SafeNet Authentication Client 8.0 (SAC) - ASKON INTERNATIONAL ...
SafeNet Authentication Client 8.0 (SAC) - ASKON INTERNATIONAL ...
SafeNet Authentication Client 8.0 (SAC) - ASKON INTERNATIONAL ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong> <strong>8.0</strong> (<strong>SAC</strong>)<br />
Uživatelská p�íru�ka<br />
Poslední verze ze dne 12. 8. 2010
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
1 ÚVOD ............................................................................................................................................3<br />
HLAVNÍ FUNKCE SAFENET AUTENTICATION CLIENT <strong>8.0</strong> .................................................................................................. 3<br />
PODPOROVANÉ TOKENY A �IPOVÉ KARTY .................................................................................................................... 3<br />
ARCHITEKTURA SAFENET AUTHENTICATION CLIENT ...................................................................................................... 4<br />
PODPOROVANÉ OPERA�NÍ SYSTÉMY .......................................................................................................................... 4<br />
PODPOROVANÉ PROHLÍŽE�E .................................................................................................................................... 4<br />
KOMPATIBILITA S APLIKACEMI .................................................................................................................................. 5<br />
2 INSTALACE <strong>SAC</strong> .............................................................................................................................6<br />
TYPY INSTALACE .................................................................................................................................................... 6<br />
UPGRADE ............................................................................................................................................................ 6<br />
ODINSTALACE ...................................................................................................................................................... 7<br />
3 UŽIVATELSKÉ ROZHRANÍ <strong>SAC</strong> ........................................................................................................8<br />
<strong>SAC</strong> TRAY ICON .................................................................................................................................................... 8<br />
SAFENET AUTHENTICATION CLIENT TOOLS .................................................................................................................. 8<br />
4 SPRÁVA TOKEN� ........................................................................................................................ 12<br />
VÝB�R AKTIVNÍHO TOKENU ................................................................................................................................... 12<br />
Z��NA HESLA (PIN) K TOKENU .............................................................................................................................. 12<br />
Z��NA HESLA SPRÁVCE ........................................................................................................................................ 13<br />
ODEMKNUTÍ TOKENU (ETOKEN, ETOKEN VIRTUAL) ..................................................................................................... 13<br />
ODEMKNUTÍ TOKEN� IKEY (POKUD BYLY INICIALIZOVÁNY S UNBLOCKING KÓDY) ............................................................... 13<br />
ODSTRANIT OBSAH TOKENU................................................................................................................................... 13<br />
ZOBRAZIT INFORMACE O TOKENU ............................................................................................................................ 13<br />
KOPÍROVÁNÍ INFORMACÍ O TOKENU DO SCHRÁNKY ..................................................................................................... 14<br />
P�EJMENOVÁNÍ TOKENU....................................................................................................................................... 14<br />
P�IHLÁŠENÍ K TOKENU .......................................................................................................................................... 14<br />
