SafeNet Borderless Security (Bsec) PK 7
Instala ní manuál
Poslední verze: 12.5.2010
OBSAH:
ÚVODEM............................................................................................................ 3
POSTUP INSTALACE ....................................................................................... 4
I. ADMINISTRATIVE MANAGEMENT CENTER (AMC) .................................. 4
A)
B)
C)
D)
CONFIGURATION MANAGER ................................................................................. 4
TOKEN MANAGER................................................................................................. 5
POLICY MANAGER................................................................................................ 6
CLIENT BUILDER .................................................................................................. 8
II. VYTVO ENÍ KLIENTSKÉHO BALÍ KU ..................................................... 9
III. INSTALACE KLIENTSKÉHO BALÍ KU .................................................. 13
IV. INICIALIZACE TOKENU/KARTY ............................................................. 13
DALŠÍ INFORMACE ........................................................................................ 14
ÍKLADY A TIPY PRO POUŽITÍ TOKENU................................................... 14
2
ÚVODEM
SafeNet Borderless Security PK 7.3 je balík softwaru, který poskytuje kompletní
podporu pro tokeny iKey 2032/4000 a ipové karty SC 330/400 výrobce SafeNet Inc.
Obsahuje:
Administrative Management Center pro správu a vytvá ení tzv. klientských
balí ,
BSec PK Client – vzorový klientský balí ek ur ený pro koncové uživatele,
CryptoService Provider (CSP) – knihovny pro kryptografické operace (Safenet
Inc.),
Ovlada e pro tokeny iKey a te ky karet,
Pomocné utility a dokumentaci.
Tento dokument je ur en integrátor m bezpe nostních ešení, administrátor m
a koncovým uživatel m, kterým by m l pomoci implementovat autentiza ní prost edky
firmy SafeNet Inc.
Auto i manuálu doufají, že se s jeho pomocí poda í uživatel m optimáln využít
všechny možnosti, které naše tokeny/karty nabízejí.
Sou ástí balení tohoto Software Development Kitu (SDK) je:
Autentiza ní USB token iKey 2032 / iKey 4000
Instala ní CD obsahující ovlada e a aktuální verzi middleware BSec PK
Manuál
Podporované opera ní systémy :
Windows XP, W2000, W2003, Windows Vista, W2008 (pouze jako klient)
3
POSTUP INSTALACE
I.
II.
III.
IV.
instalace Administrative Management Center (AMC)
vytvo ení klientského balí ku v AMC
instalace klientského balí ku a ovlada na koncové PC
inicializace tokenu/karty
I. ADMINISTRATIVE MANAGEMENT CENTER (AMC)
Aplikace AMC slouží pro vytvá ení klientských balí
a nastavování bezpe nostní politiky.
BSec PK Client, jejich správ
Instalace AMC:
1) spus te soubor „SafeNet Administrative Management Center.msi“ z CD
2) proklikejte se až k tla ítku Finish
i prvním spušt ní AMC (dkamc.exe, nebo z nabídky Start/Programy/Safenet/AMC)
po Vás bude vyžadován licen ní kód. Ten najdete na konci tohoto manuálu.
Po zadání kódu se objeví základní obrazovka AMC.
a) Configuration Manager
se nastavuje pouze p i využití Microsoft certifika ní autority ve Windows domén .
Specifikuje se zde certifika ní autorita, délka RSA klí e, šablona certifikátu a další
nastavení, která se projeví p i Enrollmentu p es webové rozhraní.
4
b) Token Manager
- nastavení maximálního po tu neúsp šn zadaných PIN , minimální délky PINu/hesla,
as v minutách, po jehož uplynutí je pot eba znovu zadat PIN/heslo k tokenu.
Pomocí tla ítka Advanced lze nastavit další vlastnosti hesla k tokenu (PINu).
- složitost PINu (vynutit použití velkých/malých písmen, ísel a speciálních znak
nebo dv /t i libovolné kategorie z výše uvedených),
- expirace PINu (v týdnech),
- po et PIN , které si token pamatuje z historie, a nemohou být použity,
- po et dn p ed expirací, kdy je uživatel upozorn n na konec platnosti PINu.
5
c) Policy Manager
- tato volba je aktivní pouze p i zakoupení verze Single Sign On (SSO). Policy manager
umož uje:
specifikovat aplikace, ke kterým se uživatelé budou hlásit heslem uloženým
v tokenu,
specifikovat osoby/skupiny, které budou mít p ístup k daným aplikacím
s využitím Active Directory,
koncovým uživatel m „trénovat“ další aplikace, do kterých se cht jí
automaticky p ihlašovat (SmartLogon).
