Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.1

Indeed CM Client Tools

Indeed CM Client Tools – клиентский компонент Indeed CM, необходимый для разблокировки устройств, которые используются для аутентификации в ОС Windows в режимах онлайн и офлайн, и для разблокировки устройств, которые не используются для входа в ОС.

Установка

Установите компонент Indeed CM Client Tools на рабочую станцию каждого пользователя, которому требуется разблокировка устройства с помощью Indeed CM.

  1. Откройте каталог CM.Client в дистрибутиве Indeed CM.
  2. Запустите файл Cm.Client.Tools-<номер версии>.ru-ru.msi.
  3. Следуйте указаниям мастера установки.

Режимы разблокировки устройств

Разблокировка устройств реализована в двух режимах: онлайн и офлайн.

Онлайн-разблокировка

В онлайн-режиме рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером Indeed CM. Соединение с сервером необходимо для аутентификации пользователя с помощью ответов на секретные вопросы.

Для связи рабочих станций пользователей с сервером Indeed CM при онлайн-разблокировке рекомендуется использовать защищенное соединение HTTPS.

Офлайн-разблокировка

В офлайн-режиме оператор Indeed CM разблокирует устройство по принципу аутентификации вида запрос-ответ (challenge-response authentication mechanism).

Если допустимое число попыток ввода PIN-кода исчерпано, устройство блокируется. На экране пользователя отображается сообщение о блокировке и уникальный 16-символьный код-запрос. Пользователю необходимо связаться с оператором Indeed CM и сообщить код.

Подробнее о разблокировке устройств

Настройка онлайн-разблокировки устройств

Настройте разблокировку устройств через групповые политики или реестр Windows (для рабочих станций вне домена Windows).

Чтобы включить онлайн-разблокировку устройств, настройте соответствующую групповую политику и распространите ее на рабочие станции пользователей Indeed CM.

Добавьте административные шаблоны компании Индид:

  1. Скопируйте содержимое каталога CM.Client\Misc в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.
    Если вы используете локальное хранилища ADMX-файлов, поместите шаблоны компании Индид в каталог C:\Windows\PolicyDefinitions.

  2. Откройте консоль Управление групповой политикой (Group Policy Management).

  3. В дереве окна консоли создайте новый объект групповой политики или выберите существующий.

  4. Вызовите контекстное меню и выберите Изменить (Edit). Откроется Редактор управления групповыми политиками (Group Policy Management Editor).

  5. Выберите Конфигурация компьютера (Computer Configuration) → Политики (Policies) → Административные шаблоны (Administrative Templates) → Indeed CMClient.

  6. Включите политику Сервер разблокировки смарт-карт (Smart card unlocking server) и укажите ее значения:

    1. В параметре URL сервиса (Service URL) укажите ссылку на компонент credprovapi, размещенный на сервере Indeed CM: https://<FQDN сервера Indeed CM>/cm/credprovapi.
    2. В параметре Проверять сертификат сервера (Verify server certificate) установите значение Да, чтобы проверять подлинность сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.

  7. Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Indeed CM.

  8. Нажмите Применить (Apply) и обновите политики.
    Чтобы обновить политики, перезагрузите рабочую станцию. Для принудительного обновления групповых политик без перезагрузки выполните команду gpupdate/force.

  9. При необходимости настройте дополнительные политики, определяющие работу сервиса разблокировки.

Дополнительные политики сервиса разблокировки
ПолитикаПараметры
Задать разъяснения для офлайн-разблокировки (Set explanations for offline unlocking)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, то при офлайн-разблокировке устройства текст разъяснения в Credential Provider не отображается.

Если политика включена, то при офлайн-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Indeed CM.
Credential Providers: Отключить обертку стандартного провайдера смарт-карт (Credential Providers: Disable smart card standard provider wrapping)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, пользователь имеет возможность выполнить разблокировку смарт-карты в стандартном интерфейсе входа в ОС Windows по смарт-карте.

Если политика включена, то отдельная опция для разблокировки смарт-карты будет отображаться на экране входа в ОС. Такая настройка может быть использована в ситуации, когда на рабочей станции установлено стороннее ПО, запрещающее разблокировку карты через стандартный Credential Provider.
Credential Providers: Скрывать опцию "Выключить смарт-карту" (Credential Providers: Hide the "Disable the smart card" option)Политика применяется к рабочим станциям пользователей.

Если политика выключена или не определена, пользователь имеет возможность выполнить выключение смарт-карты в интерфейсе входа в ОС Windows.

Если политика включена, то опция для выключения смарт-карты не будет отображаться на экране входа в ОС.