AirCard Enterprise, например, https://aircard.domain.loc:3002. Убедитесь, что указанный порт открыт для входящих подключений на сервере AirCard.
  3. Укажите отпечаток клиентского сертификата, чтобы установить защищенное соединение сервера Indeed CM и сервера AirCard Enterprise.
  4. Укажите время существования незарегистрированных смарт-карт AirCard (в секундах). По истечении указанного времени служба Card Monitor автоматически удалит незарегистрированные смарт-карты AirCard. Значение по умолчанию – 120 секунд.

Подробнее в документации Indeed AirCard Enterprise

Клиентский агент

Настройте параметры работы клиентских агентов Indeed CM:

  1. Установите и настройте компонент Indeed CM Agent. Инструкция по установке Indeed CM Agent

  2. Включите опцию Разрешить использование клиентских агентов.

  3. Выберите способ идентификации агента в домене и вне домена для регистрации в Indeed CM:

    • Не задано. Значение по умолчанию.
    • Использовать машинный GUID. Использовать значение MachineGuid рабочей станции.
    • Генерировать новый GUID. Выберите данную опцию, если у нескольких рабочих станций одно значение MachineGuid.
    • Использовать доменный SID компьютера.
    • Использовать SID компьютера. Выберите данную опцию, если агент установлен на внедоменную рабочую станцию. Идентификатору агента присваивается строковое значение MachineGuid из ветки реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] рабочей станции.
    Смена стратегии генерации идентификатора агента

    Чтобы сменить cтратегию генерации идентификатора агента после первоначальной настройки Indeed CM:

    1. Остановите сервисы агентов agentregistrationapi и agentserviceapi на сервере Indeed CM.
    2. Удалите все клиентские агенты в разделе Агенты Консоли управления или выполните запрос в базу данных Indeed CM, чтобы удалить зарегистрированные агенты и их сессии.
    3. Примените изменения в Мастере настройки и распространите измененный файл конфигурации сервиса agentregistrationapi на сервере Indeed CM.
    4. Запустите сервисы агентов agentregistrationapi и agentserviceapi.

  4. Чтобы регистрировать агенты без подтверждения администратора, включите опцию Автоматическая регистрация Агентов. После установки и настройки агента на рабочей станции он появится в разделе Агенты Консоли управления Indeed CM со статусом Зарегистрирован.

  5. Загрузите сертификат агента – файл корневого сертификата сервисов агента с закрытым ключом в формате JSON agent_root_ca.json.

  6. В выпадающем списке Уровень журналирования событий агентом выберите, какие события агента попадают в журнал событий – все, только ошибки, только предупреждения и ошибки..

  7. Заполните поля Периодичность получения данных с сервера и Интервал повторного выполнения отмененной пользователем задачи.

  8. Имя заголовка HTTP-запроса сертификата указано по умолчанию. Если Indeed CM используется с балансировщиком нагрузки, включите опцию Передавать только поле 'Субъект' сертификата агента в заголовках HTTP-запросов, чтобы снизить трафик.

Каталог пользователей

Настройте подключение к каталогу пользователей Indeed CM. Вы можете использовать несколько каталогов пользователей.

Как создать каталог пользователей

Нажмите Добавить и выберите тип каталога пользователей: Active Directory, Samba AD DC, FreeIPA или ALD Pro.

  1. Укажите данные учетной записи, у которой есть права на доступ к каталогу пользователей: имя в формате DOMAIN\UserName или UserName@DNSDomainName и пароль.

  2. Укажите NetBIOS-имя домена и DNS-имя домена или контроллера домена.

    как найти DNS-имя и NetBIOS-имя домена

    Выполните в командной строке:

    set USERDNSDOMAIN, чтобы узнать DNS-имя домена.
    set USERDOMAIN, чтобы узнать NetBIOS-имя домена.

  3. Укажите путь к контейнеру с пользователями в формате Distinguished Name. Для работы со всеми пользователями выберите корень домена.

  4. Если вы используете протокол LDAPS для доступа к каталогам, включите опцию Использовать LDAPS.

  5. Чтобы отображать фотографию пользователя в интерфейсе Indeed CM или напечатать ее на смарт-карте, выберите атрибут, который содержит фотографию пользователя.

  6. Нажмите Сохранить.

