JaCarta Authentication Server на платформе Linux

Аутентификация по одноразовым паролям, стандарту U2F

JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS-аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 4LX.

  • Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
  • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance)
  • Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
  • Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
  • Высокая производительность (более 5000 аутентификаций в секунду)
  • Сервис безопасной передачи секрета (вектора инициализации) программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
JaCarta Authentication Server на платформе Linux
Зарегистрировано в реестре российских программ для ЭВМ и БД № 311 Сертифицировано ФСТЭК России в составе JMS 3.7. Сертификат № 4411
Прокрутите ниже
и узнайте больше

Описание

JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 4LX на платформе Linux, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств, таких как приложение Aladdin 2FA, разработанное компанией Аладдин Р.Д., а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.

Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:

  • шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется);
  • шлюз к рабочим столам Microsoft (Microsoft RDG);
  • корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
  • web-приложения, сайты и облачные сервисы;
  • системы дистанционного банковского обслуживания (ДБО) и ЭДО.

Глубокая интеграция JAS в платформу JMS 4LX позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.

OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.

По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.

Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.

Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.

Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.

Работает только при условии использования мобильного приложения Aladdin 2FA.

PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.

Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.

Преимущества

Повышенная защищённость

Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP-аутентификаторов.

Масштабируемость

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

Поддержка аппаратных и программных токенов

JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.

Совместимость

JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.

Универсальность и самодостаточность

Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:

  • RADIUS
  • REST
  • WS-Federation (ADFS)
  • HTTP и SMPP (для интеграции c SMS-шлюзами)

Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, FreeRADIUS с модулем интеграции JAS, а также средства управления токенами и пользователями.

Производительность, масштабируемость и отказоустойчивость

JAS выдерживает значительные нагрузки (свыше 5000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

В JAS реализована поддержка Failover Cluster на базе Corosync и Pacemaker (режим Active/Standby) и возможность работы с Microsoft SQL Server и PostgreSQL в режиме высокой доступности (high availability), что позволяет гарантировать бесперебойность процессов аутентификации.

Поддержка мобильных устройств

JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Приложение Aladdin 2FA доступно в Google Play, Apple Store, AppGallery, RuMarket, NashStore, RuStore.

Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.

Полная автоматизация возможных сценариев использования

Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 4LX на платформе Linux и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.

Технические подробности

Функции JaCarta Authentication Server

  • Усиленная аутентификация пользователей по одноразовым паролям (OTP):
    • Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
    • Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
    • Push-уведомления
    • Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
    • Messaging-токены (SMS)
  • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
  • Вариативность режимов аутентификации с применением OTP-токенов:
    • Только OTP
    • OTP + OTP PIN-код
    • Доменный пароль + OTP
    • Доменный пароль + OTP + OTP PIN-код
  • Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS, Android, Аврора) – невозможность повторного использования QR-кода
  • Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
    • Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа
  • Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками
  • Автоматическая блокировка неактивных OTP-токенов
  • Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
  • Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
  • Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
  • Двухфакторная аутентификация в ОС Linux посредством продукта Aladdin Secure Logon
  • Интеграция с прикладным ПО с использованием стандартных протоколов:
    • RADIUS;
    • REST;
    • WS-Federation (ADFS);
    • HTTP и SMPP (для интеграции c SMS-шлюзами)
      • Гибкая настройка подключения к SMS-шлюзами, механизмы диагностика.
  • Широкие возможности интеграции с различными системами и сервисами:
    • Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
    • Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
    • Web-приложения, сайты и облачные сервисы
    • Системы дистанционного банковского обслуживания (ДБО)
    • Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
  • Ведение журналов:
    • Журнал аудита
    • Журнал событий аутентификации
    • Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
    • Выгрузка событий журналов аутентификации на Syslog-сервер
    • Возможность фильтрации типов событий JAS для Syslog
  • Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
  • Поддержка FreeRadius
  • Поддержка Push-аутентификации в ADFS-плагине
  • Поддержка Push-токенов в двухпроходном режиме NPS-плагина
  • UI-конфигуратор плагинов NPS, ADFS, RDG
  • За счет интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
    • Централизация управления через единую консоль
    • Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
    • Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
    • Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
    • Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
    • Общая система журналирования событий и система e-mail уведомлений
  • Формирование отчётов
    • Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
    • Выгрузка журнала аутентификаций JAS в машиночитаемом формате
    • Выгрузка списка OTP-токенов пользователей в виде отчета
  • Отказоустойчивость:
    • Corosync + Pacemaker, модель Active/Passive
  • Поддержка миграции с JMS 3.7.1

Технические и эксплуатационные характеристики

Системные требования

» Сервер JAS

Предварительно необходимо установить и настроить “Сервер JMS” т.к. JAS интегрирован в платформу JMS и является его составной частью

Операционная система

  • Astra Linux SE 1.6 Smolensk
  • Astra Linux SE 1.7
  • Astra Linux CE 2.12 Orel
  • РЕД ОС 7.2, 7.3
  • ОС Альт 8 СП

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

» СУБД

  • Microsoft SQL Server 2019
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2008 R2
  • Microsoft SQL Server 2008
  • PostgreSQL версии 9.6.10 и выше
  • Jatoba 1.9.1-3 и выше

» JAS-плагин для NPS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для AD FS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для Microsoft RDG

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 500 МБ

Свободное место на жёстком диске (не менее): 100 МБ

» JAS-плагин для JOL

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы)
  • Microsoft Windows 10 (32/64-битные платформы)
  • Microsoft Windows 8.1 (32/64-битные платформы)

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы : 500 МБ

Свободное место на жёстком диске (не менее): 15 МБ

» JAS-плагин для FreeRADIUS

Операционная система

  • Astra Linux SE 1.6 Smolensk
  • Astra Linux SE 1.7
  • Astra Linux CE 2.12 Orel
  • РЕД ОС 7.2, 7.3
  • ОС Альт 8 СП

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы : 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

Поддерживаемые модели аппаратных токенов
  • JaCarta WebPass
  • eToken PASS
  • eToken NG-OTP
  • eToken NG-OTP (Java)
  • Любые токены, генерирующие OTP по событию (согласно RFC 4226)
  • Любые токены, генерирующие OTP по времени (согласно RFC 6238)
  • Любые U2F-токены (в т.ч. JaCarta U2F)
Поддерживаемые программные токены для мобильных устройств
  • Aladdin 2FA
  • Google Authenticator
  • Яндекс.Ключ
  • Любые другие программные токены TOTP/HOTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Active Directory Federation Services (ADFS)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
  • U2F
  • SMS
Двухфакторная аутентификация в ОС Windows
  • Обеспечивается путём установки на рабочую станцию Windows компонента JaCarta OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider);
  • В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации).
Поддерживаемые алгоритмы генерации OTP
  • HOTP
    • RFC 4226 + HMAC-SHA-1 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (7 цифр)
    • RFC 4226 + HMAC-SHA-256 (8 цифр)
  • TOTP
    • RFC 6238 + HMAC-SHA-1 (6 цифр)
    • RFC 6238 + HMAC-SHA-1 (7 цифр)
    • RFC 6238 + HMAC-SHA-1 (8 цифр)
    • RFC 6238 + HMAC-SHA-256 (6 цифр)
    • RFC 6238 + HMAC-SHA-256 (7 цифр)
    • RFC 6238 + HMAC-SHA-256 (8 цифр)
    • RFC 6238 + HMAC-SHA-512 (6 цифр)
    • RFC 6238 + HMAC-SHA-512 (7 цифр)
    • RFC 6238 + HMAC-SHA-512 (8 цифр)
Отказоустойчивость

Failover Cluster на базе Corosync и Pacemaker, модель Active/Standby:

  • Несколько серверов JAS: синхронизация текущих значений счётчиков;
  • Несколько серверов БД.
Сертификация

ФСТЭК России

Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.

Единый реестр отечественного ПО JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО)
Архитектура JMS 4LX

Архитектура JAS

Сервер аутентификации JAS

Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.

Консоль управления

Управление из Единой консоли управления. См. подробнее JMS

База данных

  • Хранение информации о токенах пользователей
  • Единая база данных с JMS
  • База данных создаётся автоматически в процессе настройки сервера JMS

Aladdin 2FA Service

  • Сервис безопасной передачи секрета
  • Сервис Push-аутентификации

JAS Server API

Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.

Класс ПО/ПАК Вендор Продукт Сертификат совместимости
Операционные системы ООО "РусБИТех-Астра" Astra Linux SE 1.7 Смоленск сертификат
Astra Linux SE 1.6 Смоленск
Astra Linux CE 2.12 Орел
ООО "Базальт СПО" Альт 8 СП сертификат
ООО "РЕД СОФТ" РЕД ОС 7.2 МУРОМ
РЕД ОС 7.3 МУРОМ сертификат
СУБД ООО "ППГ" Postgres Pro
ООО "Газинформсервис" Jatoba сертификат
Ресурсные системы (Каталоги) ООО "РусБИТех-Астра" ALD Pro
Межсетевые экраны, VPN-концентраторы etc ООО "Юзергейт" Линейка МЭ UserGate
ООО "КРИПТО-ПРО" VPN КриптоПро Ngate
Средства виртуализации ООО "РЕД СОФТ" РЕД Виртуализация

Задать вопрос эксперту

+7 (495) 223-0001
с 10:00 до 19:00 (Москва)
+7 495 223001