IMPORTOVÁNÍ CERTIFIKÁTU ................................................................................................................................... 14<br />
EXPORTOVÁNÍ CERTIFIKÁTU Z TOKENU ..................................................................................................................... 15<br />
NASTAVENÍ CERTIFIKÁTU JAKO VÝCHOZÍ.................................................................................................................... 15<br />
VYMAZÁNÍ CERTIFIKÁTU ....................................................................................................................................... 15<br />
NASTAVENÍ VIRTUÁLNÍCH �TE�EK ............................................................................................................................ 15<br />
INICIALIZACE TOKENU ........................................................................................................................................... 16<br />
5 NASTAVENÍ TOKENU ................................................................................................................... 18<br />
NASTAVENÍ KVALITY HESLA (PIN) ........................................................................................................................... 18<br />
NASTAVENÍ REŽIMU UKLÁDÁNÍ SOUKROMÝCH DAT DO MEZIPAM�TI ................................................................................ 18<br />
SEKUNDÁRNÍ REŽIM OV��ENÍ KLÍ�EM RSA ................................................................................................................ 18<br />
NASTAVENÍ <strong>SAC</strong> KLIENTA...................................................................................................................................... 18<br />
2
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
1 Úvod<br />
<strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong> je spole�ný middleware k USB token�m a �ipovým kartám <strong>SafeNet</strong> pro<br />
��ely PKI (Public Key Infrastructure). Kryptografie ve�ejných klí�� umož�uje bezpe�nou vým�nu<br />
informací, autentizaci uživatel�, ov��ování identity t�etí stranou, digitální podpis a další funkce<br />
vyplývající z konceptu PKI.<br />
<strong>SAC</strong> umož�uje bezpe�nostním aplikacím a produkt�m t�etích stran integraci s USB tokeny a �ipovými<br />
kartami. P�íkladem m�že být �ešení PKI na rozhraní PKCS#11 nebo CAPI, Single Sign-On, Network<br />
Logon, autentizace do VPN, digitální podepisování dokument�, bezpe�ný e-mail apod.<br />
Hlavní výhody používání certifikát� na bezpe�nostních tokenech jsou:<br />
- Dvoufaktorová autentizace (heslo-PIN a vlastnictví tokenu/karty)<br />
- Bezpe�né generování klí�� v tokenu<br />
- Není možné exportovat privátní objekty z tokenu<br />
- Kryptografické operace jsou provád�ny p�ímo v hardware tokenu<br />
- Osobní identita „v kapse“<br />
Hlavní funkce Safenet Autentication <strong>Client</strong> <strong>8.0</strong><br />
<strong>SAC</strong> <strong>8.0</strong> zahrnuje funkce, které byly podporovány p�edchozími verzemi middlewaru Aladdin PKI <strong>Client</strong><br />
(pro eTokeny) a <strong>SafeNet</strong> Borderless Security PK (pro tokeny iKey). Plná zp�tná kompatibilita<br />
s p�vodním middlewarem znamená, že uživatelé, kte�í používali tokeny s PKI <strong>Client</strong>em nebo Bsecem<br />
mohou po instalaci <strong>SAC</strong> <strong>8.0</strong> tyto tokeny dále bez problému používat.<br />
Funkce <strong>SAC</strong> <strong>8.0</strong>:<br />
- Inicializace token�<br />
- Zm�na administrátorského (pokud je podporováno) a uživatelského PINu<br />
- Odblokování zamknutých token� (Unlocking)<br />
- ��ipojení/Odpojení eTokenu Virtual (softwarový token)<br />
- Prohlížení, mazání, import a export certifikát� (ne privátních klí��!)<br />
- Konfigurace bezpe�nostní politiky tokenu (v�. PIN quality)<br />
- Enrollment a Enrollment Update (pokud nainstalováno se zp�tnou kompatibilitou s BSec<br />
<strong>Client</strong>)<br />
- Logování<br />
- Další klientská nastavení tokenu a management<br />
Podporované tokeny a �ipové karty<br />
- <strong>SafeNet</strong> eToken PRO<br />
- <strong>SafeNet</strong> eToken NG Flash<br />
- <strong>SafeNet</strong> eToken NG OTP<br />
- <strong>SafeNet</strong> eToken Smart Card<br />
- <strong>SafeNet</strong> eToken Virtual Family<br />
- <strong>SafeNet</strong> eToken Anywhere<br />
3
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
- <strong>SafeNet</strong> iKey; FIPS and non-FIPS 2032, 2032u, 2032i<br />
- <strong>SafeNet</strong> iKey; Standard 4000<br />
- <strong>SafeNet</strong> Smart Card; Standard SC400<br />
- <strong>SafeNet</strong> Smart Card; FIPS and non-FIPS SC330, SC330u, SC330i<br />
Architektura <strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong><br />
Podporované opera�ní systémy<br />
- Windows XP SP3 (32-bit, 64-bit),<br />
- Windows Server 2003 SP2 a R2 (32-bit, 64-bit),<br />
- Windows Vista SP2 (32-bit, 64-bit),<br />
- Windows 7 (32-bit, 64-bit),<br />
- Windows Server 2008 SP2 (32-bit, 64-bit),<br />
- Windows Server 2008 R2 (64-bit)<br />
Podporované prohlíže�e<br />
- Firefox 3.6<br />
- Internet Explorer 6 a vyšší<br />
4
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Kompatibilita s aplikacemi<br />
<strong>SafeNet</strong>: - Safenet ProtectDrive 9.2.1 (eToken a iKey)<br />
- eToken Network Logon 5.1<br />
- TMS 5.1 SP1<br />
- eToken SSO 5.1<br />
- eToken WSO 5.2 nebo vyšší<br />
Aplikace t�etích stran:<br />
- Entrust EDS <strong>8.0</strong>, Entrust ESP 9.1<br />
- Citrix 5 Xenap Metaframe Server<br />
- Cisco AnyConnect, Cisco ASA<br />
- Identrust<br />
- MS Office 2003, 2007<br />
- Adobe Acrobat 9<br />
- Certificate Authorities: Microsoft CA 2003 / R2 & 2008 / R2,VeriSign CA<br />
5
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
2 Instalace <strong>SAC</strong><br />
Software <strong>SAC</strong> musí být nainstalován na každém po�íta�i, kde jsou používány tokeny iKey, eToken a<br />
�ipové karty <strong>SafeNet</strong>. P�i instalaci jsou pot�eba lokální administrátorská práva. Defaultn� se<br />
nainstalují drivery ke všem podporovaným token�m <strong>SafeNet</strong>. Pokud nechcete drivery instalovat,<br />
zvolte instalaci p�es p�íkazovou �ádku, kde si m�žete vybrat p�íslušné parametry.<br />
Soubory dodávané v balíku <strong>SAC</strong> <strong>8.0</strong><br />
Soubor Popis<br />
<strong>SafeNet</strong> <strong>Authentication</strong><strong>Client</strong>-x32- Nainstaluje <strong>SAC</strong> pop�. upgraduje eToken PKI <strong>Client</strong> (32-<br />
<strong>8.0</strong>0.msi<br />
bit)<br />
<strong>SafeNet</strong> <strong>Authentication</strong><strong>Client</strong>-x64- Nainstaluje <strong>SAC</strong> pop�. upgraduje eToken PKI <strong>Client</strong> (64-<br />
<strong>8.0</strong>0.msi<br />
bit)<br />
<strong>SafeNet</strong><strong>Authentication</strong><strong>Client</strong>Pack<br />
age_<strong>8.0</strong>.exe<br />
Nainstaluje <strong>SAC</strong> a upgraduje BSec 7.x<br />
<strong>SAC</strong><strong>8.0</strong>_BSecUtilities.msi<br />
Instaluje bývalé BSec Utilities, použijte jen v ��ípad�<br />
instalace BSec kompatibilního módu<br />
PolicyMigrationTool.exe<br />
+ dokumentace<br />
��evede p�vodní konfiguraci a nastavení registr� z BSecu<br />
na <strong>SAC</strong><br />
Pozn.: Pokud instalujete msi balík na Windows 7, nespoušt�jte jej z Plochy Windows.<br />
Typy instalace<br />
a) Standardní instalace <strong>SAC</strong><br />
Standardní instalace všech komponent <strong>SAC</strong> a uživatelského rozhraní. Podpora token� iKey a eToken. P�i<br />
instalaci vyberte možnost Standardní konfigurace.<br />
b) Instalace kompatibilní s BSec API<br />
Stejná jako bod a) - standardní instalace - s podporou p�vodních BSec API v aplikacích t�etích stran (CSP,<br />
knihovna PKCS#11). P�i instalaci vyberte možnost BSec kompatibilní (BSec compatible).<br />
c) Instalace kompatibilní s BSec UI<br />
Instalace stejná jako b) s tím, že se uživatelské rozhraní (tray icon menu, dialog boxy) podobá p�vodnímu BSec<br />
UI. P�i instalaci vyberte možnost BSec kompatibilní a vytvo�te klí� v registru podle návodu v Admin Guide.<br />
d) Instalace BSec UI a BSec utilities<br />
Instalace stejná jako c) s p�idáním p�vodních funkcí BSec (Enrollment, Enrollment Update, Certificate<br />
Information). Proti bodu c) navíc instalujte BSec Utilities.<br />
Upgrade<br />
eToken PKI <strong>Client</strong><br />
Pokud p�echázíte z PKI <strong>Client</strong>a verze 4.55 a vyšší, <strong>SAC</strong> automaticky upgraduje s tím, že se zeptá, jestli<br />
chcete použít sou�asná uživatelská nastavení v registrech.<br />