Вы можете настроить соответствие между атрибутами удостоверяющего центра и атрибутами пользователей в каталоге.

Если настроено соответствие атрибутов, в удостоверяющем центре можно зарегистрировать нового пользователя при выпуске устройства для этого пользователя в Indeed CM.

Обновляемые атрибуты

Вы можете настроить список атрибутов пользователя Active Directory, при изменении которых необходимо обновить сертификат на устройстве.

Изменения можно отслеживать только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.

Примечание

В параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию отслеживаются атрибуты Общее имя, E-mail и UPN-имя пользователя.

Чтобы отслеживать атрибут:

  1. Нажмите Добавить.
  2. Укажите имя атрибута в каталоге пользователей.
  3. Укажите отображаемое имя атрибута.
  4. Укажите имя X.500 или OID атрибута в сертификате. По указанному значению выполняется поиск атрибута в сертификате.
  5. Нажмите Сохранить.

Контроль доступа

Выберите способ контроля доступа к сервисам Indeed CM:

  • Аутентификация Windows
    Этот способ позволяет аутентифицироваться через учетные данные пользователя в ОС Windows и используется для инсталляций Indeed CM на доменной рабочей станции под управлением ОС Windows.

  • Аутентификация OpenID Connect
    Этот способ позволяет аутентифицироваться через сервер OpenID Connect и используется для инсталляций Indeed CM на доменной или внедоменной рабочей станции под управлением ОС Windows или Linux.

предупреждение

Убедитесь, что вы выбрали тот же способ аутентификации при установке сервера Indeed CM на ОС Windows.

Настройка аутентификации OpenID Connect

  1. Укажите следующие настройки:
    • URL подключения к серверу OpenID Connect.
    • Полное доменное имя (FQDN) сервера Indeed CM. Для конфигурации с несколькими серверами укажите их полные доменные имена через запятую.
    • Отпечаток сертификата подписи.
  2. При необходимости сгенерируйте клиентские секреты.

Администратор ролей

Укажите UPN-имя администратора ролей – учетной записи, которой выдается право на управление ролями в Indeed CM. При первом запуске вам необходимо войти в Консоль управления от имени указанной учетной записи.

Указанная учетная запись должна иметь атрибут User Principal Name (UPN) и входить в каталог пользователей.

Хранилище данных

Настройте подключение к хранилищу данных. Как создать хранилище данных

  1. Выберите тип хранилища данных в зависимости от окружения, в котором развернут Indeed CM: Microsoft SQL или PostgreSQL.
  2. Настройте подключение к хранилищу. Введите имя сервера, имя экземпляра (для Microsoft SQL), номер порта и имя базы данных.
  3. Выберите способ аутентификации для подключения к серверу базы данных:
    • Microsoft SQL: аутентификация Windows или SQL Server. Для подключения к SQL Server введите имя пользователя и пароль.
    • PostgreSQL: введите имя пользователя и пароль.
  4. При необходимости настройте дополнительные параметры:
    • минимальный размер пула
    • максимальный размер пула
    • время ожидания подключения
    • время жизни соединения
    • число повторов подключения
    • интервал повтора подключения

Ключ шифрования хранилища данных

Данные Indeed CM хранятся и передаются в зашифрованном виде. В выпадающем списке выберите алгоритм шифрования и нажмите Сгенерировать. Сохраните резервную копию ключа шифрования.

Служба Card Monitor

Определите настройки Card Monitor – службы для контроля использования устройств.

Подробнее о работе службы Card Monitor

Card Monitor устанавливается автоматически вместе с сервером Indeed CM и выполняет следующие операции:

  • отзыв и изъятие устройств пользователей, учетные записи которых удалены из каталога пользователей
  • отзыв временных устройств с истекшим сроком действия
  • выключение устройств пользователей, учетные записи которых были отключены
  • удаление учетных записей из каталога пользователей, учетные записи которых были отключены
  • установка или сброс статуса содержимого устройства
  • регистрация события Длительное отсутствие связи с агентом в журнале событий
  • удаление агентов, которые были неактивны в течение настраиваемого периода времени
  • рассылка почтовых уведомлений администраторам и пользователям о следующих событиях:
    • истечение срока действия сертификатов пользователей, хранящихся на устройстве
    • одобрение/отклонение выпуска устройства
    • одобрение/отклонение обновления сертификатов на устройстве
    • одобрение/отклонение замены устройства
    • изменение политики, действующей на пользователя
  1. Укажите учетную запись, от имени которой будет запускаться служба Card Monitor, в формате DOMAIN\UserName или UserName@DNSDomainName. Требования к учетной записи:
    • входит в каталог пользователей Indeed CM
    • состоит в группе Администраторов (Administrators) на сервере Indeed CM
    • имеет разрешение на Вход в качестве пакетного задания (Log on as a batch job) в политике Active Directory
  2. Настройте время запуска службы Card Monitor.
  3. В разделе Операции с пользователями можно настроить следующее:
    • Выключить устройства отключенных пользователей. Card Monitor выключит устройства пользователей, учетные записи которых были отключены в каталоге пользователей. Если в параметрах шаблонов сертификатов используемого УЦ дополнительно включить опцию Отзывать сертификат при отзыве или выключении устройства, то срок действия сертификатов, записанных на устройства, будет приостановлен в УЦ, и сертификаты будут отозваны.
    • Настроить фильтр поведения отключенных пользователей как удаленных. Отключенные учетные записи, попадающие под условие фильтра, считаются удаленными из каталога пользователей. Устройства у удаленных пользователей отзываются.
      Укажите атрибут пользователя и значение атрибута. Например, атрибут DistinguishedName со значением OU=Fired users,DC=domain,DC=loc.
    • Изъять устройства у удаленных пользователей. Устройства у удаленных пользователей изымаются и переходят в состояние Пустое. При изъятии устройство не очищается.
  4. В разделе Операции с агентами можно настроить следующее:
    • Занести событие в журнал, если агент неактивен больше (мин.). При отсутствии связи агента с сервером Card Monitor регистрирует это событие в системном журнале по истечении указанного времени.
    • Удалить агент, если он неактивен больше (дней). При отсутствии связи агента с сервером Card Monitor удаляет агент из базы данных по истечении указанного времени.
Примечание

Для работы службы Card Monitor необходима отдельная сервисная роль. Подробнее о роли для работы Card Monitor

Подтверждение

  1. Проверьте настройки всех разделов Мастера.
  2. Нажмите Применить.

Все настроенные параметры записываются в файлы конфигурации приложений и сохраняются в каталог C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/indeed/cm/wizard/configs/ для ОС Linux. Файлы конфигурации нужно применить на сервере Indeed CM.

Результаты

Включите опцию Сохранить файлы конфигурации, чтобы выгрузить файлы в архив.

Если вы устанавливаете Indeed CM впервые, рекомендуем сохранить копию настроенных параметров. Включите опцию Сохранить резервную копию параметров конфигурации и задайте пароль от файла.

Резервная копия настроек содержит все параметры, определенные при установке для всех сервисов, а также алгоритм и ключ шифрования базы данных. Храните файл резервной копии в защищенном месте.

Восстановление настроек

Вы можете восстановить настройки конфигурации Indeed CM из резервной копии, если вам необходимо:

  • обновить сервер Indeed CM
  • перенести сервер на новую рабочую станцию
  • установить дополнительные серверы

Чтобы восстановить конфигурацию из файла:

  1. Перейдите в раздел Мастера Восстановление настроек.
  2. Нажмите Восстановить параметры конфигурации из резервной копии.
  3. Загрузите файл.
  4. Если резервная копия была зашифрована, введите пароль.

Применение файлов конфигурации на сервере Indeed CM

Примените файлы конфигурации, созданные Мастером настройки, на сервере Indeed CM.

  1. Откройте консоль Powershell от имени администратора.
  2. Перейдите в директорию C:\inetpub\wwwroot\cm\wizard\configs.
  3. Запустите Powershell-скрипт deploy_configuration.ps1:
.\deploy_configuration.ps1
  1. В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.
подсказка

Рекомендуется указать локальную учетную запись, от имени которой запускаются остальные веб-приложения Indeed CM.

Файлы конфигурации всех сервисов Indeed CM расположены в корневом каталоге веб-приложений IIS по пути %SystemDrive%\inetpub\wwwroot\cm. Файлы конфигурации службы Card Monitor расположены в каталоге %ProgramFiles%\Indeed CM\CardMonitor.

