Обеспечение безопасности в Novell Single Sign-on


Поддержка работы с несколькими пользователями

Если несколько пользователей применяют рабочую станцию Windows* 95/98, каждый из них может получить доступ к секретам первого пользователя.

Чтобы избежать возникновения такой ситуации, выполните на рабочей станции следующие шаги.

  1. Дважды щелкните значок 'Пароли' на панели управления и откройте вкладку 'Профили пользователей'.

    2.

  2. Выберите 'Пользователь может изменять свои настройки', нажмите кнопку ОК, а затем перезагрузите рабочую станцию.

    3.

После включения этой функции, операционная система создаст новый уникальный профиль для каждого пользователя, регистрирующегося на рабочей станции. После этого v-GO сможет использовать отдельные профили.


Применение политик паролей

Можно применить политики паролей к введенным паролям в некоторых приложениях, изначально не поддерживающих эту функцию.

Когда пароли вводятся в мастере регистрации v-GO, а не непосредственно в диалоговом окне изменения пароля приложения, программа v-GO может применять политику паролей при обнаружении события изменения пароля, если она была правильно настроена.

Чтобы настроить политику пароля, создайте объект nssoPasswordPolicy.

  1. В программе ConsoleOneTM щелкните правой кнопкой объект nssoSingleSignon.

    2.

  2. Последовательно выберите команды 'Новый' > 'Объект' > 'nssoPasswordPolicy', а затем нажмите кнопку OK.

    3.

  3. Задайте имя объекта (например, nssoResearchPol).

    4.

  4. (Необязательно). Определите свойства.

    Если установить флажок 'Определить дополнительные свойства' и нажать кнопку ОК, то отобразится страница общих свойств объекта nssoPasswordPolicy. Можно выполнить следующие действия.

    • Включить функцию автоматической генерации паролей v-GO.
      •

    • Запретить использование недопустимых паролей.

      Если создан объект nssoPasswordExcludeList, найдите и выделите его, а затем два раза нажмите кнопку ОК.

      Чтобы сохранить изменения без выхода, нажмите кнопку ОК, а затем кнопку 'Применить'.

    5.

Исключение паролей высокого риска

Можно запретить пользователям вводить пароли высокого риска с помощью объекта nssoPasswordExcludeList.

  1. Щелкните объект nssoSingleSignon правой кнопкой мыши.

    2.

  2. Последовательно выберите команды 'Новый' > 'Объект' > 'nssoPasswordExcludeList', а затем нажмите кнопку OK.

    3.

  3. Введите имя (например, ResearchList).

    4.

  4. (Необязательно). Определите свойства.

    Если установить флажок 'Определить дополнительные свойства' и нажать кнопку ОК, то отобразится страница общих свойств объекта nssoPasswordExcludeList.

    Чтобы ввести новые слова в окне 'Список исключений', нажмите кнопку 'Добавить' и введите слова.


    Чтобы ввести одно новое слово, нажмите кнопку 'Добавить', введите слово и нажмите кнопку ОК. Чтобы быстро добавлять слова одно за другим, установите флажок 'Добавить другое слово' и нажмите кнопку ОК.

    Кроме того, в окне 'Список исключений' можно выполнить следующие действия.

    • Чтобы изменить слово в списке, нажмите кнопку 'Изменить'.
      •
    • Чтобы экспортировать исключенные слова в файл, нажмите кнопку 'Экспорт', перейдите в нужный каталог и введите имя файла.
    • Чтобы импортировать слова из экспортированного файла, найдите и выберите нужный файл.
      •
    • Чтобы перезаписывать существующие слова без отображения сообщения о повторении, установите флажок 'Не показывать повторяющееся сообщение'.
      •
    • Чтобы добавлять имена в файл, нажмите кнопку 'Экспорт', установите флажок 'Дописать в файл', найдите и выделите нужный файл, нажмите кнопку 'Да' для сохранения, а затем нажмите кнопку ОК.
      •
    • Чтобы сохранить список и выйти, нажмите кнопку ОК. Чтобы сохранить список и продолжить изменения, нажмите кнопку 'Применить'.
      •

  5. (Необязательно). Установите флажок 'Создать другой объект nssoPasswordExcludeList'.

    Для каждого приложения можно создать отдельный список паролей. Также можно создать только один список, и затем повторно его использовать.


Использование дополнительной защиты

Novell® SecretStoreTM поддерживает следующие способы дополнительной защиты.


Блокировка SecretStore

Если для какого-либо секрета в хранилище Novell SecretStore включен параметр 'Дополнительная защита', при изменении пароля пользователя NDS® хранилище SecretStore "блокируется". Пока SecretStore заблокировано, секреты, сохраненные с параметром 'Дополнительная защита', не могут быть прочтены.