Pokud upgradujete z nižší verze PKI <strong>Client</strong>a, je pot�eba PKI <strong>Client</strong>a nejprve odinstalovat.<br />
6
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
BSec <strong>Client</strong><br />
Automatický upgrade (pro BSec 7.2 a vyšší) se spustí souborem<br />
Safenet<strong>Authentication</strong><strong>Client</strong>Package_<strong>8.0</strong>.exe. Pokud je pot�eba nainstalovat <strong>SAC</strong> p�es command line,<br />
použijte manuální upgrade.<br />
Manuální upgrade spo�ívá v odinstalaci BSec a nainstalování <strong>SAC</strong>. Pokud je pot�eba zachovat<br />
konfiguraci BSec, použijte Policy Migration Tool (viz Admin Guide-AG)<br />
Vlastní instalaci je možné provést pomocí wizardu nebo v p�íkazové �ádce. Wizard umož�uje výb�r<br />
jazyka, zachování uživatelských nastavení v registrech a výb�r BSec-kompatibilního módu.<br />
Instalace pomocí p�íkazové �ádky má �adu parametr�, které jsou blíže popsány v AG.<br />
Odinstalace<br />
Pozn.: Pokud je b�hem odinstalace token iKey p�ipojen k USB, iKey Driver se automaticky<br />
neodinstaluje, je pot�eba ho odebrat ru���.<br />
Jsou t�i zp�soby, jak <strong>SAC</strong> odinstalovat:<br />
- ��es Ovládací panely->P�idat/odebrat programy resp. Programy a funkce<br />
- ��es instala�ní wizard (spušt�ní p�íslušného instala�ního souboru, nap�. <strong>SafeNet</strong><br />
<strong>Authentication</strong><strong>Client</strong>-x32-<strong>8.0</strong>0.msi)<br />
- ��es p�íkazovou �ádku<br />
7
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
3 Uživatelské rozhraní <strong>SAC</strong><br />
<strong>SAC</strong> nabízí dv� uživatelská rozhraní: <strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong> Tools a Ikonku v systémové lišt�<br />
(Tray Icon).<br />
<strong>SAC</strong> Tools je aplikace, která zobrazuje informace o tokenu a jeho obsahu (certifikáty, klí�e), umož�uje<br />
uživateli management tokenu v rozsahu nastaveném administrátorem (zm�na PIN a názvu, operace<br />
s certifikáty a klí�i, nastavení složitosti a vlastností PIN, inicializace apod.).<br />
<strong>SAC</strong> Tray Icon umož�uje rychlý p�ístup k n�kterým funkcím <strong>SAC</strong>.<br />
<strong>SAC</strong> Tray Icon<br />
Ikona je dostupná ve dvou módech závislých na provedené instalaci: Standard a BSec UI<br />
kompatibilní (token vložen), (token vyjmut). Pokud není po instalaci ikona <strong>SAC</strong> vid�t, spustíte<br />
ji p�es Start->Programy-><strong>SafeNet</strong>-><strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong>-> <strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong>.<br />
Standard Mode - kliknutím pravým tla�ítkem myši na ikonu se zobrazí kontextové menu, které<br />
��že obsahovat (podle vloženého tokenu a instalovaných sou�ástí):<br />
- Open eToken SSO (spustí aplikaci eToken SSO, pokud je nainstalována)<br />
- Generate OTP (vygeneruje OTP pro eToken Virtual, pokud je eToken nakonfigurován<br />
s touto funkcí<br />
- Odstranit obsah tokenu (smaže vymazatelný obsah tokenu)<br />
- Zm�nit Heslo tokenu<br />
- Vyberte token (pokud je vloženo více token�/karet)<br />
- Nástroje (spustí <strong>SAC</strong> Tools)<br />
- O aplikaci (info o produktu)<br />
- Ukon�it<br />
BSec UI kompatibilní<br />
- Open eToken SSO<br />
- Generate OTP<br />
- Disable Event Notifications (p�vodní funkce BSec Tray Icon)<br />
- Enrollment (p�vodní funkce BSec Tray Icon)<br />
- Enrollment Update (p�vodní funkce BSec Tray Icon)<br />
- Certificate Information (p�vodní funkce BSec Tray Icon)<br />
- Vyberte token<br />
- O aplikaci<br />
- Ukon�it<br />
<strong>SafeNet</strong> <strong>Authentication</strong> <strong>Client</strong> Tools<br />
<strong>SAC</strong> Tools je nástroj pro administrátory pro nastavení bezpe�nostní politiky tokenu. Uživatel�m<br />
tokenu umož�uje jednoduše spravovat (kopírovat, importovat, mazat) uložené certifikáty a další<br />
objekty.<br />
<strong>SAC</strong> Tools dále obsahuje nástroj pro inicializaci token�. Inicializace m�že být customizována podle<br />
požadavk� a bezpe�nostní politiky podniku.<br />
<strong>SAC</strong> Tools nabízejí dva pohledy: Jednoduché zobrazení (Simple View) a Podrobné zobrazení (Advanced<br />
View), p�epínají se ikonkou a<br />
8
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Jednoduché a podrobné zobrazení<br />
Význam spole�ných hlavních ikon (vpravo naho�e):<br />
- Aktualizovat (Refresh)<br />
- O aplikaci (About)<br />
- Nápov�da (Help)<br />
- Domovská stránka <strong>SafeNet</strong><br />
Jednoduché zobrazení<br />
9
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
V levém sloupci jsou ikony vložených token� a karet. Ikony se liší podle typu tokenu nebo karty.<br />
V pravé �ásti je seznam funkcí, které s vybraným tokenem jdou provád�t (modré podbarvení) a které<br />
nejsou aktivní (šedé).<br />
��ejmenovat token Zm�nit jmenovku tokenu<br />
Zm�nit heslo k tokenu Zm�na PINu s ohledem na aktuální definované požadavky pro<br />
PIN (složitost, historie, platnost apod.)<br />
Odemknout token Aktivní pouze p�i zablokování tokenu<br />
Vymazat token Vymaže odstranitelné objekty z tokenu<br />
Zobrazit informace o tokenu Podrobné info o tokenu<br />
Odpojit Safenet eToken Virtual Odpojí softwarový token eToken Virtual nebo eToken Rescue<br />
Rozší�ené zobrazení<br />
V levé �ásti obrazovky jsou ve stromovém menu zobrazeny všechny p�ipojené tokeny. Pod každým<br />
názvem tokenu jsou vid�t objekty (certifikáty, klí�e), které se nacházejí na tokenu. P�i kliknutí na<br />
��íslušný objekt se v pravé �ásti zobrazí relevantní menu (ikonky) a informace o objektu.<br />
Pokud v levé �ásti kliknete na nadpis Tokeny, zobrazí se seznam všech p�ipojených token� a menu o<br />
dvou ikonkách: Správa �te�ek (definuje, kolik virtuálních �te�ek bude rezervováno pro fyzické tokeny<br />
a kolik pro eTokeny Virtual) a ��ipojit <strong>SafeNet</strong> eToken Virtual (otev�e soubor *.etv, *.etvp).<br />
��i kliknutí na název tokenu (viz obr. výše) se zobrazí detailní info o tokenu a kontextové ikonky:<br />
- inicializovat token<br />
- p�ihlásit k tokenu<br />
- importovat certifikát<br />
10
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
- zm�nit heslo<br />
- p�ejmenovat token<br />
- odpojit Safenet eToken Virtual<br />
- kopírovat do schránky<br />
Další 4 ikony nejsou podporovány tokeny iKey (jedná se o operace s administrátorským heslem, které<br />
na tokenech iKey nejde inicializovat):<br />
- p�ihlásit se jako správce<br />
- zm�nit heslo správce<br />
- odemknout token<br />
- nastavení uživatelského hesla<br />
Pokud v levé �ásti kliknete na Uživatelské certifikáty/Certifikáty CA, v kontextovém menu se objeví<br />
ikonka Importovat certifikát (možnost z Osobního úložišt� Windows nebo ze souboru) a v p�ípad�<br />
Uživatelských certifikát� lze ješt� Vymazat výchozí certifikát (zbaví daný certifikát atributu „default“)<br />
��i kliknutí v levém menu na konkrétní certifikát (pokud je uložený tokenu) se zobrazí informace o<br />
certifikátu a menu sestávající z t�í ikonek:<br />
- odstranit certifikát<br />
- exportovat certifikát (pouze podepsaný ve�ejný klí� do souboru .cer)<br />
- kopírovat do schránky (informace o certifikátu<br />
Položka Nastavení v levém menu umož�uje nastavit a uložit do tokenu Kvalitu hesla (bezpe�nostní<br />
politika PIN), režim ukládání privátních dat do mezipam�ti a sekundární autentizaci RSA klí��.<br />
Pozn.: Tato nastavení a ukládání do tokenu jsou možná pouze u model� eToken a jsou popsána dále.<br />
Pomocí volby Nastavení klienta v levém menu lze vytvo�it v middlewaru <strong>SAC</strong> vlastní politiku, která<br />
bude automaticky vkládána do nov� inicializovaného tokenu na tomto po�íta�i. Toto nastavení<br />
zárove� upravuje n�které vlastnosti <strong>SAC</strong> (viz záložka Up�esnit):<br />
- Kopírovat uživatelské certifikáty do místního úložišt�,<br />
- Správa certifikát� CA (kopírování certifikát� cert. autorit do úložišt� Windows),<br />
- Povolit jednotné p�ihlášení (umožní p�ihlášení PINem, které se na�te do pam�ti i pro další<br />
aplikace (defaultn� vypnuto)<br />
- Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci),<br />
- Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen eToken),<br />
- Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy).<br />
11
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
4 Správa token�<br />
Tokeny, �ipové karty a objekty na nich lze spravovat pomocí utility <strong>SAC</strong> Tools. N�které funkce jsou<br />
pro urychlení p�idány do systémového menu (ikona ).<br />
��ležité:<br />
�ešení <strong>SAC</strong> <strong>8.0</strong> umož�uje administrátorovi rozsáhlá nastavení funkcí a politik pro každého uživatele<br />
tokenu (skupinu uživatel�). Nastavení <strong>SAC</strong> se konfigurují pomocí soubor� adm (p�íklad: <strong>SAC</strong>_8_0.adm<br />
v instala�ním balíku). Tyto soubory jsou p�ístupné bu� p�es Group Policy Object Editor (W7, Vista,<br />
Server 2003 a 2008) nebo Microsoft Management Console (Windows XP). Vytvo�ená nastavení pak<br />
modifikují registry. Bližší popis konfigurace <strong>SAC</strong> je v AG (<strong>SAC</strong>_Admin_Guide_Windows.pdf).<br />
Pozn.: Pokud instalujete <strong>SAC</strong> s BSec compatible UI, vzhled obrazovek se m�že lišit.<br />
Funkce:<br />
Výb�r Aktivního tokenu<br />
Pokud je vloženo více token�/karet, klikn�te pravým tla�ítkem myši na ikonku <strong>SAC</strong> a zvolte Vyberte<br />
token. V p�ípad�, že máte spušt�né <strong>SAC</strong> Tools jednoduše zvolte v levé �ásti p�íslušný token.<br />
Zm�na hesla (PIN) k tokenu<br />
Tokeny <strong>SafeNet</strong> jsou dodávány s t�mito defaultními hesly:<br />
iKey: Password#1<br />
eToken: 1234567890<br />
��razn� doporu�ujeme, aby si uživatel co nejd�íve toto heslo zm�nil!<br />
Zm�nu hesla m�žete provést<br />
a) Kliknutím na ikonu <strong>SAC</strong> pravým tla�ítkem, výb�r Zm�nit heslo k tokenu<br />
b) V <strong>SAC</strong> Tools-jednoduché zobrazení-kliknutí na p�íslušný token a vybrat Zm�nit heslo k tokenu<br />
c) V <strong>SAC</strong> Tools-Rozší�ené zobrazení-kliknutí na název tokenu a vpravo naho�e vyberte ikonku<br />
- Zm�nit heslo<br />
V následném dialogu je pot�eba vyplnit Aktuální heslo a dvakrát nové heslo. To, jestli nové heslo<br />
odpovídá nastavení kvality hesla, se indikuje procentuální lištou.<br />
12
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Zm�na hesla správce<br />
Pozn.: Není podporováno u token� iKey.<br />
Otev�ete <strong>SAC</strong> Tools-rozší�ené zobrazení, v levé �ásti klikn�te na daný token a vpravo naho�e vyberte<br />
ikonku Zm�nit heslo správce. Okno je podobné jako p�i zm��� uživatelského hesla.<br />
Odemknutí tokenu (eToken, eToken Virtual)<br />
Pokud zadáte nesprávné heslo k tokenu více než povolený po�et pokus� (default:15), token se<br />
zamkne. Odemknutí lze provést pomocí administrátorského hesla definovaného p�i inicializaci<br />
tokenu. Pokud je pot�eba uplatnit vzdálený p�ístup, token jde odblokovat i mechanismem Challenge-<br />
Response.<br />
Odemknutí eTokenu lze provést pomocí:<br />
a) Nastavení uživatelského hesla (v <strong>SAC</strong> Tools-rozší�ené klikn�te na název tokenu a vyberte tuto<br />
ikonku, je pot�eba administrátorské heslo).<br />
b) Challenge-Response mechanismu (v <strong>SAC</strong> Tools-jednoduché klikn�te na Odemknout token)<br />
Pozn.: V p�ípad� b) je nutný software TMS pro management token�.<br />
Odemknutí token� iKey (pokud byly inicializovány s Unblocking kódy)<br />
Otev�ete <strong>SAC</strong> Tools-jednoduché a zvolte Odemknout token. Objeví se okno, kam zadáte p�íslušný<br />
Unlocking code (#1 až #6) a zadáte nové heslo. Každý unblocking code m�že být použit pouze jednou!<br />
Odstranit obsah tokenu<br />
Smaže odstranitelný obsah tokenu. Klikn�te pravým tla�ítkem na ikonku <strong>SAC</strong> a vyberte Odstranit<br />
obsah tokenu. Potvr�te OK.<br />
Jedná se o mén� destruktivní vymazání objekt� než inicializace. Pokud správce nastavil objekt�m<br />
��íslušné atributy, tyto objekty se tímto nesmažou.<br />
Zobrazit informace o tokenu<br />
V <strong>SAC</strong> Tools-rozší�ené se po kliknutí na název tokenu zobrazí informace o tokenu.<br />
13
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Kopírování informací o tokenu do schránky<br />
Zobrazte informace o tokenu a zvolte ikonku Kopírovat do schránky. Informace budou zkopírovány a<br />
pomocí Ctrl+V je m�žete vložit nap�. do textového editoru.<br />
��ejmenování tokenu<br />
Zm�nit jmenovku tokenu m�žete v <strong>SAC</strong> Tools-jednoduché volbou ��ejmenovat token. Po zadání<br />
uživatelského hesla m�žete zadat nový název tokenu.<br />
��ihlášení k tokenu<br />
��ihlásit k tokenu se m�žete jako uživatel (<strong>SAC</strong> Tools-rozší�ené -> P�ihlásit k tokenu) nebo jako<br />
správce (pouze eToken - <strong>SAC</strong> Tools rozší�ené -> P�ihlásit se jako správce).<br />
Správce má omezená práva – zm�na hesla správce, zm�na hesla tokenu, nastavení kvality hesla,<br />
odemknutí tokenu.<br />
Importování certifikátu<br />
Na tokeny lze importovat soubory s certifikáty t�chto typ�:<br />
