Как настроить аутентификацию в домене AD с использованием карт Em-Marine (Болид)?

Question

[Вячеслав]

Поставлена задача:
На компьютере работают посменно несколько диспетчеров, которые заходят в домен под своими аккаунтами Disp1, Disp2, Disp3.
В здании установлена СКУД Болид, доступ в помещения по карточкам Em-marin.
Необходимо настроить доступ (аутентификацию в домене) пользователей с помощью этих карт. Другими словами диспетчер подошел, карту приложил, комп разблокировался.
Для этих целей был куплен USB считыватель Proxy-USB-МА, ридер читает 5 байт с карты и добавляет к ним Enter (эмулирует клавиатуру). В принципе, такой уровень безопасности устраивает (СКУД + везде камеры + минимальные права), но пользователи жалуются, что руками вводить логин неудобно.
Есть ли способ вообще не прикасаться пользователю к клавиатуре и проходить аутентификацию в домене?

PS: Да, я знаю, что правильный путь это карты с Аладдином + сервер сертификатов + УЦ, но это деньги, другие считыватели и отдельные карты для СКУД и для домена, а нужно одной картой проходить везде.

Answer 1

[Николай Корабельников]

Карта RFID может быть использована только для идентификации. Не стоит аутентифицировать пользователей только на основании предоставляемого ID.

Мне не приходилось работать с RFID ридерами, которые эмулируют клавиатуру. Можете пояснить, что именно они делают: эмулируют печать на клавиатуре 5-ти байт+enter? Что может быть в этих 5-ти байтах?
Теоретически, если я правильно понимаю работу ридеров, то вы можете:
Задать пользователям пароль, равный тем самым 5-ти байтам на их картах и им останется только ввести/выбрать логин и приложить карту.
Это нельзя назвать аутентификацией, а скорее обход аутентификации.

Comments

[Вячеслав]

Да, Вы абсолютно правильно понимаете, на карте записано 5 байт (например 7А48876ЕЕ1) и при приближении карты к считывателю эти символы + Ентер отправляются в активное поле ввода, как набранные с клавиатуры.
Да, я понимаю недостатки этого метода, но еще раз повторюсь, безопасность достигается другими методами (СКУД, видеонаблюдение, охрана, постоянное присутствие персонала).
От карточек требуется разблокировать АРМ.

[Николай Корабельников]

Тогда попробуйте сделать как я написал выше: установить пользователю пароль равный 5-ти байтам с карты.
Кстати, вы можете вовсе убрать требование пароля. И, как вариант, сделать пользователям логины, соответствующие этим 5 байтам.

[Вячеслав]

Николай Корабельников: Пока так и сделал, поставил пароль 10 символов с карты. Вопрос в том, чтобы не требовать от пользователя ввода ни логина ни пароля, но аутентификацию проводить... Без пароля нельзя.

[Николай Корабельников]

Еще раз: RFID - идентификатор. Даже, если вы используете его в поле пароль, он не становится паролем по сути. Поэтому можете считать, что пароля у вас уже нет. Есть только длинное имя пользователя равное (Windows-логин + RFID).

Answer 2

[DNMit]

Задумка классная, но имхо очень дорогая - каждый считыватель от 1500 рублей. Довольно дорогое удовольствие, на месте директора, я бы никогда на такое не пошёл, хотя.. все руководители разные и довольно часто встречаются откровенные параноики, которые готовы платить за это.

Comments

[Николай Корабельников]

Паранойя не может привести к желанию использовать RFID для аутентификации. Нужно помнить, что суть RFID - идентификатор, который RFID-метка отдает любому совместимому считывателю. Злоумышленник может незаметно считать этот идентификатор и записать его на свою RFID-метку. Даже использование RFID для идентификации в некоторых случаях менее безопасно, чем простой ввод логина.
Тут скорее дело в ожидаемом удобстве.

[Вячеслав]

На самом деле от 4500 :-)

[DNMit]

Николай Корабельников: согласен.

[DNMit]

Вячеслав: Они разные бывают, я для своей системы покупаю по 1800 руб.

[Вячеслав]

DNMit: Не поделитесь ссылкой на USB считыватели по 1800?

[DNMit]

Вячеслав: www.spnx.ru/reader_eh.php

Answer 3

[Виктор Ганелес]

А болид - имхо - какое-то Г, с виду, как из 90х годов.

особо порадовало то, что при входе в систему логина нет вовсе - только пароль.
А при смене пароля, если вводишь уже "занятый" пароль - система прямо говорит "этот пароль принадлежит пользователю иванову ивану ивановичу"

Comments

[Вячеслав]

Виктор, разве вопрос звучал "Оцените систему Болид"? Примите это как условие задачи. Это раз.
Во-вторых, не путаете ли Вы систему Болид, которая представляет из себя датчики, считыватели, контроллеры, управляющие механизмы и управляющую оболочку, например Орион?
И в заключение - Вам есть что сказать по сабжу?

[Виктор Ганелес]

Вячеслав:
Да, вы, конечно правы. Просто не смог сдержать возмущение, извините.

В систему Болид входит и управляющая оболочка, так что "путаю" тут, КМК, не совсем уместно, скорее "обобщаю".

По сабжу:
2 года назад представители Болида говорили, что в ближайших версиях Орион-ПРО они планируют внедрить интеграцию с AD. Стоит уточнить, может у них появилась бета-версия с данной возможностью.

Answer 4

[Алекс]

Можно,
www.rohos.ru/2017/10/windows-logon-rfid-hitag-inda...
Программа может полность заменить логин на Em Карту. Либо карта + ПИН либо Карта + Пароль Windows. В Active Directory работает.
Но можно использовать только RFID ридеры которые передают данные карты по USB. Но Через клавиатуру и 5 символов - это Уже дыра в безопасности. Не рекомендуется так использовать.