Руководство по установке сервера безопасности SecurEnvoy SecurEnvoy 1210 Парквью, Бизнес-Парк Арлингтон, Тиль, Ридинг RG7 4TY Тел: 0845 2600010, Факс: 0845 260014 www.securenvoy.com
Сервер безопасности SecurEnvoy Руководство по установке, версия 5.4 Данный сервер безопасности SecurEnvoy представляет собой центральный и основной компонент семейства продуктов SecurEnvoy. Он имеет возможность прямого интегрирования в сервер каталогов LDAP (Microsoft Active Directory, Novell e-dir, сервер каталогов Sun One и сервер каталогов Linux с открытым LDAP) для информации пользователя, элементов управления, а также управляет аутентификацией кодов-паролей SMS и последующей их отправкой. Устанавливается для SecurAccess, SecurICE, SecurPassword и SecurMail. Страница 2
Руководство по установке SecurEnvoy версия 5.4 2011 SecurEnvoy Все права защищены. Воспроизведение настоящего материала или его части в любой форме или любыми средствами графическими, электронными или механическими, включая ксерокопирование, запись, перенос на пленку, либо в виде хранения информации и в системах поиска запрещено без письменного разрешения издателя. Продукция, на которую в данном документе приводятся ссылки, могут являться торговыми марками и/или зарегистрированными торговыми марками соответствующих владельцев. Права на данные торговые марки издателем и автором не предъявляются. Несмотря на все принятые меры предосторожности при подготовке настоящего документа, издатель и автор не несут ответственность за ошибки и упущения, либо за ущерб в результате использования информации настоящего документа, либо от использования программ и исходного кода, которые могут его сопровождать. Издатель и автор не несут ответственность за упущенную прибыль или иной коммерческий ущерб (причиненный или заявленный), вызванный прямым или косвенным использованием настоящего документа. Напечатано: июнь 2011 г. в Соединенном Королевстве Издатель Издательство SecurEnvoy Управляющий редактор Отдел обучения SecurEnvoy Технические редакторы А. Кемшелл, Технический директор П. Андервуд, Предварительные продажи в странах ЕБВА Разработчик титульного листа Отдел маркетинга SecurEnvoy Редакция В1.0 АК ПА 10/5/2008 В1.1 АК ПА 21/12/2008 В1.2 ПА 7/7/2009 В1.3 ПА 3/11/2009 В1.4 ПА 18/1/2010 В1.5 АС 10/1/2011 В1.6 ПА 11/5/2011 Страница 3
Введение SecurEnvoy является мировым лидером в технологии разработки программного решения двухфакторной аутентификации на базе использования мобильных телефонов сотрудников. SecurEnvoy была первой компанией, которая предложила рынку свое инновационное решение двухфакторной аутентификации без использования аппаратных ключей. Тысячи пользователей во всем мире выбрали наш продукт. Наши клиенты на пяти континентах высоко оценили значительную экономию времени при установке нашей программы и отсутствие необходимости в удаленном развертывании. Системные администраторы получили возможность управления, позволяющую оперативно устанавливать до 15000 пользователей в час. Философия нашей разработки основывается на повторном использовании существующих технологий как, например, Microsoft Active Directory, с упрощением процесса аутентификации конечного пользователя и обеспечении полной безопасности. При отсутствии расходов на производство аппаратных ключей прибыль на инвестированный капитал гораздо более приемлема для коммерческих структур и организаций. Партнерская сеть SecurEnvoy по всему миру обеспечивает пользователям возможность и удобство сотрудничества с местными партнерами. На сегодняшний день наша техническая и торговая инфраструктура поддерживает большинство языков и культур во всем мире. Наш бизнес был официально организован в 2003 г. после предварительного программирования и тестирования в наших лабораториях. В течение многих лет мы получаем положительные отзывы наших клиентов со всего мира. Количество клиентов ежегодно