- pfx<br />
- p12<br />
- cer (pouze ve�ejná �ást bez privátního klí�e)<br />
Jestliže importujete soubor pfx, bude na token uložen certifikát a p�íslušný privátní klí�. M�žete také<br />
importovat certifikát CA. Budete vyzváni k vložení hesla k privátnímu klí�i (pokud bylo nastaveno).<br />
14
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Pokud importujete soubor cer, program zkontroluje, jestli je privátní klí� na tokenu. Když ano, uloží<br />
certifikát ke klí�i jako uživatelský. Pokud privátní klí� nenajde, m�že uložit certifikát do tokenu jako<br />
certifikát certifika�ní autority.<br />
Pokud jste importovali certifikát do tokenu z úložišt� Windows, je pot�eba ho po importování smazat,<br />
aby se do aplikací certifikát na�ítal pouze z tokenu (chrán�ný PINem).<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te v levé �ásti na název tokenu a vpravo vyberte ikonu Importovat<br />
certifikát . Vyberte, jestli chcete importovat z osobního úložišt� nebo ze souboru a následujte<br />
dialog.<br />
Exportování certifikátu z tokenu<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te na p�íslušný certifikát (uživatelský nebo CA) a v pravé �ásti klikn�te na<br />
ikonku Exportovat certifikát . Vyberte název a umíst�ní souboru .cer a potrv�te OK.<br />
Privátní klí� samoz�ejm� z tokenu exportovat nejde!!!<br />
Pozn.: certifikát musí být ve formátu DER nebo Base64.<br />
Nastavení certifikátu jako výchozí<br />
Jestliže je na tokenu uloženo více certifikát� pro Windows Smartcard Logon, je možné zvolit, který<br />
bude defaultn� použit.<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te na p�íslušný certifikát pravým tla�ítkem myši a zvolte Nastavit jako<br />
výchozí. Pokud chcete zrušit nastavení výchozího certifikátu, klikn�te vlevo na Uživatelské certifikáty<br />
a vpravo na ikonku Vymazat výchozí certifikát.<br />
Vymazání certifikátu<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te na požadovaný certifikát. Vpravo vyberte ikonku Odstranit<br />
certifikát. Alternativa: kliknutím pravým tla�ítkem myši na certifikát a zvolit Odstranit certifikát.<br />
Vymaže se certifikát i p�íslušné privátní klí�e.<br />
Nastavení virtuálních �te�ek<br />
��hem defaultní instalace <strong>SAC</strong> se instalují 2 virtuální �te�ky eToken, 2 �te�ky token� iKey a 2 �te�ky<br />
eToken Virtual. Pokud chcete po�et �te�ek zm�nit, prove�te následující:<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te v levé �ásti na Tokeny a vpravo zvolte ikonku Správa �te�ek .<br />
V dialogovém okn� nastavte požadovaný po�et virtuálních �te�ek.<br />
15
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Inicializace tokenu<br />
Inicializace tokenu vrátí token do po�áte�ního stavu. Tj. vymaže všechny objekty z tokenu, vy�istí<br />
pam�� a nastaví nové heslo. B�hem inicializace se dále nahraje na token systém soubor�.<br />
Pozn.: Pomocí <strong>SAC</strong> nelze inicializovat <strong>SafeNet</strong> eToken Virtual.<br />
Inicializována jsou následující data:<br />
- Název tokenu<br />
- Heslo k tokenu<br />
- Heslo správce (nepodporováno iKey)<br />
- Po�et povolených neplatných zadání PIN<br />
- Požadavek na zm�nu hesla po prvním p�ihlášení<br />
- Inicializa�ní klí�<br />
a) Inicializace iKey<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te na název tokenu a vpravo zvolte ikonu Inicializovat token.<br />
Dá se nastavit název tokenu, uživatelské heslo, max. po�et neúsp�šných p�ihlášení a požadavek na<br />
zm�nu hesla po prvním p�ihlášení.<br />
Tla�ítko Up�esnit je u iKey neaktivní.<br />
b) Inicializace eToken<br />
16
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
Oproti inicializaci iKey lze vytvo�it heslo správce a nastavit další vlastnosti tokenu (tla�ítko Up�esnit).<br />
V okn� Up�esnit nastavení se dá:<br />
� Uložit zásady hesel na token<br />
� ��epnout do režimu FIPS<br />
� Jednofaktorové p�ihlášení (zruší PIN u tokenu-nedoporu�uje se)<br />
� Zm�nit režim ukládání soukromých dat do mezipam�ti (Vždy – privátní klí� je v cache po prvním<br />
zadání hesla pro rychlejší performance, Pokud je uživatel p�ihlášen k tokenu, Nikdy –<br />
nejbezpe���jší varianta)<br />
� Sekundární ov��ení klí�em RSA – nastavení p�ídavné autentizace pro RSA klí�e. Jedná se o další<br />
heslo, které je pot�eba pro p�ístup k RSA klí�i (pokud takto konfigurováno). Vždy – když je<br />
