JaCarta Authentication Server (JAS) на платформе Linux

Высокопроизводительный сервер аутентификации Enterprise-класса (в составе платформы JaCarta Management System 4LX(JMS 4LX))

  • Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
  • Строгая аутентификация пользователей по протоколу U2F
  • Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
  • Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
  • Высокая производительность
  • Сервис безопасной передачи секрета программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
JaCarta Authentication Server на платформе Linux
В реестре отечественного ПО (№ 11260)
Сертифицировано ФСТЭК России (№ 4516 от 25.01.2022)
Техническая поддержка
Задать вопрос

Описание

JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 4LX на платформе Linux, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств, таких как приложение Aladdin 2FA, разработанное компанией Аладдин Р.Д., а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.

Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:

  • шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
  • шлюз к рабочим столам Microsoft (Microsoft RDG)
  • корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App
  • web-приложения, сайты и облачные сервисы
  • системы дистанционного банковского обслуживания (ДБО) и ЭДО

Глубокая интеграция JAS в платформу JMS 4LX позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.

OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.

По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.

Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.

Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.

Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.

Работает только при условии использования мобильного приложения Aladdin 2FA.

PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.

Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.

Преимущества

Повышенная защищённость

Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP-аутентификаторов.

Масштабируемость

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

Поддержка аппаратных и программных токенов

JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.

Совместимость

JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.

Универсальность и самодостаточность

Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:

  • RADIUS
  • REST
  • WS-Federation (ADFS)
  • HTTP и SMPP (для интеграции c SMS-шлюзами)

Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, JAS RADIUS Server (JRS), плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, FreeRADIUS с модулем интеграции JAS, а также средства управления токенами и пользователями.

Производительность, масштабируемость и отказоустойчивость

JAS выдерживает значительные нагрузки (свыше 5000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

В JAS реализована поддержка Failover Cluster на базе Corosync и Pacemaker (режим Active/Standby) и возможность работы с Microsoft SQL Server и PostgreSQL в режиме высокой доступности (high availability), что позволяет гарантировать бесперебойность процессов аутентификации.

Поддержка мобильных устройств

JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Приложение Aladdin 2FA доступно в Google Play, Apple Store, AppGallery, RuMarket, NashStore, RuStore.

Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.

Полная автоматизация возможных сценариев использования

Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 4LX на платформе Linux и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.

Архитектура

Архитектура JAS Linux

Архитектура JAS

Сервер аутентификации JAS

Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.

Консоль управления

Управление из Единой консоли управления. См. подробнее JMS

База данных

  • Хранение информации о токенах пользователей
  • Единая база данных с JMS
  • База данных создаётся автоматически в процессе настройки сервера JMS

Aladdin 2FA Service

  • Сервис безопасной передачи секрета
  • Сервис Push-аутентификации

JAS Server API

Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.

Сертификаты

JaCarta Authentication Server (JAS) — создан в России, соответствует требованиям регуляторов, включен в Единый реестр отечественного ПО № 11260 и рекомендуется к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО).

Сертификат ФСТЭК России № 4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать её для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.

Совместимость

Класс ПО/ПАК Вендор Продукт Сертификат совместимости
Операционные системы ООО "РусБИТех-Астра" Astra Linux SE 1.7 Смоленск сертификат
Astra Linux SE 1.6 Смоленск
Astra Linux CE 2.12 Орел
ООО "Базальт СПО" Альт 8 СП сертификат
ООО "РЕД СОФТ" РЕД ОС 7.2 МУРОМ
РЕД ОС 7.3 МУРОМ сертификат
СУБД ООО "ППГ" Postgres Pro сертификат
ООО "Газинформсервис" Jatoba сертификат
Ресурсные системы (Каталоги) ООО "РусБИТех-Астра" ALD Pro сертификат
ООО "РЕД СОФТ" РЕД АДМ сертификат
Межсетевые экраны, VPN-концентраторы etc ООО "Юзергейт" Линейка МЭ UserGate
ООО "КРИПТО-ПРО" VPN КриптоПро Ngate
ООО "НТБ" Solar SafeConnect сертификат
Solar SafeInspect сертификат
Средства виртуализации ООО "РЕД СОФТ" РЕД Виртуализация

