JaCarta Authentication Server на платформе Linux
Аутентификация по одноразовым паролям, стандарту U2F
JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS-аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 4LX.
- Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance)
- Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
- Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
- Высокая производительность (более 5000 аутентификаций в секунду)
- Сервис безопасной передачи секрета (вектора инициализации) программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
Описание
JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 4LX на платформе Linux, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств, таких как приложение Aladdin 2FA, разработанное компанией Аладдин Р.Д., а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
- шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется);
- шлюз к рабочим столам Microsoft (Microsoft RDG);
- корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
- web-приложения, сайты и облачные сервисы;
- системы дистанционного банковского обслуживания (ДБО) и ЭДО.
Глубокая интеграция JAS в платформу JMS 4LX позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.
Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.
Работает только при условии использования мобильного приложения Aladdin 2FA.
PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.
Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.
Преимущества
Повышенная защищённость
Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP-аутентификаторов.
Масштабируемость
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
Поддержка аппаратных и программных токенов
JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.
Совместимость
JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.
Универсальность и самодостаточность
Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:
- RADIUS
- REST
- WS-Federation (ADFS)
- HTTP и SMPP (для интеграции c SMS-шлюзами)
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, FreeRADIUS с модулем интеграции JAS, а также средства управления токенами и пользователями.
Производительность, масштабируемость и отказоустойчивость
JAS выдерживает значительные нагрузки (свыше 5000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка Failover Cluster на базе Corosync и Pacemaker (режим Active/Standby) и возможность работы с Microsoft SQL Server и PostgreSQL в режиме высокой доступности (high availability), что позволяет гарантировать бесперебойность процессов аутентификации.
Поддержка мобильных устройств
JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Приложение Aladdin 2FA доступно в Google Play, Apple Store, AppGallery, RuMarket, NashStore, RuStore.
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Полная автоматизация возможных сценариев использования
Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 4LX на платформе Linux и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.
Технические подробности
Функции JaCarta Authentication Server
-
Усиленная аутентификация пользователей по одноразовым паролям (OTP):
- Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
- Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
- Push-уведомления
- Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
- Messaging-токены (SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
-
Вариативность режимов аутентификации с применением OTP-токенов:
- Только OTP
- OTP + OTP PIN-код
- Доменный пароль + OTP
- Доменный пароль + OTP + OTP PIN-код
- Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS и Android) – невозможность повторного использования QR-кода
-
Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Отправка текущего времени и версии JAS на сервер A2FA
-
Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками:
- Обновление Messaging-токена
- Блокировка Messaging-токена
- Не предпринимать никаких действий
- Автоматический перевыпуск JAS-токенов при изменении учетных данных пользователя
- Автоматическая блокировка неактивных OTP-токенов
- Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
-
Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Кастомизация темы письма при отправке QR-кодов
-
Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
- В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удаленном подключении и Логин\Пароль\OTP при локальном входе
-
Интеграция с прикладным ПО с использованием стандартных протоколов:
- RADIUS;
- REST;
- WCF;
- WS-Federation (ADFS);
-
HTTP и SMPP (для интеграции c SMS-шлюзами)
- Гибкая настройка подключения к SMS-шлюзами, механизмы диагностики
-
Компонент JAS Radius Server:
- Возможность замены NPS и FreeRADIUS для сценариев, где в качестве политик используются только группы.
- Поддержка каталогов для чтения и проверки принадлежности к группам: AD, Samba AD-DC, FreeIPA, ALD Pro.
- Возможность одновременно работы с несколькими доменами и LDAP-каталогами для проверки вхождения в группу пользователя.
- Возможность перенаправлять запросы для обработки пароля на сторонний Radius Server.
- Защита пароля пользователя путем инверсии порядка аутентификации. Пароль пользователя будет проверяться после успешной проверки второго фактора. Данную опцию можно активировать только при включенной опции Challenge-Response (Access-Challenge) на стороне JAS Radius Server. При этом у пользователя при аутентификации, как и раньше, будет запрашиваться сначала пароль, а затем второй фактор.
- Поддержка нескольких Radius-клиентов с возможностью персональных настроек для каждого клиента.
-
Поддержаны все функции плагина для NPS:
- Аутентификация по OTP, Messaging, Push-токенам;
- Определение доступных средств аутентификации;
- Ручной / автоматический выбор доступных средств аутентификации;
- Указание домена по умолчанию.
-
Широкие возможности интеграции с различными системами и сервисами:
- Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
- Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
- Web-приложения, сайты и облачные сервисы
- Системы дистанционного банковского обслуживания (ДБО)
- Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
-
Ведение журналов:
- Журнал аудита
-
Журнал событий аутентификации
- Отображение информации об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
- Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
- Выгрузка событий журналов аутентификации на Syslog-сервер
- Возможность фильтрации типов событий JAS для Syslog
-
Самообслуживание через Личный кабинет пользователя:
-
Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
- Текущий пользователь Windows
- Доменный пароль
- Пароль JMS
- Контрольные вопросы
- SMS-оповещение
- OTP-аутентификатор
- Messaging-аутентификатор
-
Регистрация программного OTP или Push OTP посредством
- QR-кода
- Строки ручной регистрации
- Управление аутентификаторами
- Синхронизация счетчиков
- Смена OTPPIN
- Возможность кастомизации дизайна порталов
-
Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
- Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
- Поддержка Push-аутентификации в ADFS-плагине
- Поддержка Push-токенов в двухпроходном режиме NPS-плагина
- UI-конфигуратор плагинов NPS, ADFS, RDG
-
За счет интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
- Централизация управления через единую консоль
- Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
- Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
- Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
- Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
- Общая система журналирования событий и система e-mail уведомлений
-
Формирование отчётов
- Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
- Выгрузка журнала аутентификаций JAS в машиночитаемом формате
- Выгрузка списка OTP-токенов пользователей в виде отчета
- Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа проблем
- Проверка статуса активации OTP- и Push-токенов, выпущенных через сервис Aladdin 2FA
- Предупреждения об исчерпании лимита лицензий JAS (Aladdin 2FA)
-
Отказоустойчивость:
-
Microsoft Failover Cluster, модель Active/Standby:
- Несколько серверов JAS: синхронизация текущих значений счётчиков;
- Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server.
-
Microsoft Failover Cluster, модель Active/Standby:
Технические и эксплуатационные характеристики
| Системные требования |
» Сервер JAS
» СУБД
» JAS-плагин для NPS
» JAS-плагин для AD FS
» JAS-плагин для Microsoft RDG
» JAS-плагин для JOL
» JAS-плагин для FreeRADIUS
|
||||||||||||
| Поддерживаемые модели аппаратных токенов |
|
||||||||||||
| Поддерживаемые программные токены для мобильных устройств |
|
||||||||||||
| Поддерживаемые протоколы интеграции с прикладным ПО |
|
||||||||||||
| Поддерживаемые протоколы интеграции с SMS-шлюзами |
|
||||||||||||
| Поддерживаемые режимы аутентификации |
|
||||||||||||
| Двухфакторная аутентификация в ОС Windows |
|
||||||||||||
| Поддерживаемые алгоритмы генерации OTP |
|
||||||||||||
| Отказоустойчивость | Failover Cluster на базе Corosync и Pacemaker, модель Active/Standby:
|
||||||||||||
| Сертификация |
ФСТЭК России Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||||
| Единый реестр отечественного ПО | JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) |
Архитектура JAS
Сервер аутентификации JAS
Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.
Консоль управления
Управление из Единой консоли управления. См. подробнее JMS
База данных
- Хранение информации о токенах пользователей
- Единая база данных с JMS
- База данных создаётся автоматически в процессе настройки сервера JMS
Aladdin 2FA Service
- Сервис безопасной передачи секрета
- Сервис Push-аутентификации
JAS Server API
Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.
Новые возможности JMS 4LX в части JAS на 01.11.2023 г.
- Реализована отправка текущего времени и версии JAS на сервер A2FA
- Расширен аудит изменения кастомных атрибутов пользователя
- В журнал аутентификаций добавлена информация об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
- Поддержка обновления с JMS 3.7
-
Исправлены ошибки:
- JRS. Не работает аутентификация, если у пользователя пароль с кириллицей
- JRS. C каталогом FreeIPA не корректно работают опции "UserNotFoundAction": "Pass", если к логину добавить пробел
- Ошибка 500 при выпуске messaging токенов, если в поле systemid передать строку с большим значением символов
- Недоступна установка OTP PIN кода при выборе режима аутентификации с OTP PIN
- При выполнении плана обслуживания "Удаление программных ОТП-токенов" в логах A2FAService не приходит метод removeTicket
Новые возможности JMS 4LX в части JAS на 11.08.2023 г.
- Реализована поддержка КриптоБД для MS SQL Server/Postgres/Jatoba в JMS и JAS
- Реализованы предупреждения об исчерпании лимита лицензий JMS и JAS (A2FA)
- Реализован перевыпуск JAS-токенов при изменении учетных данных пользователя
-
Реализован JAS Radius Server
- Реализована аутентификация по OTP, Messaging, Push-токенам
- Реализована аутентификация с перенаправлением на сторонний RADIUS-сервер
- Реализовано определение доступных средств аутентификации
- Реализован ручной / автоматический выбор доступных средств аутентификации
- Реализовано указание домена по умолчанию
- Реализована возможность смены пароля пользователя через JAS
- Реализована проверка вхождения пользователей в группы LDAP-каталога
- Реализована возможность проверки «второго фактора» первым
- Реализована возможность задавать индивидуальные настройки для каждого RADIUS-клиента
- Реализована проверка членства в группе при однопроходном режиме
- Для однопроходного режима реализована аутентификация по Push
- Реализовано проксирование запросов на внешний RADIUS-сервер в однопроходном режиме
- Реализована проверка статуса активации токенов в A2FA
- Реализован API для мониторинга статуса сервиса
- Добавлена кастомизация текстовых сообщений пользователю
- Изменен формат настроек проверки вхождения пользователя в группу и логика установки 25 атрибута
- Реализовано получение UPN-суффиксов из LDAP-каталогов
- Исправлены ошибки, внесены улучшения
| Класс ПО/ПАК | Вендор | Продукт | Сертификат совместимости |
|---|---|---|---|
| Операционные системы | ООО "РусБИТех-Астра" | Astra Linux SE 1.7 Смоленск | сертификат |
| Astra Linux SE 1.6 Смоленск | |||
| Astra Linux CE 2.12 Орел | |||
| ООО "Базальт СПО" | Альт 8 СП | сертификат | |
| ООО "РЕД СОФТ" | РЕД ОС 7.2 МУРОМ | ||
| РЕД ОС 7.3 МУРОМ | сертификат | ||
| СУБД | ООО "ППГ" | Postgres Pro | сертификат |
| ООО "Газинформсервис" | Jatoba | сертификат | |
| Ресурсные системы (Каталоги) | ООО "РусБИТех-Астра" | ALD Pro | сертификат |
| Межсетевые экраны, VPN-концентраторы etc | ООО "Юзергейт" | Линейка МЭ UserGate | |
| ООО "КРИПТО-ПРО" | VPN КриптоПро Ngate | ||
| Средства виртуализации | ООО "РЕД СОФТ" | РЕД Виртуализация |