generován RSA klí�, je nutné nastavit k n�mu extra heslo, Dotázat se uživatele vždy – p�i<br />
generování RSA klí�e je požadováno helo, jeho použití jde zrušit uživatelem, Dotázat se na<br />
žádost aplikace – umož�uje aplikacím využívat p�ídavnou autentizaci v tokenu (p�i vytvá�ení<br />
klí�� pomocí Crypto API s p�íznakem User protected), Nikdy – p�ídavná autentizace není<br />
povolena.<br />
� Zm�nit inicializa�ní klí� – jde nastavit speciální inicializa�ní heslo, aby se zabránilo náhodné<br />
inicializaci. Po zadání hesla pak m�že prob�hnout inicializace.<br />
17
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
5 Nastavení tokenu<br />
Nastavení kvality hesla (PIN)<br />
Po nastavení parametr� kvality hesla se všechna budoucí hesla budou kontrolovat proti této politice.<br />
Pokud byl token iKey d�íve inicializován v BSec s ur�itou politikou kvality hesla, bude tato<br />
podporována i v <strong>SAC</strong>.<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení. Vpravo se objeví dv� záložky,<br />
vyberte Kvalita hesla. Zde se dá nastavit:<br />
- Minimální délka hesla<br />
- Max doba používání hesla (ve dnech)<br />
- Min doba používání (ve dnech)<br />
- Doba varování p�ed vypršením platnosti hesla (ve dnech)<br />
- Velikost historie hesel (zabrání opakování hesel)<br />
- Max po�et následných opakování v hesle (po�et znak� opakujích se v hesle,<br />
nepodporováno iKey)<br />
- Heslo musí spl�ovat požadavky na složitost (Žádné, Aktivní, Ru�ní, Aktivní (2 ze 4))<br />
Složitost hesla se dá vynutit. Nastavení Aktivní znamená, že t�i ze �ty�ech parametr� (�ísla, velká,<br />
malá písmena, zvláštní znaky) musí být spln�na. Aktivní (2 ze 4) – musí být spln�na dv� ze �ty�, Ru�ní<br />
– nastavte kritéria manuáln�.<br />
Pokud zvolíte ru�ní nastavení, u každé kategorie bude na výb�r Povolit (m�že se v hesle vyskytovat,<br />
Zakázat (nesmí se v hesle vyskytovat), Musí (musí se v hesle vyskytovat).<br />
Po nastavení Kvality hesla stiskn�te Uložit pro uložení politiky do tokenu.<br />
Nastavení režimu ukládání soukromých dat do mezipam�ti<br />
Podobn� jako b�hem inicializace, jde nastavit ukládání soukromých dat do mezipam�ti i po ní. V <strong>SAC</strong><br />
Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení, záložka Up�esnit.<br />
Zde nastavte požadované cachování privátních dat (viz kapitola Inicializace).<br />
Sekundární režim ov��ení klí�em RSA<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te u p�íslušného tokenu na Nastavení, záložka Up�esnit. Zde nastavte<br />
požadované nastavení p�ídavné autentizace (viz kapitola Inicializace)<br />
Nastavení <strong>SAC</strong> klienta<br />
V <strong>SAC</strong> Tools-rozší�ené klikn�te na Nastavení klienta. Zde se nastavují výchozí vlastnosti pro <strong>SAC</strong><br />
klienta. Tyto vlastnosti se promítnou i do každého inicializovaného tokenu v tomto <strong>SAC</strong> klientovi.<br />
- Kvalita hesla (viz p�edchozí kapitola)<br />
- Up�esnit<br />
18
<strong>ASKON</strong> International s.r.o. <strong>SAC</strong> – uživatelská p�íru�ka<br />
� Kopírovat uživatelské certifikáty do místního úložišt�,<br />
� Správa certifikát� CA (kopírování certifikát� cert. autorit do úložišt� Windows),<br />
� Povolit jednotné p�ihlášení (umožní p�ihlášení PINem, které se na�te do pam�ti i pro další<br />
aplikace (defaultn� vypnuto)<br />
� Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci),<br />
� Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen eToken),<br />
� Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy).<br />
Dole na panelu Up�esnit je tla�ítko Povolit protokolování, které umož�uje vytvá�et aplika�ní log <strong>SAC</strong>.<br />
Logy jsou ukládány do C:\Windows\Temp\eToken.log.<br />
© 2010 <strong>ASKON</strong> <strong>INTERNATIONAL</strong> s.r.o., autorizovaný distributor spole�nosti <strong>SafeNet</strong>, Inc. pro �eskou republiku a Slovenskou<br />
republiku. Všechna práva vyhrazena.<br />
Tato dokumentace je ur�ena pro zákazníky užívající produkty distribuované spole�ností <strong>ASKON</strong> <strong>INTERNATIONAL</strong> s.r.o.<br />
Další ší�ení této dokumentace nebo jejích �ástí je možné jen s výslovným písemným souhlasem <strong>ASKON</strong> <strong>INTERNATIONAL</strong><br />
s.r.o.<br />
V tomto materiálu uvedené názvy produkt� jsou ochranné známky jejich vlastník�.<br />
19