Jak nau it token p ihlašovat se do libovolné aplikace (SSO):
Add new application policy – zadat název aplikace/p ihlašovacího okna
Ve vytvo ené záložce Dialogs trained zvolte Train Dialog (viz obrázek)
Spus te aplikaci/webovou stránku, k níž se chcete p ihlašovat
Uchopte ikonku glóbu a p etáhn te ji na p ihlašovací formulá
stránky/aplikace
Automaticky se vyplní dialogové okno (Step 2)
webové
Po kliknutí na Next m žete zadat „friendly“ jméno pro Váš dialog (Step 3)
Step 4 – výb r textového pole, do kterého zadáváte p ihlašovací údaje (viz obr.).
Pomocí Previous/Next Text Field zvolíte p íslušné pole v dialogu a p adíte mu
roli: Username, Password nebo Vámi vytvo ená role pomocí tla ítka New/Edit.
6
Pomocí tla ítek Previous/Next Button se vybere potvrzovací tla ítko v dialogu.
Druhá možnost (viz obr.) je simulace „stisknout ENTER“ pro p ihlášení.
Další obrazovka (Step 6) shrnuje vše, co bylo natrénováno (textová pole,
tla ítka). Na následujícím obrázku je vid t, že byla natrénována pole Username
a Password na stránkách www.askon.cz a simulovaný stisk klácvesy ENTER.
7
Po absolvování tohoto wizardu je nutné „naplnit“ token skute nými p ihlašovacími
údaji. Toho se dosáhne p i Enrollmentu provedeném nap . p es Token Manager Utility
(webový enrollment).
Druhá možnost, jak nau it aplikace automatickému p ihlašování, je pravým tla ítkem
kliknout na ikonku v systray ( erný token) a zvolit možnost SmartLogon (viz obr. níže).
Programování p ihlašovacího dialogu vybrané aplikace probíhá analogicky postupu
v AMC.
Pozn.: Pro využití této možnosti je pot eba mít již nainstalovaný klientský balík BSec
SSO client.
d) Client Builder
„Create New Policy Client“ startuje dialog, pomocí kterého vytvo íte klientský balí ek
(BSec PK Client) pro koncového uživatele tokenu/karty. Tento balík spolu s driverem
(je možnost mít driver i jako sou ást klientské instalace) již umož uje používání tokenu
iKey 2032/4000 a je k n mu nutnou podmínkou.
8
Vytvá ení klientského balí ku popisuje blíže následující kapitola. Po skon ení dialogu
se na ur eném míst balí ek uloží (*.msi) a je p ipraven k distribuci na koncové stanice.
Pozn.: Token iKey 2032/4000 je funk ní i bez programu AMC, je nutné mít
nainstalovaný klientský balík Safenet BSec PK Client s driverem.
II. VYTVO ENÍ KLIENTSKÉHO BALÍ KU
Spus te AMC (viz oddíl I.) a p ejd te na Client Builder. Zvolte „Create New Policy
Client“ a objeví se dialog „Configure Policy Client Name and Path“. V tomto okn
nazv te klientský balí ek (stejn se nazve adresá s instala ními soubory), zvolte, jak se
bude nazývat p ihlašovací heslo k tokenu (PIN) a cestu, kam se balí ek uloží.
9
Další dialogová okna následují:
Configure PKI Certificate options - Pokud budete používat token jako úložišt
certifikát , zvolte YES. M žete zvolit, pro které aplikace se má automaticky
zaregistrovat knihovna PKCS#11 (nastavení Netscape je i pro Mozillu).
Automatic Certificate Registration - Pokud používáte certifikát v programech
využívajících CSP knihovnu -Outlook, Internet Explorer, Windows logon a další,
zapn te autoregistraci (YES). Druhá volba (automatická deregistrace) znamená, že se
íslušné certifikáty p i vytažení tokenu aplikací odregistrují a nez stávají po nich stopy
v systému (YES-autoderegistrace, NO-certifikát z stane registrovaný v MS Store).
Import Certificate Chain Options – zvolte YES, pokud chcete, aby byl uživatel tázán,
jestli má na token importovat i certifikáty nad ízených certifika ních autorit. P i volb
NO níže vyberte, jestli se budou certifikáty automaticky importovat na token nebo ne.
