Сертификат X.509

Сертификат X.509 — цифровой документ для проверки пользователей, серверов, устройств или веб-сайтов. Сертификат используется в инфраструктуре открытых ключей (PKI) и содержит информацию о владельце, открытый ключ и цифровую подпись УЦ, подтверждающую подлинность сертификата.

При аутентификации Indeed PAM проверяет сертификат и сравнивает значение Distinguished Name (DN), извлеченное из поля Subject (Субъект) в сертификате, со значением Subject (Субъект) пользователя в PAM. Если значения совпадают, пользователь входит в консоль Indeed PAM.

Чтобы настроить аутентификацию по сертификату X.509:

1. Подготовьте сертификаты X.509 в соответствии с требованиями и разместите их в хранилище сертификатов хоста.
   
2. Выберите режим аутентификации по сертификату.
3. Добавьте значение Subject сертификата для пользователей в Indeed PAM.
   У каждого пользователя должен быть уникальный Subject.
4. Откройте консоль пользователя или администратора и аутентифицируйтесь с помощью сертификата X.509.

Примечание

Прокси-компоненты не поддерживают аутентификацию по сертификатам.
Чтобы получить доступ к ресурсам, включите опции Открытие сессий без повторной аутентификации и/или Аутентификация по SSH-ключам.

Требования к сертификату

• Действующий сертификат в формате .cer, .crt, .pem и .der.
• Сертификат подписан корневым сертификатом или выпускающим сертификатом УЦ.
• В поле Subject (Субъект) указан DN в формате RFC 4514.
  Пример: CN=Иван Иванов,OU=Разработка,O=Компания,C=RU.

Настройка конфигурации

Чтобы включить аутентификацию по сертификату X.509:

1. В консоли администратора перейдите в раздел Конфигурация → Аутентификация пользователей.

2. Для параметра Аутентификация по сертификату выберите режим:

   • Включена (опционально) — пользователи могут входить в консоль по сертификату или по логину и паролю.

   • Обязательна для пользователей с указанным Subject сертификата — пользователи с указанным Subject аутентифицируются только по сертификату. Остальные пользователи входят по логину и паролю.

   • Обязательна для всех пользователей — вход в консоль возможен только по сертификату.

     Предупреждение

     При выборе режима Обязательна для всех пользователей убедитесь, что у пользователей верно заполнено поле Subject (Субъект), иначе войти в консоль не получится.

3. Нажмите Сохранить.

Добавление Subject сертификата

Примечание

Чтобы добавить для пользователя значение Subject, у администратора должна быть привилегия Управление Subject X.509 сертификатами пользователей.

Укажите значение Subject для всех пользователей с включенной аутентификацией по сертификату X.509. Если Subject не задан или введен неверно, пользователь не сможет войти в консоль.

Чтобы добавить Subject сертификата:

1. В консоли администратора перейдите в раздел Пользователи.

2. Откройте профиль пользователя и перейдите на вкладку Аутентификаторы.

3. Напротив поля Subject (Субъект) нажмите    и выберите одну из опций:

   • Вставить вручную — введите значение Subject сертификата.

     Пример заполнения

     В одну строку

     CN=Иван Иванов,OU=Отдел разработки,O=Компания

     Построчно

     CN=Иван Иванов
     OU=Отдел разработки
     O=Компания

   • Загрузить сертификат — выберите и загрузите сертификат в формате .cer, .crt, .pem или .der.
     Если сертификат корректный, отобразится распознанное значение Subject.

4. Нажмите Добавить.

Вход в консоль

Примечание

Если сертификат некорректен или просрочен, перезапустите браузер и выберите другой сертификат.

1. Откройте консоль пользователя или администратора.
2. В появившемся окне выберите корректный сертификат X.509 и нажмите ОК.