SafeNet Borderless Security (Bsec) PK 7 Instala ní manuál
Poslední verze: 12.5.2010
OBSAH:
ÚVODEM............................................................................................................ 3 POSTUP INSTALACE ....................................................................................... 4 I. ADMINISTRATIVE MANAGEMENT CENTER (AMC) .................................. 4 A) B) C) D)
CONFIGURATION MANAGER ................................................................................. 4 TOKEN MANAGER................................................................................................. 5 POLICY MANAGER................................................................................................ 6 CLIENT BUILDER .................................................................................................. 8
II. VYTVO ENÍ KLIENTSKÉHO BALÍ KU ..................................................... 9 III. INSTALACE KLIENTSKÉHO BALÍ KU .................................................. 13 IV. INICIALIZACE TOKENU/KARTY ............................................................. 13 DALŠÍ INFORMACE ........................................................................................ 14 ÍKLADY A TIPY PRO POUŽITÍ TOKENU................................................... 14
2
ÚVODEM SafeNet Borderless Security PK 7.3 je balík softwaru, který poskytuje kompletní podporu pro tokeny iKey 2032/4000 a ipové karty SC 330/400 výrobce SafeNet Inc. Obsahuje: Administrative Management Center pro správu a vytvá ení tzv. klientských balí , BSec PK Client – vzorový klientský balí ek ur ený pro koncové uživatele, CryptoService Provider (CSP) – knihovny pro kryptografické operace (Safenet Inc.), Ovlada e pro tokeny iKey a te ky karet, Pomocné utility a dokumentaci.
Tento dokument je ur en integrátor m bezpe nostních ešení, administrátor m a koncovým uživatel m, kterým by m l pomoci implementovat autentiza ní prost edky firmy SafeNet Inc. Auto i manuálu doufají, že se s jeho pomocí poda í uživatel m optimáln využít všechny možnosti, které naše tokeny/karty nabízejí.
Sou ástí balení tohoto Software Development Kitu (SDK) je: Autentiza ní USB token iKey 2032 / iKey 4000 Instala ní CD obsahující ovlada e a aktuální verzi middleware BSec PK Manuál
Podporované opera ní systémy : Windows XP, W2000, W2003, Windows Vista, W2008 (pouze jako klient)
3
POSTUP INSTALACE I. II. III. IV.
instalace Administrative Management Center (AMC) vytvo ení klientského balí ku v AMC instalace klientského balí ku a ovlada na koncové PC inicializace tokenu/karty
I. ADMINISTRATIVE MANAGEMENT CENTER (AMC) Aplikace AMC slouží pro vytvá ení klientských balí a nastavování bezpe nostní politiky.
BSec PK Client, jejich správ
Instalace AMC: 1) spus te soubor „SafeNet Administrative Management Center.msi“ z CD 2) proklikejte se až k tla ítku Finish i prvním spušt ní AMC (dkamc.exe, nebo z nabídky Start/Programy/Safenet/AMC) po Vás bude vyžadován licen ní kód. Ten najdete na konci tohoto manuálu. Po zadání kódu se objeví základní obrazovka AMC.
a) Configuration Manager se nastavuje pouze p i využití Microsoft certifika ní autority ve Windows domén . Specifikuje se zde certifika ní autorita, délka RSA klí e, šablona certifikátu a další nastavení, která se projeví p i Enrollmentu p es webové rozhraní.
4
b) Token Manager - nastavení maximálního po tu neúsp šn zadaných PIN , minimální délky PINu/hesla, as v minutách, po jehož uplynutí je pot eba znovu zadat PIN/heslo k tokenu.
Pomocí tla ítka Advanced lze nastavit další vlastnosti hesla k tokenu (PINu). - složitost PINu (vynutit použití velkých/malých písmen, ísel a speciálních znak nebo dv /t i libovolné kategorie z výše uvedených), - expirace PINu (v týdnech), - po et PIN , které si token pamatuje z historie, a nemohou být použity, - po et dn p ed expirací, kdy je uživatel upozorn n na konec platnosti PINu.