Token Manager Utility - instalovat Token Manager Utility – YES/NO. Jedná se o
webovou aplikaci pro Internet Explorer, která umož uje jednoduchou správu tokenu. Je
ale možné token plnohodnotn spravovat i pomocí Token Utilities/CIP Utilities.
Enrollment wizard – umožní inicializaci tokenu (aplikace nastavených politik
v AMC, nastavení PINu, možnost vyžádání certifikátu).
Enrollment Update – umožní zm nit PIN, odblokovat token (pokud inicializován
s Unblocking kódem), vyžádání a obnova certifikátu a import certifikátu PKCS#12.
Suppress default Device Setting – zaškrtn te, pokud chcete potla it defaultní hlášku
„Do you want to use Slot X?“. Uplatní se, pokud jsou využívány jiné karty/tokeny,
než Safenet a uživatel nechce stále potvrzovat íslo USB slotu.
Enrollment (inicializace) - smaže se obsah tokenu, nastaví se jeho parametry
(název a heslo-PIN) podle pravidel ur ených v oddíle I. b). V p ípad
10
ihlašování certifikátem do Windows (Windows LogOn) se automaticky
vygeneruje pár klí na tokenu a zašle se žádost o certifikát na CA – podle
nastavení v I. a). Následn je uživatel vyzván k zadání login a hesel pro
aplikace p edp ipravené administrátorem v ásti I. c). Toto platí pouze pro verzi
se SSO.
Pozn.: následující dv okna se týkají aplikace Token Manager Utility (pokud nezahrnete
TMU do klientského balíku, budou p esko ena)
Enrollment Wizard – co se bude dít, pokud Enrollment wizard najde na tokenu data.
Pokra uje v inicializaci, data budou smazána
esm rování do aplikace Enrollment Update (viz výše)
Upozorn ní pro uživatele, že p i Enrollment se data smažou (Prompt user for
action)
Ve spodní ásti tohoto okna se dá nastavit, jestli bude sou ástí procesu Enrollment i
odeslání žádosti o certifikát na Vaší CA pro Windows Logon. P i volb YES musí být
v bod I. a) nastavena správn certifika ní autorita.
Enrollment Update – nastavení, zda m že uživatel v této aplikaci importovat digitální
ID p es soubory P12/PFX (YES/NO), zda lze žádat o certifikát (YES/NO), i obnovit
stávající certifikát (YES/NO). Pro nastavení druhé a t etí možnosti musí být op t
správn nastavena certifika ní autorita (bod I. a).
Configure Client Workstation Logon Options: Pro p ihlašování do systému
Windows bude použit:
Token s certifikátem nebo
Heslo uložené v tokenu nebo
Klasické jméno/heslo jako dosud.
Pozn.: I když nenastavíte v tomto okn p ihlašování s certifikátem, je uživateli
umožn no (pokud spl uje požadavky jeho systému na LogOn pomocí certifikátu na
tokenu) se do systému certifikátem p ihlásit. Na OS Windows XP SP3, Vista a vyšších
je p ihlášení certifikátem umožn no vždy bez ohledu na toto nastavení.
Configure Terminal Services Logon Options – stejné jako v p edchozím bod , ale
jedná se zde o p ihlášení k Terminal Serveru nebo Citrixu.
Možnosti: certifikát na tokenu, jméno/heslo na tokenu, bez tokenu.
Configure Remote Desktop Logon Options - stejné jako v p edchozím bod , ale jedná
se zde o p ihlášení ke vzdálené ploše.
Možnosti: certifikát na tokenu, jméno/heslo na tokenu, bez tokenu.
Pokud je v p edchozích t ech oknech wizardu vybrána alespo jednou možnost YES,
objeví se ješt okno Configure Credential Provider Filtering Options, kde lze
filtrovat p ihlašovací obrazovky Microsoftu a jiných výrobc karet. Volba umož uje
nap . používat k p ihlášení pouze karty/tokeny Safenet.
11
Configure Remote Desktop/Citrix – optimalizuje využití prost edk p i vzdáleném
ihlašování. Hot-swap ability povoluje uživateli vložit/vytáhnout token b hem
probíhající relace.