растет более чем в два раза, в том числе и благодаря организации модели продаж по подписке, позволяющей нашим пользователям эффективно вкладывать средства. Данная модель предусматривает локальную техническую поддержку и ежегодную подписку. Неустанная работа двух основателей Эндрю Кемшела и Стивеном Уоттса направлена на постоянное улучшение продукта для пользователей во всем мире. Это становится возможным также благодаря заслугам сотрудников и опыту компании, как в области коммерческой деятельности, так и технической разработки. SecurEnvoy всегда идет на шаг впереди в технологии и удовлетворении требований организаций к решениям по аутентификации пользователей. Страница 4
Содержание 1.0 Требования к системе.... 7 1.1 Требования к системе SecurMail.... 8 2.0 Установка сервера безопасности SecurEnvoy.... 10 3.0 Мастер расширенной конфигурации... 14 4.0 Запуск GUI локального администрирования SecurEnvoy.... 19 5.0 Перенос установки SecurEnvoy на другой сервер... 21 6.0 Приложение.... 24 6.1 Службы SecurEnvoy... 24 6.2 Безопасность Active Directory.... 25 6.3 Безопасность LDAP (прочее).... 28 7.0 Обновление программного обеспечения SecureEnvoy.... 30 Страница 5
Требования к системе I Часть 1.0 Страница 6
1.0 Требования к системе Сервер безопасности Требования к программному обеспечению Windows 2003 SP1 (32 или 64 бит)/windows 2008 (32 или 64 бит)/windows 2008 R2. Установленный информационный сервер Интернет (IIS). Установленная система Microsoft.NET 3.5 Требования к аппаратному обеспечению ЦП процессор класса Pentium с тактовой частотой от 1 ГГц. ЖД 150 Мб свободного дискового пространства. ОЗУ 120 Mб оперативной памяти. Для управления интегрированным пользователем (по выбору) Для управления интегрированным пользователем необходимо подключение к серверу каталогов LDAP (MS Active Directory, Novell e-dir, сервер каталогов Sun One и сервер каталогов Linux с открытым LDAP) с учетной записью службы с доступом к чтению и записи атрибутов TelexNumber. Примечание По вопросам конфигурации Active Directory см. раздел 5.2 настоящего руководства с пошаговыми инструкциями по использованию инструмента ADSI Edit от Microsoft, если нет необходимости в использовании учетной записи администратора домена. Подключение сети Серверу безопасности необходим доступ к чтению/записи информационного сервера (Directory Server) через LDAP (порт 389) или LDAPS (порт 636). Примечание LDAPS необходим для SecurPassword и интегрированного управления рабочим столом (Integrated Desktop Management). Если для передачи SMS-сообщений используется шлюз Web SMS, то серверу безопасности (Security Server) требуется доступ http к Интернету (порт 443). Агенту IIS (в 5.4) требуется http-соединение между защищаемым сервером IIS и сервером безопасности (порт 80). VPN, агенту IIS (в. от 5.4) или другие клиенты на базе Radius требуют доступ к службе радиуса сервера безопасности (по умолчанию UDP порт 1812). Для каждого идентифицируемого агента IIS или каждого клиента RADIUS рекомендуется устанавливать два сервера безопасности. Каждый сервер безопасности должен быть сконфигурирован для подключения к первичному и вторичному информационному серверу (LDAP). Данный подход исключает любой одноточечный сбой. Не англоязычные операционные системы Перед установкой Администраторов с учетной записью местного администратора необходимо создать следующие группы: Гость с учетной записью пользователя IIS IUSR_(имя хоста) в качестве члена (имя хоста имя локального сервера). Страница 7