Блокировка SecretStore снимается только после ввода пользователем последнего заданного пароля NDS. Поскольку предполагается, что администратору неизвестен предыдущий пароль пользователя NDS, в заблокированном состоянии секреты с дополнительной защитой недоступны.

Сервисы NDS и SecretStore различают изменения паролей, выполняемые пользователем и администратором. SecretStore блокируется только в случае изменения пароля пользователя администратором. Только при внесении изменений пользователем его зашифрованный пароль обновляется в SecretStore.

Такая защита надежна, если пользователь хотя бы один раз изменял пароль NDS после создания учетной записи и до занесения в хранилище секретов с дополнительной защитой. В этом случае администратор не знает предыдущего пароля пользователя. Следует завести правило требовать изменение пароля при первой регистрации при настройке новых объектов Пользователь в NDS.

Пользователи с правами, эквивалентными правам администратора, то есть пользователи с правами Супервизор, фактически не являющиеся администраторами сети, должны соблюдать осторожность при вводе собственных паролей. Если пользователь вводит пароль, а затем регистрируется с правами, эквивалентными правам администратора, его хранилище SecretStore блокируется.


Настройка главного пароля

Главный пароль дополнительной защиты предоставляет пользователям альтернативный способ разблокирования SecretStore. Главный пароль --- это постоянный пароль, который хранится в SecretStore и который можно обновлять. Если пароль NDS изменен администратором, пользователь сможет разблокировать SecretStore, воспользовавшись главным паролем вместо предыдущего пароля NDS.

Для работы с главным паролем применяется утилита SecretStore Manager (SSMANAGER.EXE). Данная утилита позволяет сохранить подсказку вместе с главным паролем. Если впоследствии при разблокировании SecretStore будет введен неправильный пароль, то утилита SecretStore Manager отобразит эту подсказку, чтобы напомнить Вам главный пароль.

Другие интерфейсы для разблокирования SecretStore (такие как коннекторы, встроенные в Lotus* Notes* и Entrust), позволяют вводить главный пароль вместо предыдущего пароля NDS. Однако эти интерфейсы могут не поддерживать отображение подсказки.

Чтобы задать главный пароль и подсказку, запустите утилиту SecretStore Manager (или SecretStore Status) из группы программ Single Sign-on и выберите в меню 'Опции' команду 'Установить главный пароль'.

Кроме того, задать главный пароль в SecretStore Manager можно с помощью команды

ssmanager.exe /sp

Данная команда позволяет открыть диалоговое окно 'Установить главный пароль'. Эта возможность упрощает ввод данных главного пароля и подсказки пользователями.


Настройка пароля приложения

Пароль приложения --- необязательное средство дополнительной защиты, разработанное для защиты секретов приложений от других приложений, выполняемых на аутентифицированной рабочей станции. Этот пароль вводится отдельно для каждого секрета при его записи. Он запрещает приложению читать секрет, если при вызове функции nssoReadSecret() не введен правильный пароль приложения.

Пароль приложения определяется приложением, поддерживающим Single Sign-on, в котором создан секрет. Пароль приложения должен быть уникальным для каждого приложения и пользователя. Эти пароли являются секретами приложений в полном смысле слова. Они неизвестны пользователю или другому приложению.

Программа v-GO для Novell Single Sign-on использует пароль приложения, если для этого приложения включено использование пароля приложения в конфигурации Single Sign-on в NDS. Кроме того, средство 'Пароль приложения' доступно всем разработчикам приложений и коннекторов, поддерживающих Single Sign-on.

Если секреты хранятся с паролями приложений, они не могут быть просмотрены или прочтены, если не задан главный пароль. При попытке просмотра секрета, сохраненного с паролем приложения, утилита SecretStore Manager выводит приглашение для ввода главного пароля.


Копирование SecretStore из одного дерева в другое

Утилита SecretStore Manager позволяет копировать содержимое SecretStore из одного дерева в другое.

Рассмотрим следующий сценарий. Компания 'Компьютерные авиалинии' приобрела компанию 'Путешествия'. Бывшие сотрудники этой компании получили учетные записи в дереве компании 'Компьютерные авиалинии'. Эти сотрудники могут аутентифицироваться в обоих деревьях и скопировать свои секреты из соответствующей учетной записи компании 'Путешествия' в дерево компании 'Компьютерные авиалинии'.

Программа v-GO работает одновременно только с одним хранилищем SecretStore и поддерживает функцию ограниченного копирования, позволяя пользователю синхронизировать секреты v-GO с новым деревом или объектом, если они могут аутентифицироваться в старом дереве. Однако программа v-GO не позволяет копировать секреты, не относящиеся к v-GO, в новое дерево. Такие секреты копируются утилитой SecretStore Manager.

В любом случае для обеспечения защиты необходимо требовать повторной аутентификации пользователя в объекте исходного дерева и убедиться, что хранилище SecretStore не блокировано до получения разрешения на копирование сведений. В противном случае секреты могут быть раскрыты.