Utilities - pomocné utility, které je možné vložit do klientského balí ku. Lze zvolit:
Token Utilities (TU)
CIP Utilities
Žádnou utilitu
Tyto aplikace (spustí se po nainstalování balí ku nap . z nabídky Start) umí podrobn ji
zobrazit obsah tokenu, importovat digitální ID, zm nit pin, testovat a inicializovat
token, nastavovat n které vlastnosti tokenu apod. Po kliknutí na tla ítko Advanced…
žete definovat, které funkce pomocných utilit (TU, CIP) bude mít uživatel
k dispozici. Tj. m žete mu nap . zakázat inicializovat token nebo mazat obsah tokenu.
SmartLogon (lze použít pouze ve verzi SSO!) umož uje koncovému uživateli
ukládat do tokenu hesla k libovolným aplikacím, tj. nejen t ch, které p eddefinoval
administrátor v kroku I. c).
System Tray Icon - Instaluje ikonu do System tray panelu Windows (YES). P i
zasunutí/vytažení tokenu se objeví upozorn ní (bublina) - Enable Event Notifications
(YES/NO).
Additional Device Support – možnost instalovat podp rné moduly pro sníma
biometriky (Precise Biometrics) nebo pro vybrané te ky karet. Ovlada e je nutno
instalovat zvláš . Pokud neuvažujete o použití t chto za ízení, nic nezaškrtávejte.
Ve spodní ásti okna je možnost p idat do klientského balí ku iKey driver. Pokud
budete balí ek distribuovat svým uživatel m, v ele doporu ujeme driver do balí ku
zahrnout, aby se celá podpora pro tokeny instalovala najednou.
User Guide - instalace návodu pro koncové uživatele.
Administrative Install Ready Package – pokud zvoleno YES, vytvo í se balí ek, který je
pak možno pomocí nap . GPO, SMS distribuovat a aktualizovat. P i zvolení NO je
nutné klientské balí ky p i upgradu celé p einstalovat.
Policy Client Configuration Complete – shrnutí konfigurace klientského balíku.
12
III. INSTALACE KLIENTSKÉHO BALÍ KU
Pokud neur íte jinak, v defaultním adresá i C:\Program Files\SafeNet\AMC\Client
Installs se vytvo í Vámi nakonfigurovaný instala ní balí ek BSec PK Client a to ve
dvou verzích: Uncompressed a Compressed. Celou tuto složku/soubor distribuujte
zákazníkovi (koncovému uživateli), který bude token používat.
Pokud instalujete BSec pro ipové karty SC 330/400, je pot eba ješt p iinstalovat
ovlada e te ky karet (z CD \Reader Install\ nebo webu výrobce).
KLIENTSKÉ PC:
a) instalace balí ku s driverem
- spus te setup.exe/<nazev_balicku>.msi a proklikejte se až do konce
instalace
- restartujte po íta
b) instalace balí ku bez driveru
- nainstalujte aktuální ovlada pro iKey (z CD – adresá
Installs\iKey nebo www.askon.cz )
- nainstalujte balík BSec PK client programem setup.exe
\Reader
IV. INICIALIZACE TOKENU/KARTY
Pro první inicializaci tokenu iKey 2032/4000 nebo karty SC 330/400 lze použít t i
zp soby:
Enrollment p es ikonku v System tray icon
o zadáte název tokenu a požadovaný PIN
SafeNet Token Utilities (pokud jsou sou ástí klientského balí ku)
o C:\Program Files\SafeNet\BSecClient\Tknutils.exe nebo
o Start/Programy/Safenet/BSec PK/ Token Utilities
o Initialize token...
CIP Utilities (pokud jsou sou ástí klientského balí ku)
o C:\Program Files\SafeNet\BSecClient\CIPutils.exe nebo
o Start/Programy/Safenet/BSec Client/CIP Utilities
o Klikn te pravým tla ítkem na slot s tokenem, Initialize token...
i inicializaci se nastaví defaultní PIN/heslo: Password#1
Doporu ujeme co nejd íve zm nit heslo k tokenu!
13
DALŠÍ INFORMACE
Pomocné utility pro vývojá e a další aplikace najdete v adresá i C:\Program
Files\SafeNet\AMC\Toolkit.
Pokud je t eba pro používání tokenu zaregistrovat knihovnu PCKC#11 v aplikaci
Entrust, Lotus Notes, Mozilla, apod., knihovnu k dané aplikaci najdete na disku
v adresá i C:\WINDOWS\system32\. Nejpoužívan jší je dkck201.dll.
i používání aplikací využívajících knihovnu CSP (nap . Microsoft Internet Explorer,
Microsoft CA) vybírejte „SafeNet RSA CSP“, p ípadn „Datakey RSA CSP“. Stejn
tak u te, pokud chcete vygenerovat žádost o certifikát (privátní a ve ejný klí ) p ímo
v tokenu.
ÍKLADY A TIPY PRO POUŽITÍ TOKENU
A. Windows LogOn s certifikátem uloženým na tokenu
Podmínky:
- správn nakonfigurovaný klientský balí ek (viz oddíl III),
- certifika ní autorita ve Windows domén ,
- p íslušný certifikát uložen v Active Directory
es Systray icon / Enrollment získáte certifikát pro Windows logon z Vaší certifika ní
autority. P ihlášení k systému bude zaregistrováno pod aktuálními p ihlašovacími údaji.
B. Import certifikátu ze souboru
Podmínky:
- jedna z utilit (CIP Utilities, Token Utilities, Token Manager Utillities)
- soubor s klí i *.pfx, *.p12
Ve vybrané utilit zvolte Import, vyberte sv j soubor s klí i (.pfx nebo .p12), zadejte
k n mu heslo a prove te import.
Krom importu certifikátu ze souboru se dá certifikát importovat i p ímo z Osobního
úložišt Microsoft.
C. Vytvo ení kvalifikovanéh/komer ního certifikátu u akreditované certifika ní
autority
Podmínky:
- registrace/žádost na CA, p edpoklady specifikované cert. autoritou,
- nainstalovaný základní klientský balík (nap . na CD \ BSec PK client)
14
i generování žádosti o kvalifikovaný certifikát je nutné zvolit správn CSP –
CryptoService Provider tj. SafeNet RSA CSP nebo Datakey RSA CSP, aby se klí e
vygenerovaly bezpe
na tokenu/kart iKey 2032/4000 resp. SC 330/400.
CSP se dá nastavit u volby Typ klí e nebo Poskytovatel kryptografických služeb (záleží
na zvolené CA).
Po vygenerování žádosti u vybrané CA ov íte totožnost a získáte certifikát, který
nainstalujete do systému a tokenu.
D. P ihlašování k virtuální privátní síti (VPN)
Podmínky:
- token s platným certifikátem pro p ihlašování do VPN
- instalovaný BSec PK client
- p ihlašovací VPN klient musí podporovat certifikáty a Smart card logon
Ve VPN klientovi navolte p ihlašování pomocí certifikát . Pokud máte zasunutý token
v USB, p íslušný certifikát by se m l na íst a po zadání PINu se k VPN p ihlásíte.
E. Podepisování e-mail klí i uloženými na tokenu
Podmínky:
- platný certifikát od d ryhodné certifika ní autority na tokenu,
- instalovaný BSec PK klient,
- správné nastavení e-mailového klienta.
Pro šifrování a digitální podpis e-mail je pot eba nastavit e-mailového klienta pro
certifikát uložený na tokenu. V MS Outlook 2003 se nastavení provádí v menu Nástroje
/ Možnosti, karta Zabezpe ení. Zatrhn te možnost P idat digitální podpis pop .
Zašifrovat obsah. P i volb tla ítka Nastavení... se objeví následující okno.
V Outlooku 2007 - menu volba Nástroje/ Centrum zabezpe ení, oddíl Zabezpe ení eamilu a tla ítko Nastavení…
15
V tomto okn vyberte podpisový pop . šifrovací certifikát pro Vaše e-maily. Aby se
v seznamu zobrazily i certifikáty na tokenu, je nutné jej mít zasunutý v USB/ te ce.
Pozn.: V klientovi Mozzila Thunderbird 2.0 je podepisování certifikátem na tokenu
možné pouze, když byl certifikát generován p ímo v tokenu a pokud jsou do programu
importovány i certifikáty vydávající CA coby d ryhodné CA.
16
Licen ní kód BSec Administrative Management Center PK:
132-PKQ-313
© 2010 ASKON INTERNATIONAL s.r.o., autorizovaný distributor spole nosti SafeNet, Inc. pro
eskou republiku a Slovenskou republiku. Všechna práva vyhrazena.
Tato dokumentace je ur ena pro zákazníky užívající produkty distribuované spole ností ASKON
INTERNATIONAL s.r.o.
Další ší ení této dokumentace nebo jejích ástí je možné jen s výslovným písemným souhlasem
ASKON INTERNATIONAL s.r.o.
V tomto materiálu uvedené názvy produkt jsou ochranné známky jejich vlastník .
17
Download

BSec 7.3 - ASKON INTERNATIONAL sro