5
c) Policy Manager - tato volba je aktivní pouze p i zakoupení verze Single Sign On (SSO). Policy manager umož uje: specifikovat aplikace, ke kterým se uživatelé budou hlásit heslem uloženým v tokenu, specifikovat osoby/skupiny, které budou mít p ístup k daným aplikacím s využitím Active Directory, koncovým uživatel m „trénovat“ další aplikace, do kterých se cht jí automaticky p ihlašovat (SmartLogon). Jak nau it token p ihlašovat se do libovolné aplikace (SSO): Add new application policy – zadat název aplikace/p ihlašovacího okna Ve vytvo ené záložce Dialogs trained zvolte Train Dialog (viz obrázek)
Spus te aplikaci/webovou stránku, k níž se chcete p ihlašovat Uchopte ikonku glóbu a p etáhn te ji na p ihlašovací formulá stránky/aplikace Automaticky se vyplní dialogové okno (Step 2)
webové
Po kliknutí na Next m žete zadat „friendly“ jméno pro Váš dialog (Step 3) Step 4 – výb r textového pole, do kterého zadáváte p ihlašovací údaje (viz obr.). Pomocí Previous/Next Text Field zvolíte p íslušné pole v dialogu a p adíte mu roli: Username, Password nebo Vámi vytvo ená role pomocí tla ítka New/Edit.
6
Pomocí tla ítek Previous/Next Button se vybere potvrzovací tla ítko v dialogu. Druhá možnost (viz obr.) je simulace „stisknout ENTER“ pro p ihlášení.
Další obrazovka (Step 6) shrnuje vše, co bylo natrénováno (textová pole, tla ítka). Na následujícím obrázku je vid t, že byla natrénována pole Username a Password na stránkách www.askon.cz a simulovaný stisk klácvesy ENTER.
7
Po absolvování tohoto wizardu je nutné „naplnit“ token skute nými p ihlašovacími údaji. Toho se dosáhne p i Enrollmentu provedeném nap . p es Token Manager Utility (webový enrollment). Druhá možnost, jak nau it aplikace automatickému p ihlašování, je pravým tla ítkem kliknout na ikonku v systray ( erný token) a zvolit možnost SmartLogon (viz obr. níže). Programování p ihlašovacího dialogu vybrané aplikace probíhá analogicky postupu v AMC. Pozn.: Pro využití této možnosti je pot eba mít již nainstalovaný klientský balík BSec SSO client.
d) Client Builder „Create New Policy Client“ startuje dialog, pomocí kterého vytvo íte klientský balí ek (BSec PK Client) pro koncového uživatele tokenu/karty. Tento balík spolu s driverem (je možnost mít driver i jako sou ást klientské instalace) již umož uje používání tokenu iKey 2032/4000 a je k n mu nutnou podmínkou.
8
Vytvá ení klientského balí ku popisuje blíže následující kapitola. Po skon ení dialogu se na ur eném míst balí ek uloží (*.msi) a je p ipraven k distribuci na koncové stanice. Pozn.: Token iKey 2032/4000 je funk ní i bez programu AMC, je nutné mít nainstalovaný klientský balík Safenet BSec PK Client s driverem.
II. VYTVO ENÍ KLIENTSKÉHO BALÍ KU Spus te AMC (viz oddíl I.) a p ejd te na Client Builder. Zvolte „Create New Policy Client“ a objeví se dialog „Configure Policy Client Name and Path“. V tomto okn nazv te klientský balí ek (stejn se nazve adresá s instala ními soubory), zvolte, jak se bude nazývat p ihlašovací heslo k tokenu (PIN) a cestu, kam se balí ek uloží.