Функции JaCarta Authentication Server

    • Усиленная аутентификация пользователей по одноразовым паролям (OTP):
      • Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
      • Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
      • Push-уведомления
      • Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
      • Messaging-токены (SMS)
      • TelegramOTP
    • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
    • Вариативность режимов аутентификации с применением OTP-токенов:
      • Только OTP
      • OTP + OTP PIN-код
      • Доменный пароль + OTP
      • Доменный пароль + OTP + OTP PIN-код
    • Двухфакторная аутентификация в ОС Linux посредством продукта Aladdin Secure Logon
    • Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
    • Интеграция с прикладным ПО с использованием стандартных протоколов:
      • RADIUS
      • REST
      • WS-Federation (ADFS)
      • HTTP и SMPP (для интеграции c SMS-шлюзами)
        • Гибкая настройка подключения к SMS-шлюзами, механизмы диагностики
    • Учёт геолокации при аутентификации по OTP и Push
    • За счет интеграции с платформой JMS, JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
      • Централизация управления через единую консоль
      • Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
      • Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
      • Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
      • Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
      • Общая система журналирования событий и система e-mail уведомлений
    • Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS, Android, Аврора) – невозможность повторного использования QR-кода
    • Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
      • Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа
      • Отправка текущего времени и версии JAS на сервер A2FA
    • Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками
    • Автоматический перевыпуск OTP-токенов при изменении учетных данных пользователя
    • Автоматическая блокировка неактивных OTP-токенов
    • Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
    • Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
    • Формирование отчётов
      • Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
      • Выгрузка журнала аутентификаций JAS в машиночитаемом формате
      • Выгрузка списка OTP-токенов пользователей в виде отчета
    • Предупреждения об исчерпании лимита лицензий JAS (Aladdin 2FA)
    • Ведение журналов:
      • Журнал аудита
      • Журнал событий аутентификации
        • Отображение информации об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
      • Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
      • Выгрузка событий журналов аутентификации на Syslog-сервер
      • Возможность фильтрации типов событий JAS для Syslog
    • Возможность замены NPS и FreeRADIUS для сценариев, где в качестве политик используются только группы
    • Поддержка каталогов для чтения и проверки принадлежности к группам: AD, Samba AD-DC, FreeIPA, ALD Pro
    • Поддержка kerberos аутентификации в LDAP каталоге
    • Возможность одновременно работы с несколькими доменами и LDAP-каталогами для проверки вхождения в группу пользователя
    • Возможность перенаправлять запросы для обработки пароля на сторонний Radius Server
    • Защита пароля пользователя путем инверсии порядка аутентификации. Пароль пользователя будет проверяться после успешной проверки второго фактора. Данную опцию можно активировать только при включенной опции Challenge-Response (Access-Challenge) на стороне JAS Radius Server. При этом у пользователя при аутентификации, как и раньше, будет запрашиваться сначала пароль, а затем второй фактор
    • Поддержка Message-Authenticator
    • Поддержка нескольких Radius-клиентов с возможностью персональных настроек для каждого клиента
    • Поддержаны все функции плагина для NPS:
      • Аутентификация по OTP, Messaging, Push-токенам
      • Определение доступных средств аутентификации
      • Ручной / автоматический выбор доступных средств аутентификации
      • Указание домена по умолчанию
    • UI для просмотра (Dashboard) и управления настройками сервера на Linux
    • Поддержка входа по Kerberos-аутентификации
    • UI для просмотра (Dashboard) и конфигурирования JRS
    • Поддержка входа по Kerberos-аутентификации
    • Поддержка Message-Authenticator
    • C помощью API, а также уже готовые интеграции:
      • Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
      • Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
      • Web-приложения, сайты и облачные сервисы
      • Системы дистанционного банковского обслуживания (ДБО)
      • Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
    • Поддержка FreeRadius
    • Поддержка Push-аутентификации в ADFS-плагине
    • Поддержка Push-токенов в двухпроходном режиме NPS-плагина
    • UI-конфигуратор плагинов NPS, ADFS, RDG
    • Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
    • Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
      • Текущий пользователь
      • Доменный пароль
      • Пароль JMS
      • Контрольные вопросы
      • SMS-оповещение
      • OTP-аутентификатор
      • Messaging-аутентификатор
    • Двухфакторный вход в портал самообслуживания с возможностью гибко настроить способы входа для первого и второго шага аутентификации
    • Регистрация программного OTP или Push OTP посредством
      • QR-кода
      • Строки ручной регистрации
    • Управление аутентификаторами
    • Синхронизация счетчиков
    • Смена OTPPIN
    • Утилита проверяет возможность установки JMS и JAS на сервере
    • Corosync + Pacemaker, модель Active/Passive
    • Утилита, позволяющая мигрировать БД 3.7.1 на 4.1

Технические и эксплуатационные характеристики

Системные требования

» Сервер JAS

Предварительно необходимо установить и настроить “Сервер JMS” т.к. JAS интегрирован в платформу JMS и является его составной частью

Операционная система

  • Astra Linux SE 1.6 Smolensk
  • Astra Linux SE 1.7
  • Astra Linux SE 1.8
  • Astra Linux CE 2.12 Orel
  • РЕД ОС 7.2, 7.3
  • ОС Альт 8 СП
  • ОС Альт 10

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

» СУБД

  • Microsoft SQL Server 2019
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2008 R2
  • Microsoft SQL Server 2008
  • PostgreSQL версии 9.6.10 и выше
  • Jatoba версии 1.9.1-3 и выше
  • PostgresPRO версии 12 и выше

» JAS-плагин для NPS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для AD FS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для Microsoft RDG

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 500 МБ

Свободное место на жёстком диске (не менее): 100 МБ

» JAS-плагин для JOL

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы)
  • Microsoft Windows 10 (32/64-битные платформы)
  • Microsoft Windows 8.1 (32/64-битные платформы)

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы : 500 МБ

Свободное место на жёстком диске (не менее): 15 МБ

» JAS RADIUS Server

JAS RADIUS Server (windows):

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2

Дополнительное ПО

  • Microsoft .NET Framework 4.8 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

Свободное место на жёстком диске (не менее): 10 ГБ

JAS RADIUS Server (linux)

Операционная система

  • Astra Linux SE 1.6 Smolensk
  • Astra Linux SE 1.7
  • Astra Linux SE 1.8
  • Astra Linux CE 2.12 Orel
  • РЕД ОС 7.2, 7.3
  • ОС Альт 8 СП
  • ОС Альт 10

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

Свободное место на жёстком диске (не менее): 10 ГБ
Поддерживаемые модели аппаратных токенов
  • JaCarta WebPass
  • eToken PASS
  • eToken NG-OTP
  • eToken NG-OTP (Java)
  • Любые токены, генерирующие OTP по событию (согласно RFC 4226)
  • Любые токены, генерирующие OTP по времени (согласно RFC 6238)
  • Любые U2F-токены (в т.ч. JaCarta U2F)
Поддерживаемые программные токены для мобильных устройств
  • Aladdin 2FA
  • Google Authenticator
  • Яндекс.Ключ
  • Любые другие программные токены TOTP/HOTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Active Directory Federation Services (ADFS)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
  • U2F
  • SMS
Двухфакторная аутентификация в ОС Windows
  • Обеспечивается путём установки на рабочую станцию Windows компонента JaCarta OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider);
  • В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации).
Поддерживаемые алгоритмы генерации OTP
  • HOTP
    • RFC 4226 + HMAC-SHA-1 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (7 цифр)
    • RFC 4226 + HMAC-SHA-256 (8 цифр)
  • TOTP
    • RFC 6238 + HMAC-SHA-1 (6 цифр)
    • RFC 6238 + HMAC-SHA-1 (7 цифр)
    • RFC 6238 + HMAC-SHA-1 (8 цифр)
    • RFC 6238 + HMAC-SHA-256 (6 цифр)
    • RFC 6238 + HMAC-SHA-256 (7 цифр)
    • RFC 6238 + HMAC-SHA-256 (8 цифр)
    • RFC 6238 + HMAC-SHA-512 (6 цифр)
    • RFC 6238 + HMAC-SHA-512 (7 цифр)
    • RFC 6238 + HMAC-SHA-512 (8 цифр)
Отказоустойчивость

Failover Cluster на базе Corosync и Pacemaker, модель Active/Standby:

  • Несколько серверов JAS: синхронизация текущих значений счётчиков;
  • Несколько серверов БД.
Сертификация

ФСТЭК России

Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.
Единый реестр отечественного ПО JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО)

Документация

Уважаемые коллеги.

Мы постоянно работаем над развитием нашего ПО, поэтому актуальные версии эксплуатационной документации отгружаем только вместе с актуальными дистрибутивами ПО.

Представленная для загрузки версия документации предназначена для общего ознакомления и не может быть использована для работы с актуальными версиями ПО. Просим иметь это в виду.

ico-pdf JMS 4LX Руководство администратора 1
ico-pdf JMS 4LX Руководство администратора 2
ico-pdf JMS 4LX Руководство администратора 3
ico-pdf JMS 4LX Руководство пользователя
ico-pdf JRS Руководство администратора

Новые возможности JMS 4LX в части JAS на 27.03.2025 г.

  • Поддержка Message-Authenticator в JRS и JRS Web Console
  • Добавлена поддержка мониторинговой УЗ в JRS
  • Добавлена информация о группах безопасности пользователей в ответы JRS
  • JRS. Добавлена аутентификация в LDAP-каталоге по Kerberos
  • JRS Web-Console. Добавлено управление сертификатами в хранилище
  • JRS Web-Console. Управление настройками кэширования групп
  • Исправлены ошибки:
    • При проверке статуса токена в сервисе 2FA приходит статус Unknown с JAS
    • ОТР аутентификатор получает статус Error, если указать способ передачи данных Защищенный
    • Некорректное начальное время при импорте и выпуске TOTP Рутокен
    • Зависание плана обслуживания жизненного цикла OTP
    • Секция состояние JAS перестает работать при отсутствии доступа к A2FA
    • JAS проверяет статус на сервере A2FA у messaging
    • Зависание плана обслуживания жизненного цикла OTP
    • Синхронизация HOTP токенов завершается с ошибкой в JMS web console
    • Не проходит проверка членства в группах с доменом Freeipa
    • Профиль выпуска "Messaging Token". Неверная логика OTP-PIN
    • JRS. При проверке соединения с внешним радиус сервером не отправляется атрибут Message-Authenticator
    • JRS. Не передается IP-адрес в журнал аутентификации, если JRS установлен на Windows
    • JRS. Не шифруется пароль в параметре LdapServerPassword
    • В windows JRS не отрабатывает фильтрация по группам
    • Некорректно отображается состояние сертификата в JRS web console
    • Мастер импорта аппаратных OTP. Теряется пользовательский прогресс в мастере при переходе по вкладкам.
    • Мастер импорта аппаратных OTP. Шаг "Начальное время" при импорте только HOTP
    • Периодически перегружается JRS
    • JRS. Некорректная фильтрация пользователей по группам из разных доменов, имеющим одинаковое название
    • В логах JAS вместо sessionID записывается Device Time
    • В логи JAS не выводится сам запрос, если смс-шлюз ответил ошибкой
    • Не локализована причина блокировки "Прекращение действия профиля" в отчетах
    • После перевыпуска Geo OTP токена он попадает в отчет синхронизации Geo OTP токенов
  • Реализован выпуск аутентификаторов "TelegramOTP"
  • Реализован учёт геолокации при аутентификации по ОТР
  • Добавлены настройки для чтения атрибутов клиентского и серверного IP в плагине NPS
  • Разработана утилита JMSCheck – проверка готовности инфраструктуры к установке JMS
  • Разработан JAS Web Server Console – Веб версия серверного агента JAS
  • Разработан JRS Web Server Console – конфигурирование JRS с помощью веб версии
  • Добавлена поддержка входа по Kerberos для JAS и JRS Web Server Console
  • Реализовано серверное кэширование групп пользователей из ресурсных систем при выполнении планов обслуживания
  • Добавлено управление таймаутами обращения к A2FA
  • Исправлены ошибки:
    • Некорректное поведение консоли управления JMS при переходе в разделы, которые не включены в лицензию
    • Некорректные часовые пояса у событий в отчетах
    • Не блокируются аутентификаторы при блокировке пользователя
    • Не работает кнопка "Войти" после повторного запроса Messaging
    • При делегировании отображается вся структура OU
    • Без права "Ключевые носители: чтение коннекторов" невозможно делегирование
    • Заполнение лога RDG-плагина приводит к падению службы
    • Ошибки в консоли конфигуратора JWM
  • Реализован портал самообслуживания JMS Web Manager
  • Изменена настройка "Кол-во повторов аутентификации" в профиле Messaging
  • Сделана атомарной привязка профилей к дереву ресурсной системы и настройка фильтрации
  • Добавлена возможность отключения отслеживания лицензии
  • Отчеты планов обслуживания переделаны в читаемой и информативной форме
  • Исправлены ошибки:
    • Остановка службы eap-engine после выполнения плана обслуживания по умолчанию
    • Планом обслуживания не добавляются пользователи при использовании фильтров по группам и USN
    • При таймауте подтверждения входа по PUSH от пользователя в лог JAS попадает неверное описание события
    • Не реализована обработка ошибки для сценария аутентификации Доменный пароль+OTP
    • При включении eap-agent ssl enable сервер JMS отвечает ошибкой 500
    • При свободном кол-ве OTP-аутентификаторов в лицензии не происходит выпуск на новых пользователей
    • Ошибка сортировки OTP-таутентификаторов по дате создания
    • Ошибка при формировании отчета по OTP, Push и Messaging-токенам
    • Не приходят уведомления при ошибках в плане обслуживания OTP
    • Не работает запуск плана обслуживания ЛК через maintenance run
  • Реализована отправка текущего времени и версии JAS на сервер A2FA
  • Расширен аудит изменения кастомных атрибутов пользователя
  • В журнал аутентификаций добавлена информация об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
  • Поддержка обновления с JMS 3.7
  • Исправлены ошибки:
    • JRS. Не работает аутентификация, если у пользователя пароль с кириллицей
    • JRS. C каталогом FreeIPA не корректно работают опции "UserNotFoundAction": "Pass", если к логину добавить пробел
    • Ошибка 500 при выпуске messaging токенов, если в поле systemid передать строку с большим значением символов
    • Недоступна установка OTP PIN кода при выборе режима аутентификации с OTP PIN
    • При выполнении плана обслуживания "Удаление программных ОТП-токенов" в логах A2FAService не приходит метод removeTicket
  • Реализована поддержка КриптоБД для MS SQL Server/Postgres/Jatoba в JMS и JAS
  • Реализованы предупреждения об исчерпании лимита лицензий JMS и JAS (A2FA)
  • Реализован перевыпуск JAS-токенов при изменении учетных данных пользователя
  • Реализован JAS Radius Server
    • Реализована аутентификация по OTP, Messaging, Push-токенам
    • Реализована аутентификация с перенаправлением на сторонний RADIUS-сервер
    • Реализовано определение доступных средств аутентификации
    • Реализован ручной / автоматический выбор доступных средств аутентификации
    • Реализовано указание домена по умолчанию
    • Реализована возможность смены пароля пользователя через JAS
    • Реализована проверка вхождения пользователей в группы LDAP-каталога
    • Реализована возможность проверки «второго фактора» первым
    • Реализована возможность задавать индивидуальные настройки для каждого RADIUS-клиента
    • Реализована проверка членства в группе при однопроходном режиме
    • Для однопроходного режима реализована аутентификация по Push
    • Реализовано проксирование запросов на внешний RADIUS-сервер в однопроходном режиме
    • Реализована проверка статуса активации токенов в A2FA
    • Реализован API для мониторинга статуса сервиса
    • Добавлена кастомизация текстовых сообщений пользователю
    • Изменен формат настроек проверки вхождения пользователя в группу и логика установки 25 атрибута
    • Реализовано получение UPN-суффиксов из LDAP-каталогов
  • Исправлены ошибки, внесены улучшения