Просмотреть исходный

Аутентификация на сервере подключений по смарт-картам

При добавлении сервера или при подключении к уже добавленному серверу пользователь может пройти аутентификацию на нем с использованием смарт-карты или токена.

Список поддерживаемых смарт-карт и токенов для аутентификации на сервере подключений через Клиент:

Рутокен Lite (только для ОС Microsoft Windows);
Рутокен ЭЦП 2.0 (2100);
Рутокен ЭЦП 3.0 (3220);
Рутокен ЭЦП PKI (1800);
JaCarta PKI: JaCarta PKI (JC200-1), JaCarta-2 PKI/ГОСТ (JC207-12.F27), JaCarta-2 PKI, JaCarta-3 PKI (JC240 v.10).

Подробная информация по настройке смарт-карт Рутокен для аутентификации приведена в официальной документации: https://dev.rutoken.ru/.

Для аутентификации по смарт-карте или токену в настройках подключения (см. подраздел Добавление сервера подключений) должен быть выбран домен аутентификации с настроенным функционалом PKINIT (аутентификация по смарт-картам). Поддерживаются следующие типы доменов:

SAML;
OpenID Connect;
LDAP.

Администратором должна быть выполнена дополнительная настройка пользовательской рабочей станции для работы с Kerberos-аутентификацией в домене LDAP.

После выбора необходимого домена аутентификации поля «Логин», «Тип пароля» и «Пароль» будут недоступны для заполнения.

Ввод учетных данных осуществляется:

для SAML и OpenID Connect в дополнительном окне веб-браузера после подключения к выбранному серверу, как описано ниже;
для LDAP с настроенным функционалом PKINIT учетные данные будут прочитаны со смарт-карты, но при подключении в дополнительном окне потребуется выбрать имя пользователя из списка и ввести PIN-код к смарт-карте, как это описано ниже.

При подключении к выбранному серверу через домен аутентификации типа «SAML» или «OpenID Connect» произойдет следующее:

если подключение выполняется из ОС Astra Linux Special Edition, то:
- дополнительно отобразится окно веб-браузера. Для перехода в сервис аутентификации следует нажать экранную кнопку [Войти];

Help Center Termidesk > .Аутентификация на сервере подключений по смарт-картам v6.0 > Окно входа через SAML.png

- откроется форма аутентификации, в которой нужно ввести учетные данные пользователя и нажать экранную кнопку [Вход] для подключения к серверу;

Help Center Termidesk > .Аутентификация на сервере подключений по смарт-картам v6.0 > Форма авторизации в домене аутентификации.png

если подключение выполняется из ОС Microsoft Windows, то:
- откроется дополнительная вкладка в системном веб-браузере, в которой нужно нажать экранную кнопку [Войти] для подключения к серверу;
- откроется форма аутентификации, в которой нужно ввести учетные данные пользователя и нажать экранную кнопку [Вход] для подключения к серверу. При успешной аутентификации отобразится соответствующее сообщение. После появления сообщения вкладку в системном веб-браузере можно закрыть.

При подключении к выбранному серверу через домен аутентификации типа «LDAP» с настроенным функционалом PKINIT нужно:

подключить смарт-карту или токен к считывателю и нажать экранную кнопку [Да];

Help Center Termidesk > .Аутентификация на сервере подключений по смарт-картам v6.0 > аутентификация по смарт-карте.png

если к пользовательской рабочей станции подключено несколько смарт-карт или токенов, то в поле «Ключевой носитель» выбрать нужное устройство;
если на выбранном устройстве существует несколько сертификатов пользователя, то в поле «Имя пользователя» выбрать нужный сертификат;
затем ввести PIN-код на смарт-карту или токен.

Если смарт-карта или токен не были подключены, будет отображено сообщение о необходимости ее подключить. В случае, если на устройстве отсутствует сертификат или системе не удалось его прочесть, будет отображено сообщение «Не удалось загрузить сертификаты».

Если смарт-карта или токен не поддерживаются, будет отображено сообщение «Этот ключевой носитель не может быть использован. Пожалуйста, выберите другой носитель и повторите попытку», при этом в журнале Клиента будет записано событие об отсутствии поддержки устройства.