9
Další dialogová okna následují: Configure PKI Certificate options - Pokud budete používat token jako úložišt certifikát , zvolte YES. M žete zvolit, pro které aplikace se má automaticky zaregistrovat knihovna PKCS#11 (nastavení Netscape je i pro Mozillu). Automatic Certificate Registration - Pokud používáte certifikát v programech využívajících CSP knihovnu -Outlook, Internet Explorer, Windows logon a další, zapn te autoregistraci (YES). Druhá volba (automatická deregistrace) znamená, že se íslušné certifikáty p i vytažení tokenu aplikací odregistrují a nez stávají po nich stopy v systému (YES-autoderegistrace, NO-certifikát z stane registrovaný v MS Store). Import Certificate Chain Options – zvolte YES, pokud chcete, aby byl uživatel tázán, jestli má na token importovat i certifikáty nad ízených certifika ních autorit. P i volb NO níže vyberte, jestli se budou certifikáty automaticky importovat na token nebo ne. Token Manager Utility - instalovat Token Manager Utility – YES/NO. Jedná se o webovou aplikaci pro Internet Explorer, která umož uje jednoduchou správu tokenu. Je ale možné token plnohodnotn spravovat i pomocí Token Utilities/CIP Utilities. Enrollment wizard – umožní inicializaci tokenu (aplikace nastavených politik v AMC, nastavení PINu, možnost vyžádání certifikátu). Enrollment Update – umožní zm nit PIN, odblokovat token (pokud inicializován s Unblocking kódem), vyžádání a obnova certifikátu a import certifikátu PKCS#12. Suppress default Device Setting – zaškrtn te, pokud chcete potla it defaultní hlášku „Do you want to use Slot X?“. Uplatní se, pokud jsou využívány jiné karty/tokeny, než Safenet a uživatel nechce stále potvrzovat íslo USB slotu. Enrollment (inicializace) - smaže se obsah tokenu, nastaví se jeho parametry (název a heslo-PIN) podle pravidel ur ených v oddíle I. b). V p ípad 10
ihlašování certifikátem do Windows (Windows LogOn) se automaticky vygeneruje pár klí na tokenu a zašle se žádost o certifikát na CA – podle nastavení v I. a). Následn je uživatel vyzván k zadání login a hesel pro aplikace p edp ipravené administrátorem v ásti I. c). Toto platí pouze pro verzi se SSO. Pozn.: následující dv okna se týkají aplikace Token Manager Utility (pokud nezahrnete TMU do klientského balíku, budou p esko ena) Enrollment Wizard – co se bude dít, pokud Enrollment wizard najde na tokenu data. Pokra uje v inicializaci, data budou smazána esm rování do aplikace Enrollment Update (viz výše) Upozorn ní pro uživatele, že p i Enrollment se data smažou (Prompt user for action) Ve spodní ásti tohoto okna se dá nastavit, jestli bude sou ástí procesu Enrollment i odeslání žádosti o certifikát na Vaší CA pro Windows Logon. P i volb YES musí být v bod I. a) nastavena správn certifika ní autorita. Enrollment Update – nastavení, zda m že uživatel v této aplikaci importovat digitální ID p es soubory P12/PFX (YES/NO), zda lze žádat o certifikát (YES/NO), i obnovit stávající certifikát (YES/NO). Pro nastavení druhé a t etí možnosti musí být op t správn nastavena certifika ní autorita (bod I. a). Configure Client Workstation Logon Options: Pro p ihlašování do systému Windows bude použit: Token s certifikátem nebo Heslo uložené v tokenu nebo Klasické jméno/heslo jako dosud. Pozn.: I když nenastavíte v tomto okn p ihlašování s certifikátem, je uživateli umožn no (pokud spl uje požadavky jeho systému na LogOn pomocí certifikátu na tokenu) se do systému certifikátem p ihlásit. Na OS Windows XP SP3, Vista a vyšších je p ihlášení certifikátem umožn no vždy bez ohledu na toto nastavení. Configure Terminal Services Logon Options – stejné jako v p edchozím bod , ale jedná se zde o p ihlášení k Terminal Serveru nebo Citrixu. Možnosti: certifikát na tokenu, jméno/heslo na tokenu, bez tokenu. Configure Remote Desktop Logon Options - stejné jako v p edchozím bod , ale jedná se zde o p ihlášení ke vzdálené ploše. Možnosti: certifikát na tokenu, jméno/heslo na tokenu, bez tokenu. Pokud je v p edchozích t ech oknech wizardu vybrána alespo jednou možnost YES, objeví se ješt okno Configure Credential Provider Filtering Options, kde lze filtrovat p ihlašovací obrazovky Microsoftu a jiných výrobc karet. Volba umož uje nap . používat k p ihlášení pouze karty/tokeny Safenet.
11
Configure Remote Desktop/Citrix – optimalizuje využití prost edk p i vzdáleném ihlašování. Hot-swap ability povoluje uživateli vložit/vytáhnout token b hem probíhající relace.
