Windows SmartCard для общих рабочих станций
Некоторые щипнувшие от моего bashrc:
alias grep='grep --color=auto'
alias egrep='grep -E --color=auto'
alias e='$EDITOR'
alias g='git'
alias csort='sort | uniq -c | sort -n' # column sort piped data
alias sl='ls' # fat fingers
Обычно я обычно имею свою фигуру bashrc что диспетчер пакетов системное использование и затем исказил его как apt и yum, имея в виду на любой машине, на которой работает мой bashrc, я могу просто сделать:
apt search foo
yum install foo
apt update
Это не прекрасно, но большинство общих действий является тем же между конфеткой и способностью, к тому времени, когда Вы пытаетесь сделать что-то более сложное, можно просто помнить то, что ОС Вы идете.
Вы рассмотрели биометрику? Считыватель отпечатков пальцев будет обычно позволять или 5 или 10 цифровых отпечатков на учетную запись пользователя (один для каждого пальца), или в теории, 5-10 человек на одной учетной записи пользователя (просто сканируют палец каждого человека в различное местоположение).
Это не будет работать, если это будет в промышленном месте - то читатель испачкается, пальцы грязны, грязь, пыль, все плохо для биометрики. И это не является точно надежным ни один (был большой эпизод Разрушителей легенд на этом), но это должно не пустить честных пользователей.
Я также видел блестящую систему в TradeLink всех мест (слишком плохо, он не мешал им завинтить наш порядок).
У них были Тонкие клиенты Sun со смарт-картами. Каждый раз, когда скачкообразно перемещенный с их стола и взял их карту с ними, сессия заблокирует. Поп это въезжает задним ходом, и сессия, разблокировал бы.
Конечно, быть тонким клиентом, это означает, что это полагается на Терминальный сервер и я предполагаю, учитывая деликатный характер Вашего оборудования, это не было бы практично, но если это существует на уровне тонкого клиента, я уверен, что будет продукт, который работает с традиционными рабочими столами также.
-
1Мне нравится это лучше затем идея Смарт-карты, если Вы можете. Никто не может сказать, что я потерял палец, и someon еще использовал его! – SpaceManSpiff 12 August 2009 в 01:58
-
2Хм. но Вы освободили бы свою смарт-карту или палец, если крыло злодеев James Bond хочет получить доступ? Anyhoo, < b> потребитель level</b> биометрика не является точной наукой (отнюдь нет) и очень чувствительна к himidity и пыли и грязи и грязи (следовательно, почему they' отрицательный результат ре для промышленного использования), но это была бы довольно дешевая опция. Они просто должны не забыть блокировать ПК когда they' ре закончилось (или имейте его автоблокировка после 1 минуты неактивности), – Mark Henderson♦ 12 August 2009 в 02:42
-
3Блокировка сессии Тонкого клиента Sun и разблокирование точно, что я хочу. Я don' t хотят, чтобы рабочая станция вышла из системы, если карта удалена. Биометрика wouldn' t работа, как it' s не постоянно подарок к рабочей станции как смарт-карта. – churnd 12 August 2009 в 14:56
-
4Я, кажется, вспоминаю, что некоторые наши более старые основанные на SPARC рабочие станции имели встроенные картридеры также. К сожалению, ни один из них не запустил бы Windows. Хм. – Brian Knoblauch 9 October 2009 в 23:02
На Вход в систему Смарт-карты ссылаются в этих ссылках:
http://support.microsoft.com/kb/281245
http://technet.microsoft.com/en-us/library/dd277386.aspx
Вы могли также периодически изменять пароль и угрожать авторизованным операторам не выделить его. Конечно, это не может работать с критическим программным обеспечением.
Почему бы не выпустить единственный сертификат для пользователя в Вашем домене и условии несколько смарт-карт с тем единственным сертификатом? Это позволит нескольким картам совместно использовать те же идентификационные данные, которые являются тем, в чем Вы нуждаетесь (если я понял правильно). Смарт-карты действительно требуют некоторого уровня доменной функциональности и возможно инфраструктуры PKI. Если у Вас нет этого, Вы могли бы посмотреть на некоторые продукты, которые позволят Вам выполнять что-то подобное.
Я на самом деле реализовал этот и сделал обширное тестирование в отношении аутентификации SmartCard. Существуют вещи, намекнул на то, что это проверяет и как это работает в ссылке Sam на статью Microsoft KB: http://support.microsoft.com/kb/281245
При использовании сертификата SmartCard большую часть времени сертификат, присоединенный к SmartCard, сгенерирован НА карте, и закрытый ключ не может быть экспортирован. Так использование того же сертификата на нескольких картах не может работать, если это не сгенерировано вне карты, затем импортированной. Не все карты позволяют ключу быть импортированным как этот. Однако можно выпустить несколько сертификатов, которые входят в систему в ту же учетную запись. Все необходимо удостовериться, является UPN на всем соответствии сертификатов, даже если сертификаты не являются тем же.
Через опыт и некоторые technet/MSDN статьи, Microsoft Active Directory проверяет следующие вещи видеть, верны ли они для предоставления доступа, основанного на сертификате, предоставленном SmartCard:
- Изданию CA доверяют для сертификации входа в систему SmartCard?
- Действительно ли сертификат CA издания действителен (не, истек, не отменяемый)?
- Сертификат SmartCard выпущен доверяемым и допустимым CA?
- Действительно ли сертификат SmartCard действителен (не, истек, не отменяемый)?
- Пользовательский Принципал называет на сертификате, SubjAltName соответствуют Пользовательскому Имени Принципала в Active Directory? Пример: joesmith@ADDomain.com
- Список аннулированных сертификатов может быть положительно получен, как указано в сертификате Смарт-карты и CA для подтверждения состояния аннулирования?
- Сертификат SmartCard имеет ключевое использование Входа в систему SmartCard?
Однажды все вышеупомянутое верны, аутентификация SmartCard успешно выполнится.
Вы могли даже использовать один SmartCard для аутентификации несвязанного или недоверяемого домена. Например, если пользователь с входом в систему Windows john.doe@domainA.com выпущен с сертификатом входа в систему SmartCard для john.doe@domainA.com; John Doe может войти в domainB.com, как раз когда Jane Smith, пока Издание CA импортируется в AD domainB правильно, как доверяется для выпуска SmartCard и учетной записи Jane Smith, установлена смочь войти в систему с john.doe@domainA.com.
Важно отметить, что Предварительные окна 2000 входят в формат: DOMAIN\username не используется для аутентификации Сертификатов SmartCard. Таким образом, можно установить вход в систему 2000 года Перед окнами как одну вещь, в то время как UPN к другой вещи.
Наконец, из-за вышеупомянутых последствий, в установке повышения уровня защиты, методы CA чрезвычайно важны, поскольку подделанная аутентификация легка, если CA не управляют. Как можно предположить, CA, который не проверяет идентификационные данные тех, которые запрашивают, сертификат может выпустить дублирующиеся сертификаты, который позволяет другим исполнять роль конкретного человека.
Если вам когда-либо приходилось обновлять эту систему до более новой версии Windows, взгляните на Групповую политику смарт-карт и параметры реестра в документации Technet.
Удаление смарт-карты служба политики , доступная в Windows 7, сразу же предоставит вам желаемую функциональность блокировки / разблокировки. Все, что вам нужно сделать, это настроить его.
Для более старых версий Windows вам потребуется дополнительное программное обеспечение для выполнения блокировки / разблокировки. На рынке представлены различные решения бесконтактной блокировки / разблокировки / входа, в которых в основном используются ключи RFID.