Шифрование/расшифровка файлов конфигурации

В целях безопасности рекомендуется зашифровать файлы конфигурации приложений Indeed CM с помощью утилиты Cm.Config.DataProtector. Утилита поддерживает алгоритм шифрования AES с эффективной длиной ключа 256 бит. Ключ шифрования сохраняется на сервере Indeed CM.

Ключ шифрования находится по пути:

  • ОС Windows: C:\ProgramData\Indeed\cm\keys
  • ОС Linux: /etc/indeed/cm/keys.
предупреждение

Создайте резервную копию ключа шифрования. Это позволит восстановить доступ к зашифрованным данным в случае утери или повреждения основного ключа. Копию ключа можно сохранить вместе с копией конфигурации Indeed CM.

Шифрование

  1. Перейдите в каталог с дистрибутивом сервера Indeed CM по пути Misc\dataprotector.
  2. Запустите PowerShell от имени администратора.
  3. Выполните одну из команд:

  • шифрование всех файлов конфигурации, расположенных в стандартных директориях (C:\inetpub\wwwroot\<название компонента>\appsettings.json):

    .\Cm.Config.DataProtector.exe protect

  • шифрование файлов конфигурации отдельных компонентов:

    .\Cm.Config.DataProtector protect --app <название компонента>
    Пример команды
    .\Cm.Config.DataProtector protect --app ManagementConsole
    Названия компонентов Indeed CM
    • Консоль управления – ManagementConsole
    • Сервис самообслуживания – SelfService
    • Служба Card Monitor – CardMonitor
    • Служба разблокировки и выключения устройств – CredentialProvider
    • Сервис удаленного самообслуживания – RemoteService
    • Сервис API – Api
    • Сервис очистки AirCard – AirCardCleaner
    • Сервис регистрации агентов – AgentRegistrationApi
    • Сервис агентов – AgentServiceApi
    • Сервер OpenID Connect – Oidc

  • шифрование файла конфигурации, расположенного вне стандартной директории:

    .\Cm.Config.DataProtector protect --app <название компонента> --file "путь к файлу appsettings.json"
    Пример команды
    .\Cm.Config.DataProtector protect --app CardMonitor --file "C:\Program Files\Indeed CM\CardMonitor\appsettings.json"

Расшифровка

  1. Перейдите в каталог с дистрибутивом сервера Indeed CM по пути Misc\dataprotector.
  2. Запустите PowerShell от имени администратора.
  3. Выполните одну из команд:

  • расшифровка всех файлов конфигурации, расположенных в стандартных директориях (C:\inetpub\wwwroot\<название компонента>\appsettings.json):

    .\Cm.Config.DataProtector.exe unprotect

  • расшифровка файлов конфигурации отдельных компонентов:

    .\Cm.Config.DataProtector unprotect --app <название компонента>
    Пример команды
    .\Cm.Config.DataProtector unprotect --app ManagementConsole
    Названия компонентов Indeed CM
    • Консоль управления – ManagementConsole
    • Сервис самообслуживания – SelfService
    • Служба Card Monitor – CardMonitor
    • Служба разблокировки и выключения устройств – CredentialProvider
    • Сервис удаленного самообслуживания – RemoteService
    • Сервис API – Api
    • Сервис очистки AirCard – AirCardCleaner
    • Сервис регистрации агентов – AgentRegistrationApi
    • Сервис агентов – AgentServiceApi
    • Сервер OpenID Connect – Oidc

  • расшифровка файла конфигурации, расположенного вне стандартной директории:

    .\Cm.Config.DataProtector unprotect --app <название компонента> --file "путь к файлу appsettings.json"
    Пример команды
    .\Cm.Config.DataProtector unprotect --app CardMonitor --file "C:\Program Files\Indeed CM\CardMonitor\appsettings.json"

Отключение Мастера

В целях безопасности рекомендуется отключить веб-приложение Мастер настройки Indeed CM после завершения процесса конфигурации.

  1. Откройте Диспетчер служб IIS (Internet Information Services Manager) и в левом меню выберите Пул приложений IIS (Application pools).
  2. Выберите приложение IndeedCM Wizard и в правом меню нажмите Остановить (Stop).