Utilities - pomocné utility, které je možné vložit do klientského balí ku. Lze zvolit: Token Utilities (TU) CIP Utilities Žádnou utilitu Tyto aplikace (spustí se po nainstalování balí ku nap . z nabídky Start) umí podrobn ji zobrazit obsah tokenu, importovat digitální ID, zm nit pin, testovat a inicializovat token, nastavovat n které vlastnosti tokenu apod. Po kliknutí na tla ítko Advanced… žete definovat, které funkce pomocných utilit (TU, CIP) bude mít uživatel k dispozici. Tj. m žete mu nap . zakázat inicializovat token nebo mazat obsah tokenu. SmartLogon (lze použít pouze ve verzi SSO!) umož uje koncovému uživateli ukládat do tokenu hesla k libovolným aplikacím, tj. nejen t ch, které p eddefinoval administrátor v kroku I. c). System Tray Icon - Instaluje ikonu do System tray panelu Windows (YES). P i zasunutí/vytažení tokenu se objeví upozorn ní (bublina) - Enable Event Notifications (YES/NO). Additional Device Support – možnost instalovat podp rné moduly pro sníma biometriky (Precise Biometrics) nebo pro vybrané te ky karet. Ovlada e je nutno instalovat zvláš . Pokud neuvažujete o použití t chto za ízení, nic nezaškrtávejte. Ve spodní ásti okna je možnost p idat do klientského balí ku iKey driver. Pokud budete balí ek distribuovat svým uživatel m, v ele doporu ujeme driver do balí ku zahrnout, aby se celá podpora pro tokeny instalovala najednou. User Guide - instalace návodu pro koncové uživatele. Administrative Install Ready Package – pokud zvoleno YES, vytvo í se balí ek, který je pak možno pomocí nap . GPO, SMS distribuovat a aktualizovat. P i zvolení NO je nutné klientské balí ky p i upgradu celé p einstalovat. Policy Client Configuration Complete – shrnutí konfigurace klientského balíku.
12
III. INSTALACE KLIENTSKÉHO BALÍ KU
Pokud neur íte jinak, v defaultním adresá i C:\Program Files\SafeNet\AMC\Client Installs se vytvo í Vámi nakonfigurovaný instala ní balí ek BSec PK Client a to ve dvou verzích: Uncompressed a Compressed. Celou tuto složku/soubor distribuujte zákazníkovi (koncovému uživateli), který bude token používat. Pokud instalujete BSec pro ipové karty SC 330/400, je pot eba ješt p iinstalovat ovlada e te ky karet (z CD \Reader Install\ nebo webu výrobce). KLIENTSKÉ PC: a) instalace balí ku s driverem - spus te setup.exe/
.msi a proklikejte se až do konce instalace - restartujte po íta b) instalace balí ku bez driveru - nainstalujte aktuální ovlada pro iKey (z CD – adresá Installs\iKey nebo www.askon.cz ) - nainstalujte balík BSec PK client programem setup.exe
\Reader
IV. INICIALIZACE TOKENU/KARTY Pro první inicializaci tokenu iKey 2032/4000 nebo karty SC 330/400 lze použít t i zp soby: Enrollment p es ikonku v System tray icon o zadáte název tokenu a požadovaný PIN SafeNet Token Utilities (pokud jsou sou ástí klientského balí ku) o C:\Program Files\SafeNet\BSecClient\Tknutils.exe nebo o Start/Programy/Safenet/BSec PK/ Token Utilities o Initialize token... CIP Utilities (pokud jsou sou ástí klientského balí ku) o C:\Program Files\SafeNet\BSecClient\CIPutils.exe nebo o Start/Programy/Safenet/BSec Client/CIP Utilities o Klikn te pravým tla ítkem na slot s tokenem, Initialize token... i inicializaci se nastaví defaultní PIN/heslo: Password#1 Doporu ujeme co nejd íve zm nit heslo k tokenu! 13
DALŠÍ INFORMACE Pomocné utility pro vývojá e a další aplikace najdete v adresá i C:\Program Files\SafeNet\AMC\Toolkit. Pokud je t eba pro používání tokenu zaregistrovat knihovnu PCKC#11 v aplikaci Entrust, Lotus Notes, Mozilla, apod., knihovnu k dané aplikaci najdete na disku v adresá i C:\WINDOWS\system32\. Nejpoužívan jší je dkck201.dll. i používání aplikací využívajících knihovnu CSP (nap . Microsoft Internet Explorer, Microsoft CA) vybírejte „SafeNet RSA CSP“, p ípadn „Datakey RSA CSP“. Stejn tak u te, pokud chcete vygenerovat žádost o certifikát (privátní a ve ejný klí ) p ímo v tokenu.
ÍKLADY A TIPY PRO POUŽITÍ TOKENU
A. Windows LogOn s certifikátem uloženým na tokenu
Podmínky:
- správn nakonfigurovaný klientský balí ek (viz oddíl III), - certifika ní autorita ve Windows domén , - p íslušný certifikát uložen v Active Directory
es Systray icon / Enrollment získáte certifikát pro Windows logon z Vaší certifika ní autority. P ihlášení k systému bude zaregistrováno pod aktuálními p ihlašovacími údaji.
B. Import certifikátu ze souboru Podmínky:
- jedna z utilit (CIP Utilities, Token Utilities, Token Manager Utillities) - soubor s klí i *.pfx, *.p12
Ve vybrané utilit zvolte Import, vyberte sv j soubor s klí i (.pfx nebo .p12), zadejte k n mu heslo a prove te import. Krom importu certifikátu ze souboru se dá certifikát importovat i p ímo z Osobního úložišt Microsoft.
C. Vytvo ení kvalifikovanéh/komer ního certifikátu u akreditované certifika ní autority Podmínky:
- registrace/žádost na CA, p edpoklady specifikované cert. autoritou, - nainstalovaný základní klientský balík (nap . na CD \ BSec PK client) 14
i generování žádosti o kvalifikovaný certifikát je nutné zvolit správn CSP – CryptoService Provider tj. SafeNet RSA CSP nebo Datakey RSA CSP, aby se klí e vygenerovaly bezpe na tokenu/kart iKey 2032/4000 resp. SC 330/400. CSP se dá nastavit u volby Typ klí e nebo Poskytovatel kryptografických služeb (záleží na zvolené CA). Po vygenerování žádosti u vybrané CA ov íte totožnost a získáte certifikát, který nainstalujete do systému a tokenu. D. P ihlašování k virtuální privátní síti (VPN) Podmínky:
- token s platným certifikátem pro p ihlašování do VPN - instalovaný BSec PK client - p ihlašovací VPN klient musí podporovat certifikáty a Smart card logon
Ve VPN klientovi navolte p ihlašování pomocí certifikát . Pokud máte zasunutý token v USB, p íslušný certifikát by se m l na íst a po zadání PINu se k VPN p ihlásíte.
E. Podepisování e-mail klí i uloženými na tokenu Podmínky:
- platný certifikát od d ryhodné certifika ní autority na tokenu, - instalovaný BSec PK klient, - správné nastavení e-mailového klienta.
Pro šifrování a digitální podpis e-mail je pot eba nastavit e-mailového klienta pro certifikát uložený na tokenu. V MS Outlook 2003 se nastavení provádí v menu Nástroje / Možnosti, karta Zabezpe ení. Zatrhn te možnost P idat digitální podpis pop . Zašifrovat obsah. P i volb tla ítka Nastavení... se objeví následující okno. V Outlooku 2007 - menu volba Nástroje/ Centrum zabezpe ení, oddíl Zabezpe ení eamilu a tla ítko Nastavení…
15
V tomto okn vyberte podpisový pop . šifrovací certifikát pro Vaše e-maily. Aby se v seznamu zobrazily i certifikáty na tokenu, je nutné jej mít zasunutý v USB/ te ce. Pozn.: V klientovi Mozzila Thunderbird 2.0 je podepisování certifikátem na tokenu možné pouze, když byl certifikát generován p ímo v tokenu a pokud jsou do programu importovány i certifikáty vydávající CA coby d ryhodné CA.
16
Licen ní kód BSec Administrative Management Center PK: 132-PKQ-313
© 2010 ASKON INTERNATIONAL s.r.o., autorizovaný distributor spole nosti SafeNet, Inc. pro eskou republiku a Slovenskou republiku. Všechna práva vyhrazena. Tato dokumentace je ur ena pro zákazníky užívající produkty distribuované spole ností ASKON INTERNATIONAL s.r.o. Další ší ení této dokumentace nebo jejích ástí je možné jen s výslovným písemným souhlasem ASKON INTERNATIONAL s.r.o. V tomto materiálu uvedené názvy produkt jsou ochranné známky jejich vlastník .
17