Разъединенная аутентификация

Для повышения быстродействия секреты v-GO копируются из хранилища SecretStoreTM, входящего в NDS, в хранилище зашифрованных данных в каталоге Windows на рабочей станции, файл которого имеет следующее имя:

имя_пользователя AML.INI.

В v-GO для Novell Single Sign-on можно задать сохранение этого локального хранилища после закрытия аутентифицированного сеанса NDS. На портативных компьютерах такая настройка обеспечивает доступ к данным регистрации при работе в автономном режиме.

Синхронизация выполняется, когда компьютер и программа v-GO запускаются в сети, подключенной к NDS, при каждом обновлении данных регистрации в локальном хранилище и при завершении работы v-GO. Для получения доступа к локальному хранилищу необходимо пройти регистрацию в Windows.

В состав NSSO 2.1 включен и инсталлируется клиент корпоративного выпуска сервиса (NMASTM). Этот клиент обеспечивает в программе v-GO возможность отключенной аутентификации в NDS и повторной аутентификации с выводом пароля. По умолчанию программа инсталляции NSSO на рабочую станцию (NSSOINSTALL.EXE) инсталлирует клиент NMAS и конфигурирует клиент Novell ClientTM для отображения полей ввода пароля NDS в диалоговом окне регистрации NDS. После регистрации зашифрованная с помощью NICI и хэшированная копия пароля NDS сохраняется в системном реестре. Затем зашифрованный пароль сравнивается в сервисе NSSO с именем пользователя и паролем, введенными пользователем в ответ на события отключенной или повторной аутентификации.

Если обрабатываются пароли, отличные от NDS, каждому пользователю необходимо один раз провести обработку пароля NDS, чтобы записать его учетные данные и пароль на рабочей станции. В дальнейшем эту обработку можно исключить из процесса регистрации и заменить ее аутентификацией в каталоге на основе биометрических данных, карт доступа или электронных ключей.


Использование экранной заставки NDS

Экранная заставка NDS использует NDS для аутентификации пользователя, чтобы разблокировать рабочую станцию Windows. Для правильной работы экранной заставки NDS, предназначенной для Windows 95/98, требуется Novell Client для Windows 95/98 версии 3.30.

Экранная заставка NDS, поставляемая в пакете программ Novell Single Sign-on, является компонентом клиента NMAS. Полная версия корпоративного выпуска сервиса NMAS EE 2.0 поддерживает возможности централизованного администрирования экранных заставок, включая управление пятнадцатиминутным максимальным значением таймаута. Это значение можно при желании уменьшить, однако нельзя увеличить.

По умолчанию экранная заставка NDS инсталлируется вместе с Single Sign-on на рабочую станцию Windows 95/98. Имеется возможность инсталлировать экранную заставку на рабочую станцию Windows NT/2000.

При отключении рабочей станции экранная заставка NDS использует сервисы NICI для безопасного сохранения зашифрованного пароля пользователя в реестре. После блокировки экрана заставка позволяет выполнить повторную аутентификацию в NDS аналогично аутентификации заставки на консоли сервера.

Для централизованного администрирования экранной заставки необходим сервис NMAS 2.0. Конфигурация позволяет определять доступность следующих возможностей.

Все параметры, доступные пользователю, отображаются в окне свойств экрана. Пользователю рабочей станции доступны только разрешенные параметры.

После инсталляции на рабочей станции этот компонент начинает использоваться автоматически. При блокировании рабочей станции или запуске экранной заставки диалоговое окно NDS позволяет пользователю аутентифицироваться в NDS. Если аутентификация выполнена успешно, рабочая станция разблокируется и пользователь получает доступ к рабочему столу.

Кроме того, Вы можете разблокировать рабочую станцию, но при этом пользователь будет разрегистрирован. В этом случае все программы, запущенные пользователем, будут завершены. Следует соблюдать осторожность при использовании данной возможности, поскольку это может привести к потере несохраненных файлов.

Кроме того, при блокировании рабочей станции может потребоваться разблокирование.

Рассмотрим следующий сценарий. Ваша рабочая станция подключена к сети и на ней запущена экранная заставка NDS. Рабочая станция блокируется. В это время теряется соединение с сетью. Для разблокирования рабочей станции выполните одно из следующих действий.

Чтобы инсталлировать экранную заставку NDS, запустите программу CLIENTSETUP.EXE из каталога \Client\NMAS\ScreenSaver на компакт-диске Novell Single Sign-on.

ПРИМЕЧАНИЕ:  Если Вы блокируете экранную заставку на Windows NT, экран может очиститься после истечения значения таймаута. Вследствие ошибок Windows диалоговое окно разблокирования не отображается в течение двух минут.