1.1 Требования к системе SecurMail Сервер безопасности Требования к программному обеспечению Те же, что и для сервера безопасности (см. выше) Требования к аппаратному обеспечению ЦП процессор класса Pentium с тактовой частотой от 1 ГГц. ЖД 500 Гб свободного дискового пространства (в зависимости от количества сохраняемых электронных сообщений). ОЗУ 120 Mб оперативной памяти. Для управления интегрированным пользователем Необходимо подключение к серверу каталогов LDAP (MS Active Directory, Novell e-dir, сервер каталогов Sun One и сервер каталогов Linux с открытым LDAP) с учетной записью службы с доступом к чтению и записи атрибутов TelexNumber. Подключение сети Серверу безопасности необходим доступ к чтению/записи информационного сервера (Directory Server) через LDAP (порт 389) или LDAPS (порт 636). Если для передачи SMS-сообщений используется шлюз Web SMS, то серверу безопасности (Security Server) требуется доступ http к Интернету (порт 443). Можно сконфигурировать клиент Outlook для загрузки сообщений SecurMail через http (80) или https (443); при использовании https на сервере IIS, работающим в качестве сервера SecurMail, необходим защищенный сертификат. Балансировка нагрузки и резерв Для резерва рекомендуется установить два сервера SecurMail. Эти серверы могут быть с кластерами программных или аппаратных средств; в качестве альтернативы каталог данных можно установить на устройство NAS или SAN. Путь каталога данных будет одинаковым на двух серверах SecurMail компании SecurEnvoy. Серверы IIS необходимо сконфигурировать так, чтобы по отношению друг к другу они были «активный-активный» или «активный-пассивный». Слой из 7 переключателей один способ балансирования нагрузки на множественном сервере IIS, на котором выполняется SecurMail. В качестве альтернативы на оба сервера можно установить сетевое устройство балансирования нагрузки Microsoft (NLB). С помощью NLB те же данные сохраняются на множественных серверах, поэтому, если один станет недоступным, то клиент будет перенаправлен на другой сервер с той же информацией. См. http://technet.microsoft.com/en-us/library/cc770558.aspx. Данные подходы исключают любой одноточечный сбой. Не англоязычные операционные системы Перед установкой Администраторов с учетной записью местного администратора необходимо создать следующие группы: Гость с учетной записью пользователя IIS IUSR_(имя хоста) в качестве члена (имя хоста имя локального сервера). Страница 8
Установка сервера безопасности SecurEnvoy I Часть 2.0 Страница 9
2.0 Установка сервера безопасности SecurEnvoy 1. Запустите установочный файл программного обеспечения сервера безопасности SecurEnvoy. 2. При запуске установочный файл проверяет, установлена ли программа Microsoft.Net Framework 3.5. Если она не установлена, то будет загружена и установлена программа Microsoft Dot Net Framework. Примечание Необходимо установить Microsoft.Net 3.5. 3. Нажмите «I agree» в разделе лицензионных условий Microsoft, после чего нажмите кнопку установки.net. 4. По завершении установки.net нажмите ОК для продолжения. 5. Нажмите кнопку принятия лицензионных условий SecurEnvoy и нажмите Next для продолжения. 6. Примите путь установки, предлагаемый по умолчанию, или выберите другой пусть установки сервера безопасности SecurEnvoy. 7. Откроется окно Setup Type (тип установки); при нажатии Typical (обычная установка) установятся только SecurAccess, SecurPassword и сервер Radius. Такая конфигурация подходит большинству сред аутентификации с использованием удаленного доступа. При необходимости установки других продуктов SecurEnvoy нажмите кнопку выбора конфигурации установки. Откроется окно конфигурации установки, в котором указываются все продукты, которые будут установлены: SecurAccess / SecurICE / SecurPassword установят программные продукты SecurAccess, SecurICE и SecurPassword на сервер безопасности. SecurMail установит на сервер безопасности компоненты продукта SecurMail. Программа позволяет отправлять защищенные электронные сообщения без необходимости PKI (инфраструктуры открытого ключа). Получатель электронного сообщения аутентифицируется по двум факторам, поэтому пользователь может быть уверен, что защищенное сообщение получено только тем, кому оно предназначено. Нажмите Next Подтвердите правильность всей введенной информации; если все правильно, нажмите Install (установить), либо нажмите кнопку Back для возврата на предыдущую страницу и внесения изменений. Ход установки будет отображаться в строке состояния. По завершении установки автоматически запустится программа расширенной конфигурации. Страница 10
При первой установке потребуется шифровальный ключ клиента. Если установка проводится впервые, выберите New Installation (новая установка) и нажмите Continue (продолжить). Во время этого процесса будет автоматически создан шифровальный ключ. Примечание НЕОБХОДИМО создать резервную копию ключа Config.db для: 32-разрядных установок dir :\program Files\SecurEnvoy\Security Server 64-разрядных установок dir :\program Files (x86)\securenvoy\security Server Additional Server (Replica) дополнительный сервер (реплика) Следуйте инструкциям по копированию шифровального ключа клиента (config.db) и файлов server.ini с первого сервера. По завершении нажмите Continue (продолжить). Примечание НЕОБХОДИМО создать резервную копию ключа Config.db для: 32-разрядных установок dir :\program Files\SecurEnvoy\Security Server 64-разрядных установок dir :\program Files (x86)\securenvoy\security Server Страница 11
Upgrade обновление Следуйте инструкциям по копированию шифровального ключа клиента (config.db) и файлов server.ini с первого сервера. По завершении нажмите Continue (продолжить). Примечание НЕОБХОДИМО создать резервную копию ключа Config.db для: 32-разрядных установок dir:\program Files\SecurEnvoy\Security Server 64-разрядных установок dir:\program Files (x86)\securenvoy\security Server Заполните форму установки с указанием информации о конечном пользователе и введите ключ лицензии. Обратите внимание, что название компании будет указываться во всех сообщениях кода доступа SecurAccess/ SecurPassword, отправляемого на мобильные телефоны. Нажмите Continue. Установка завершается, но мастер расширенной конфигурации (advanced configuration wizard) дает возможность задания параметров конфигурации. Описание продолжено в разделе 3. Страница 12
Мастер расширенной конфигурации I Часть 3.0 Страница 13
3.0 Мастер расширенной конфигурации Далее введите информацию о веб-сервере и выберите тип информационного сервера (Directory server) (MS Active Directory, Novell E-dir, Sun One Directory server, LINUX OpenLdap или MS ADAM). Веб-сервер это машина, на которую было установлено ПО сервера безопасности; имя домена это имя домена, на котором будет сохраняться информация пользователя, и с которого к ней будет осуществляться доступ. Воспользуйтесь клавишей Tab для перехода к полю Enter User ID (ввод идентификационного номера пользователя); введите учетную запись системы SecurEnvoy, которая запустит сервер SecurEnvoy. Нажмите Get DN of UserID; автоматически заполнится информация учетной записи DN при условии, что вошли в систему как администратор данного домена. При корректной информации введите пароль учетной записи пользователя. При некорректной информации внесите изменения для DN (отличительное имя) для своей среды. После этого введите имена информационных серверов (Directory servers). Если на этих серверах развернуты сертификаты, то можно использовать LDAPS (порт 636), отметив опцию Use SSL; помните, что обычно LDAPS требует указания полного имени сервера. Примечание Если выбрана опция Use SSL, имя сервера ДОЛЖНО быть тем же, что и имя, указанное в сертификате Directory server. По завершении нажмите кнопку (test) для проверки правильности всей введенной информации. При отображении в тестовом окне ОК можно продолжать установку. Любые ошибки обозначают проблемы конфигурации, которые следует устранить. При необходимости добавления дополнительного домена нажмите кнопку Add New Domain (добавить новый домен) и введите настройки LDAP для каждого нового домена. Веб-сервер машина, на которую установлено ПО сервера безопасности; вносить в него изменения не требуется. Имя домена дополнительный домен, где будет сохраняться информация пользователя, и откуда к ней будет осуществляться доступ. Имя Net Bios опциональное и требует настройки только в случае, когда в логинах пользовательских ID используются доменные имена Net Bios для примера SECURENVOY \johnsmith. Нажмите Update (обновить) и Continue (продолжить). Страница 14
Шлюз email При использовании SecurMail или отправке кодов-паролей по электронной почте введите на сервер SMTP информацию, которая будет использоваться для отправки электронных сообщений, а также учетную запись электронной почты, которую вы хотите использовать. Примечание Убедитесь, что сервер SMTP настроен на передачу от сервера SecurEnvoy. Нажмите Save (сохранить) и Continue (продолжить). Шлюзы SMS/Телефонный шлюз Активируйте опцию для установки сервиса Windows, который связывается с модемом SMS. Последний представляет собой серийное устройство GSM, подключаемое напрямую к последовательному интерфейсу сервера безопасности. Данная опция позволяет компаниям пользоваться их собственным чипом SIM от своих провайдеров телекоммуникаций, а также преимуществами бесплатных или групповых тарифов для отправки SMS. Для настройки телефонного шлюза убедитесь, что устройство подключено и включено. Конфигурируемые опции: Send simple text (отправка простого текста) В активированном состоянии обеспечивает отправку SMS в простом режиме. Рекомендуется, если провайдер телекоммуникационных услуг не поддерживает перезапись сообщений (режим PDU). Enter serial port (ввод последовательного порта) Порт связи с модемом GSM подключен. Baud rate (скорость в бодах) Выберите нужную скорость в бодах. Страница 15
Country code Введите соответствующий код страны Block International При активации все международные SMS-сообщения будут передаваться через шлюз веб-sms. (Требует установки и конфигурации см. информацию ниже). По завершении нажмите кнопку ОК для тестирования. При тестировании будет проверен вход ATI, а также мощность сигнала. Отобразится информация о версии, а также информация о мощности сигнала, которая измеряется в диапазоне от 0 до 31. Приемлемое значение от 16 и выше. Шлюзы SMS/Шлюзы веб-sms Активируйте опцию для установки сервиса Windows, который связывается со шлюзом SMS на базе веб. Вебсервис по умолчанию от AQL, см. www.aql.com Лицензии на пробное использование имеют встроенную учетную запись AQL; имя пользователя или пароль не требуются. В противном случае требуется учетная запись от выбранного провайдера веб-sms. Введите код идентификации пользователя и пароль учетной записи (предоставляются провайдером веб-sms службы); при необходимости укажите информацию о проксисервере. По завершении нажмите кнопку test gateway (проверить шлюз); должно появиться сообщение SMS gateway responded OK (получен ответ от шлюза SMS). При отображении ошибок нажмите на ссылку для проверки веб-соединения вручную. Если соединение с браузером установлено, то выдается сообщение Fail Auth (сбой аутентификации). (Это происходит из-за того, что не была направлена информация об учетной записи, но подтверждается доступ к серверу шлюза SMS и ответ с него). SecurEnvoy может подключаться ко многим провайдерам SMS на базе веб. Может потребоваться новый шаблон (подробности см. в разделе 5.4). Нажмите Save и Continue. Примечание SecurEnvoy поддерживает прокси-серверы: активируйте опцию и заполните настройки для прокси-сервера. Страница 16
Сервер Radius Активируйте опцию для установки компонента Radius, обеспечивающего интегрирование с любыми устройствами сетевого доступа, которые могут использовать протокол Radius: устройство SSL, Firewall или VPN. Для настройки службы Radius введите информацию о порте для отображения сетевой среды, в которой будет работать сервер безопасности SecurEnvoy. Нажмите Save (сохранить) и Finish (выход). По завершении установки Нажмите ОК После этого по умолчанию запустится интерфейс (GUI) администрирования, являющийся вебсервисом. Данную операцию можно остановить, отменив выбор опции Start Administration GUI. Страница 17
