Аутентификация на сервере подключений по смарт-картам

Аутентификация на сервере подключений по смарт-картам

При добавлении сервера или при подключении к уже добавленному серверу пользователь может пройти аутентификацию на нем с использованием смарт-карты или токена.

Список поддерживаемых смарт-карт и токенов для аутентификации на сервере подключений через Клиент:

  • Рутокен Lite (только для ОС Microsoft Windows);
  • Рутокен ЭЦП 2.0 (2100);
  • Рутокен ЭЦП 3.0 (3220);
  • Рутокен ЭЦП PKI (1800);
  • JaCarta PKI: JaCarta PKI (JC200-1), JaCarta-2 PKI/ГОСТ (JC207-12.F27), JaCarta-2 PKI, JaCarta-3 PKI (JC240 v.10).

Подробная информация по настройке смарт-карт Рутокен для аутентификации приведена в официальной документации: https://dev.rutoken.ru/.

Для аутентификации по смарт-карте или токену в настройках подключения (см. подраздел Добавление сервера подключений) должен быть выбран домен аутентификации с настроенным функционалом PKINIT (аутентификация по смарт-картам). Поддерживаются следующие типы доменов:

  • SAML;
  • OpenID Connect;
  • LDAP.

Администратором должна быть выполнена дополнительная настройка пользовательской рабочей станции для работы с Kerberos-аутентификацией в домене LDAP.

После выбора необходимого домена аутентификации поля «Логин», «Тип пароля» и «Пароль» будут недоступны для заполнения.

Ввод учетных данных осуществляется:

  • для SAML и OpenID Connect в дополнительном окне веб-браузера после подключения к выбранному серверу, как описано ниже;
  • для LDAP с настроенным функционалом PKINIT учетные данные будут прочитаны со смарт-карты, но при подключении в дополнительном окне потребуется выбрать имя пользователя из списка и ввести PIN-код к смарт-карте, как это описано ниже.

При подключении к выбранному серверу через домен аутентификации типа «SAML» или «OpenID Connect» произойдет следующее:

  • если подключение выполняется из ОС Astra Linux Special Edition, то:
    • дополнительно отобразится окно веб-браузера. Для перехода в сервис аутентификации следует нажать экранную кнопку [Войти];

Окно перехода в сервис аутентификации
    • откроется форма аутентификации, в которой нужно ввести учетные данные пользователя и нажать экранную кнопку [Вход] для подключения к серверу;

Форма аутентификации в доменах «SAML»/«OpenID Connect»
  • если подключение выполняется из ОС Microsoft Windows, то:
    • откроется дополнительная вкладка в системном веб-браузере, в которой нужно нажать экранную кнопку [Войти] для подключения к серверу;
    • откроется форма аутентификации, в которой нужно ввести учетные данные пользователя и нажать экранную кнопку [Вход] для подключения к серверу. При успешной аутентификации отобразится соответствующее сообщение. После появления сообщения вкладку в системном веб-браузере можно закрыть.

При подключении к выбранному серверу через домен аутентификации типа «LDAP» с настроенным функционалом PKINIT нужно:

  • подключить смарт-карту или токен к считывателю и нажать экранную кнопку [Да];

Окно приглашения аутентификации по смарт-карте
  • если к пользовательской рабочей станции подключено несколько смарт-карт или токенов, то в поле «Ключевой носитель» выбрать нужное устройство;
  • если на выбранном устройстве существует несколько сертификатов пользователя, то в поле «Имя пользователя» выбрать нужный сертификат;
  • затем ввести PIN-код на смарт-карту или токен.

Если смарт-карта или токен не были подключены, будет отображено сообщение о необходимости ее подключить. В случае, если на устройстве отсутствует сертификат или системе не удалось его прочесть, будет отображено сообщение «Не удалось загрузить сертификаты».

Если смарт-карта или токен не поддерживаются, будет отображено сообщение «Этот ключевой носитель не может быть использован. Пожалуйста, выберите другой носитель и повторите попытку», при этом в журнале Клиента будет записано событие об отсутствии поддержки устройства.