@HiMem-74
DIY энтузиаст

Как настроить аутентификацию в домене AD с использованием карт Em-Marine (Болид)?

Поставлена задача:
На компьютере работают посменно несколько диспетчеров, которые заходят в домен под своими аккаунтами Disp1, Disp2, Disp3.
В здании установлена СКУД Болид, доступ в помещения по карточкам Em-marin.
Необходимо настроить доступ (аутентификацию в домене) пользователей с помощью этих карт. Другими словами диспетчер подошел, карту приложил, комп разблокировался.
Для этих целей был куплен USB считыватель Proxy-USB-МА, ридер читает 5 байт с карты и добавляет к ним Enter (эмулирует клавиатуру). В принципе, такой уровень безопасности устраивает (СКУД + везде камеры + минимальные права), но пользователи жалуются, что руками вводить логин неудобно.
Есть ли способ вообще не прикасаться пользователю к клавиатуре и проходить аутентификацию в домене?

PS: Да, я знаю, что правильный путь это карты с Аладдином + сервер сертификатов + УЦ, но это деньги, другие считыватели и отдельные карты для СКУД и для домена, а нужно одной картой проходить везде.
  • Вопрос задан
  • 3154 просмотра
Пригласить эксперта
Ответы на вопрос 4
nmk2002
@nmk2002
работаю в ИБ
Карта RFID может быть использована только для идентификации. Не стоит аутентифицировать пользователей только на основании предоставляемого ID.

Мне не приходилось работать с RFID ридерами, которые эмулируют клавиатуру. Можете пояснить, что именно они делают: эмулируют печать на клавиатуре 5-ти байт+enter? Что может быть в этих 5-ти байтах?
Теоретически, если я правильно понимаю работу ридеров, то вы можете:
Задать пользователям пароль, равный тем самым 5-ти байтам на их картах и им останется только ввести/выбрать логин и приложить карту.
Это нельзя назвать аутентификацией, а скорее обход аутентификации.
Ответ написан
@DNMit
Задумка классная, но имхо очень дорогая - каждый считыватель от 1500 рублей. Довольно дорогое удовольствие, на месте директора, я бы никогда на такое не пошёл, хотя.. все руководители разные и довольно часто встречаются откровенные параноики, которые готовы платить за это.
Ответ написан
@Ghool
Сисадмин, Нагрузочное тестирование
А болид - имхо - какое-то Г, с виду, как из 90х годов.

особо порадовало то, что при входе в систему логина нет вовсе - только пароль.
А при смене пароля, если вводишь уже "занятый" пароль - система прямо говорит "этот пароль принадлежит пользователю иванову ивану ивановичу"
Ответ написан
asilonos
@asilonos
Программист
Можно,
www.rohos.ru/2017/10/windows-logon-rfid-hitag-inda...
Программа может полность заменить логин на Em Карту. Либо карта + ПИН либо Карта + Пароль Windows. В Active Directory работает.
Но можно использовать только RFID ридеры которые передают данные карты по USB. Но Через клавиатуру и 5 символов - это Уже дыра в безопасности. Не рекомендуется так использовать.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы