MatchLogon GINA

GINA - это специальная библиотека (DLL), отвечающая за идентификацию и аутентификацию пользователей в операционной системе Windows (Graphical Identification and Authentication, сокращенно GINA). GINA является неотъемлемой частью всех операционных систем семейства Windows 2000/XP/2003 Server^TM. Стандартно, в процессе доступа на компьютер или сеть организации Windows GINA запрашивает имя учетной записи пользователя, домен и пароль.

MatchLogon GINA расширяет функциональность Windows GINA, позволяя пользователю выбирать какой из доступных способов аутентификации он хочет использовать вместо ручного ввода пароля (отпечаток пальца, смарт-карта, USB ключ, proximity-карта, мобильный телефон и т.п.).

Внешний вид MatchLogon GINA после установки клиентской части решения показан на рисунке:

Поддерживаемые технологии аутентификации

MatchLogon GINA, устанавливается в составе пакета MatchLogon Workstation и поддерживает следующие технологии аутентификации:

• Статическая биометрия (отпечаток пальца, лицо, радужная оболочка глаза и т.д.);
• Динамическая биометрия (клавиатура, мышь, рукописный ввод и т.д.);
• Карты RFID (HID, MIFARE, и т.д.);
• Мобильный телефон, смартфон,PDA и т.д.;
• USB-ключи или смарт-карты (Aladdin eToken, Актив ruToken, и т.д.);
• Карты и ключи без памяти (Dallas iButton);
• Любую комбинацию перечисленных технологий аутентификации;
• и другие.

Приведенная ниже диаграмма иллюстрирует все многообразие технологий и оборудования, которые поддерживаются MatchLogon и могут быть инсталлированы в систему в любой момент:

Возможные сценарии аутентификации

MatchLogon поддерживает следующие сценарии аутентификации:

• Доступ на компьютер в рабочей группе (только MatchLogon Workstation Edition);
• Доступ на компьютер в домене Windows NT (только MatchLogon Workstation Edition);
• Доступ на компьютер в домене Active Directory 2000/2003;
• Кросс-доменная аутентификация (трастовые домены);
• Off-line доступ (вход на компьютер домена в условиях физического отсутствия сети);
• Терминальный доступ на Windows Terminal Server 2000/2003 (RDP протокол);
• Терминальный доступ на Citrix® Metaframe®, NFuse® (ICA протокол);
• Удаленный доступ на Windows XP;
• Dial-up/GPRS/VPN/RADIUS;
• Запуск приложений через команду "MatchLogon Run As";
• Аутентификация на Intranet порталах (SAP Enterprise Portal, Lotus Notes Portal, и т.д.).

Описание типового сценария аутентификации в домене

Типовой сценарий аутентификации пользователя на компьютере, включенного в домен организации (также, см. рисунок):

• Пользователь нажимает комбинацию клавиш Ctrl-Alt-Del, при необходимости указывает имя своей учетной записи, имя домена и выбирает один из доступных способов аутентификации.
• MatchLogon GINA загружает BSP модуль, соответствующий выбранному способу входа (отпечаток пальца, смарт-карта, USB ключ, мобильный телефон и т.п.). Аутентификатор, полученный в этот момент от пользователя, зашифровывается и вместе с именем учетной записи передается MatchLogon Server (1).
• MatchLogon Server извлекает из базы данных Active Directory ранее обученный (эталонный) аутентификатор данного пользователя и расшифровывает его (2). Затем, MatchLogon Server расшифровывает аутентификатор, предоставленный пользователем, и загружает соответствующий BSP модуль для выполнения процедуры сравнения двух аутентификаторов (3). Если аутентификаторы совпадают, то MatchLogon Server извлекает из базы Active Directory пароль учетной записи пользователя (4) и перешифровывает его для дальнейшей отправки на сторону MatchLogon GINA (5). Как правило, данный пароль представляет из себя 63 символьную строку, состоящую из случайной комбинации букв, символов и цифр.
• MatchLogon GINA расшифровывает полученную парольную строку и передает ее на доменный контроллер для завершения процедуры входа в систему (6). После того как контроллер домена подтвердил правильность переданного пароля, процедура аутентификации завершается (7).

Автоматическое блокировка компьютера

MatchLogon GINA поддерживает несколько способов автоматической блокировки компьютера в моменты, когда пользователь покидает свое рабочее место.

Первый из них правильно настроенные параметры screen saver-а, скрывающего содержимое экрана, блокирующего ввод с клавиатуры и мыши. По возвращении, пользователь получает доступ к заблокированной сессии только после повторного прохождения процедуры аутентификации.

В случае если пользователь использовал "вынимаемые" устройства аутентификации, например, смарт-карта, USB ключ, MatchLogon GINA автоматически блокирует текущий сеанс работы в момент извлечения устройства.

В ситуации, когда устройство не предполагает его отключения при покидании рабочего места сотрудником, например, сканер отпечатков пальцев, мобильный телефон и т.п., можно использовать специальные устройства, активизирующие блокировку компьютера при удалении сотрудника более чем 3-5 метров от своего стола.

Доступ на компьютер при отсутствии сети (Off-line режим)

В тех ситуациях, когда компьютер пользователя не имеет физического соединения с сетью, у пользователя сохраняется возможность осуществлять доступ на свой компьютер с использованием аппаратного устройства аутентификации. Типовым случаем является поездка сотрудника в командировку и необходимость получить доступ к ресурсам своего ноутбука.

Возможность получать доступ на компьютер в отсутствие сети является настраиваемой опцией, регулируемой системным администратором.

При доступе на компьютер, отключенный от сети, предоставленный пользователем аутентификатор верифицируется локально. Данная технология очень похожа на встроенную в Windows функцию "network-detached logon".

Данные, хранимые в локальном кеше надежно защищены с использованием Microsoft Data Protection API и криптографических средств Microsoft CryptoAPI.

Когда администратор запрещает функцию кеширования для какого-либо компьютера, вся информация, хранящаяся в кеше, удаляется, не зависимо от желания пользователя.