Запуск GUI локального администрирования SecurEnvoy I Часть 4.0 Страница 18
4.0 Запуск GUI локального администрирования SecurEnvoy Выберите программы запуска SecurEnvoy Local Security Server Administration (администрирование локального сервера безопасности). При этом запустится графический веб-интерфейс администрирования. Отобразится следующее окно; дополнительную информацию по управлению и конфигурации см. в руководстве по администрированию и конфигурации SecurEnvoy. Страница 19
Перенос установки SecurEnvoy на другой сервер I Часть 5.0 Страница 20
5.0 Перенос установки SecurEnvoy на другой сервер Рекомендуемым методом переноса установки SecurEnvoy с одного сервера на другой является установка сервера безопасности SecurEnvoy на новую машину. Запустите мастер расширенной конфигурации, выберите Additional server (дополнительный сервер) и следуйте подсказкам на экране. Все данные глобальной конфигурации сохранены на сервере SecurEnvoy в файле server.ini; все пользовательские данные хранятся зашифрованными на сервере/домене LDAP. Поэтому при добавлении «дополнительного сервера SecurEnvoy» все пользовательские данные защищены. При подключении нового сервера SecurEnvoy оригинальный сервер можно отключить. Помните, что клиенты Radius, агенты IIS и Windows потребуют обновления с тем, чтобы взаимодействовать с нужным сервером SecurEnvoy. Множественные серверы безопасности должны иметь одинаковый шифровальный ключ безопасности (config.db). Для установки дополнительных серверов безопасности выполните следующие действия: 1. Запустите программу установки серверов безопасности setup.exe на следующем требуемом сервере: 1.1 Выберите Additional server (дополнительный сервер) 1.2 Нажмите кнопку Upload config.db и перейдите к файлу config.db на первом установленном сервере безопасности; местоположение данного файла по умолчанию для: 32-разрядных установок: С:\Program Files\SecurEnvoy\Security Server\ 64-разрядных установок: С:\Program Files(х86)\SecurEnvoy\Security Server\ Выполните те же операции для файла server.ini. Примечание Каждый сервер безопасности SecurEnvoy будет использовать файл local.ini и файл server.ini, созданные в помощь развертыванию с существующими серверами SecurEnvoy. В файле local.ini сохраняются данные, относящиеся к локальной конфигурации. В файле server.ini сохраняются данные, относящиеся к глобальной конфигурации. Страница 21
2. Запустите GUI администратора на новом сервере и выберите меню config. Внесите изменения так, чтобы у всех серверов были одинаковые настройки конфигурации. Для дополнительных серверов ДОЛЖНА быть указана одинаковая учетная запись администратора SecurEnvoy для каждого управляемого ими домена. Время запуска группового сервера должно быть задано с учетом изменений локальных часовых поясов. Процессы пакетного сервера должны выполняться с интервалом 10 минут между собой, иначе пользователям может быть отправлено несколько дневных кодов. Примечание Для дополнительных серверов ДОЛЖНА быть указана одинаковая учетная запись администратора SecurEnvoy для каждого управляемого ими домена. Страница 22
Приложение I Часть 6.0 Страница 23
6.0 Приложение 6.1 Службы SecurEnvoy После установки всегда рекомендуется проверять работоспособность всех служб SecurEnvoy. Нажмите кнопку Start в Windows, нажмите Run, введите в строку services.msc и нажмите ОК. Отобразится следующее окно. Все службы SecurEnvoy запускаются со строки «SecurEnvoy», поэтому их можно индексировать и осуществлять поиск. Убедитесь, что установленные опции SecurEnvoy запущены. Опции по умолчанию: SecurEnvoy Batch server (пакетный сервер) Сконфигурированные опции: SecurEnvoy Phone Gateway 1 (Телефонный шлюз 1) SecurEnvoy WebSMS Gateway (Шлюз веб-sms) SecurEnvoy Radius server (Сервер Radius) Страница 24
6.2 Безопасность Active Directory Для учетной записи администраторской службы LDAP, используемой SecurEnvoy для SecurAccess и SecurPassword, требуются следующие разрешения Active Directory: Чтение всех пользовательских атрибутов (разрешение по умолчанию для всех пользователей). Доступ к записи PreliminaryTelexNumber (также обозначается как Telex Number). Доступ к записи Telex Number Other Дополнительно, для возможности обновления атрибутов мобильного и электронного адреса пользователя с помощью администраторского GUI SecurEnvoy: Доступ к записи мобильного номера (по выбору). Доступ к записи электронного адреса (по выбору). Для регистрации в SecurPassword и интегрированном рабочем столе (Integrated Desktop): Объект пользователя: Reset password (сброс пароля). Объект пользователя: Change password (изменение пароля). Пример: Настройка securenvoy пользователя-администратора с помощью ADSI Edit в Windows 2003. 1. Создайте пользователя с именем «securenvoy» в обычном порядке и укажите в данной системной учетной записи Password never expires (время действия пароля неограниченно). 2. (Только для Windows 2003) Установите инструменты поддержки с Windows 2000 SP4 или 2003 SP1 Server CD и добавьте ADSI Edit в качестве Snap-In (подключение) к MMC. 3. Щелкните правой кнопкой мыши на верхнем каталоге, например, если домен называется dev.com, после чего щелкните правой кнопкой на DC=dev, DC=com и выберите Properties (свойства). 4. Выберите закладку Security (безопасность) и нажмите кнопку Add (добавить) для добавления пользователя «securenvoy», созданного в первом шаге. 5. Нажмите кнопку Advanced (дополнительно). Страница 25
6. Повторно выберите пользователя в списке Permission entries (записи разрешения). 7. Нажмите кнопку Edit (редактировать) и выберите закладку Properties (свойства). 8. В поле Apply onto (применить к ) выберите Contact objects (связаться с объектами). - Отметьте Allow Write Telex Number (разрешить запись номера телекса). - Отметьте Allow Write Telex Number (Others) (разрешить запись номера телекса - других). - Отметьте Allow Write Mobile Number (разрешить запись номера сотового телефона). - Отметьте Allow Write E-Mai (разрешить запись адреса электронной почты). 9. Смена поля «Apply onto» с «Contact objects» на «User objects». Все выбранные атрибуты будут перенесены в User objects (пользовательские объекты). 10. Выберите закладку Object (объект). 11. Выберите User objects (пользовательские объекты). 12. Отметьте Reset Password (сброс пароля) и Change Password (сменить пароль) (обе опции необходимы только для программ SecurPassword или Integrated Desktop). 13. Нажмите ОК. Страница 26
14. Нажмите Apply. Теперь у учетной записи должно быть шесть разрешений (см. рис. слева). 15. Щелкните правой кнопкой мыши на AdminSDeolder под каталогом CN=system и выберите Properties (свойства). Выберите опцию Allow heritable permissions (Допускаются наследуемые разрешения). Нажмите ОК. При этом обеспечивается поддержка пользователей, являющимися членами следующих защищенных групп: - Администраторы. - Операторы учетных записей. - Операторы серверов. - Операторы печати. - Операторы резервных копий. - Администраторы доменов. - Администраторы схем. - Администраторы предметных областей. - Издатели сертификатов. Примечание Внесение изменений в защищенные группы занимает до 1 часа. Страница 27
Для проведения тестирования запустите администраторский GUI SecurEnvoy, активируйте пользователя, введите номер телефона и нажмите Update user (обновить пользователя). Вы должны получить сообщение «OK, Passcode Sent To Gateway» (ОК, код-пароль отправлен через шлюз) Получение сообщения «ERR, Error writing to LDAP, General Access denied error» (ошибка записи в LDAP; общая ошибка отказа в доступе) означает, что ваши разрешения записи не являются корректными. 6.3 Безопасность LDAP (прочее) Необходимо, чтобы учетная запись администраторской службы LDAP, используемая SecurEnvoy для SecurAccess и SecurPassword, имела следующие разрешения Active Directory: Чтение всех пользовательских атрибутов (разрешение по умолчанию для всех пользователей). Доступ к записи PreliminaryTelexNumber. Доступ к записи номера сотового телефона (по выбору). Доступ к записи электронного адреса (по выбору). User Object: Reset Password (необходимо только для регистрации в SecurePassword или Integrated Desktop). Примечание При установке SecureEnvoy Managed Users Microsoft ADAM необходимо только имя пользователя, поскольку SecureEnvoy автоматически создает учетную запись администратора securenvoy. Кроме того, SecureEnvoy Managed Users Microsoft ADAM всегда использует PIN-код, поскольку пароль всегда виден как текст (это ограничение Microsoft ADAM). Страница 28
Обновление I Часть 7.0 Страница 29
7.0 Обновление программного обеспечения SecureEnvoy Перед установкой/обновлением Перед обновлением программного обеспечения сервера безопасности SecurEnvoy создайте копии: Ключа config.db configpre54.db local.ini файла server.ini которые размещены: Для 32-разрядных установок: install dir\program Files\SecurEnvoy\Security Server Для 64-разрядных установок: install dir\program Files(x86)\SecurEnvoy\Security Server Также следует экспортировать регистрационный ключ HKLM\software\SecurEnvoy. Наконец, скопируйте каталог DATA. Установка Запустите установочный файл ПО сервера безопасности SecurEnvoy. При запуске установочного файла он проверяет, установлена ли программа Microsoft.Net Framework 3.5. Если она не установлена, то будет загружена и установлена программа Microsoft Dot Net Framework. Примечание Программа Microsoft.NET 3.5 должна быть установлена. Нажмите «I agree» в разделе лицензионных условий Microsoft, после чего нажмите кнопку установки.net. По завершении установки.net нажмите ОК для продолжения. Программа настройки выполнит процедуру обновления. При появлении подсказки нажмите Next (далее). Отметьте принятие лицензионных условий SecurEnvoy; нажмите Next для продолжения. Страница 30
Примите путь установки обновления, указанный по умолчанию, или введите существующий путь с указанием, где сервер безопасности SecurEnvoy должен быть обновлен. Для продолжения нажмите Next. Откроется окно Setup Type (тип установки); при нажатии Typical (обычная установка) установятся только SecurAccess, SecurPassword и сервер Radius. Такая конфигурация подходит большинству сред аутентификации типа удаленного доступа. При необходимости установки других продуктов SecurEnvoy нажмите кнопку пользовательской установки. Примечание Убедитесь в наличии всех необходимых лицензий на запуск дополнительных продуктов SecurEnvoy. Откроется окно конфигурации установки, в котором указываются все продукты, которые будут установлены: SecurAccess / SecurICE / SecurPassword установят на сервер безопасности программные продукты SecurAccess, SecurICE и SecurPassword. SecurMail установит на сервер безопасности компоненты продукта SecurMail. Программа позволяет отправлять защищенные электронные сообщения без необходимости PKI (инфраструктуры открытого ключа). Получатель электронного сообщения аутентифицируется по двум факторам, поэтому, пользователь может быть уверен, что защищенное сообщение получено только тем, кому оно предназначено. Нажмите Next Подтвердите правильность всей введенной информации; если все правильно, нажмите Install (установить), либо нажмите кнопку Back для возврата на предыдущую страницу и внесения изменений. Ход установки будет отображаться в строке состояния. По завершении установки автоматически запустится программа расширенной конфигурации. Подробности см. в разделе 3. Страница 31