Konfigurace aplikace
Symantec Endpoint Protection Manager
na ověřování správců, kteří se přihlašují pomocí čipových karet

Správci používající verzi 14.2 a novější, kteří pracují pro americké federální úřady, se mohou k aplikaci
Symantec Endpoint Protection Manager
přihlašovat pomocí čipové karty.
Při nastavování ověřování čipové karty musí správce provést následující kroky:
Čipové karty
Americké federální úřady nyní používají softwarový systém, který umožňuje ověřování čipových karet podle požadavků HSPD-12. Americká federální čipová karta obsahuje potřebná data, která umožní držiteli karty přístup k federálním zařízením a informačním systémům. Tento přístup zajišťuje odpovídající úroveň zabezpečení pro všechny platné federální aplikace.
Některé klientské počítače nebo pracovní stanice systému Windows již mají čtečky PIV nebo CAC zabudované do klávesnic.
Aplikace
Symantec Endpoint Protection Manager
ověřuje správce, kteří používají následující typy čipových karet:
  • karta ověření osobní identity (PIV) (pro civilní uživatele),
  • společná přístupová karta (CAC) (pro vojenský personál).
  • V režimu FIPS: Aplikace
    Symantec Endpoint Protection Manager
    nepodporuje čipové karty, které jsou podepsány pomocí algoritmu ECDSA a RSASSA-PSS.
  • V režimu bez podpory FIPS: Aplikace
    Symantec Endpoint Protection Manager
    nepodporuje čipové karty, které jsou podepsány pomocí algoritmu RSASSA-PSS.
Viz: HSPD-12
Krok 1: Konfigurace aplikace
Symantec Endpoint Protection Manager
pro ověřování čipové karty
Tento krok ověřuje, že je certifikát karty vydán správným orgánem. Potom v okamžiku, kdy se správce přihlásí, přečte server pro správu certifikát čipové karty a ověří ji na základě těchto certifikátů CA.
V rámci ověřování souboru certifikátu zkontroluje server pro správu, zda soubor certifikátu není na seznamu zrušených certifikátů (CRL) na internetu.
Ujistěte se, že všechny kořenové soubory a zprostředkující soubory jsou v počítači správců, jinak se nebudou moci přihlásit.
Konfigurace aplikace
Symantec Endpoint Protection Manager
pro ověření čipové karty
  1. Na konzoli klikněte na možnosti
    Správce > Servery
    a vyberte název místního serveru pro správu.
  2. V části
    Úlohy
    klikněte na možnost
    Konfigurace ověření čipové karty
    .
  3. V textovém poli
    Zadejte cesty k souborům kořenového nebo zprostředkujícího certifikátu
    přejděte k jednomu nebo více souborům certifikátu a potom klikněte na tlačítko
    OK
    .
    Vyberte všechny soubory certifikátů, u nichž potřebujete zkontrolovat stav odvolání. Chcete-li vybrat více souborů, stiskněte klávesu
    Ctrl
    .
    Volitelné:
    Pokud server pro správu, ke kterému se správce přihlásí, nemá přístup k internetu, v textovém poli
    Zadejte cesty k seznamům odvolání certifikátů
    přidejte soubor .crl nebo .pem. Na těchto serverech pro správu je třeba také provést následující úlohu. Krok 2: Konfigurace serveru pro správu za účelem kontroly stavu odvolání (jen pro vnitřní sítě)
  4. Klikněte na tlačítko
    OK
    .
  5. Pokud se správce přihlásí k aplikaci
    Symantec Endpoint Protection Manager
    vzdáleně pomocí webové konzoly, musí restartovat službu
    Symantec Endpoint Protection Manager
    a webovou službu
    Symantec Endpoint Protection Manager
    .
Krok 2 (volitelné): Konfigurace serveru pro správu za účelem kontroly stavu odvolání (požadováno pro vnitřní sítě)
Pokud server pro správu nemá přístup k internetu, je třeba jej nakonfigurovat, aby místo toho v počítači serveru pro správu zkontroloval soubor CRL. Správci se mohou bez této kontroly i tak přihlásit, ale server pro správu nemůže zkontrolovat soubor CRL, což může způsobit problémy se zabezpečením.
Konfigurace serveru pro správu za účelem kontroly stavu odvolání (jen pro vnitřní sítě)
  1. Na tomto serveru pro správu otevřete následující soubor:
    Cesta k instalaci aplikace Symantec Endpoint Protection Manager
    \tomcat\etc\conf.properties
  2. Do souboru
    conf.properties
    přidejte řetězec
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    a soubor uložte.
  3. Znovu spusťte službu serveru pro správu.
Krok 3 (volitelné): Konfigurace serveru pro správu za účelem kontroly stavu odvolání (požadováno pro vnitřní sítě)
Tento krok nastavením ověřování PIV ověřuje správce jako uživatele čipové karty. Ověření PIV vyžaduje certifikát a pár klíčů, který se používá k ověření, že přihlašovací údaje PIV byly vydány oprávněnou entitou, nevypršela jejich platnost a nebyly odvolány. Přihlašovací údaje PIV také identifikují správce jako stejného jednotlivce, jemuž byly vydány.
Po provedení tohoto kroku uživatelé při přihlašování k aplikaci Symantec Endpoint Protection Manager potřebují pouze zadat své uživatelské jméno, vložit kartu a zadat kód PIN čipové karty. Není nutné zadávat heslo k aplikaci Symantec Endpoint Protection Manager.
Ověření čipové karty není podporováno protokolem IPv6.
  1. V konzoli klikněte na možnost
    Správce > Servery > Správci
    .
  2. Přidejte nového správce nebo upravte stávajícího správce.
  3. Na kartě
    Ověření
    klikněte na možnost
    Povolit ověření čipové karty
    .
  4. Přejděte k souboru ověřovacího certifikátu pro kartu PIV nebo CAC daného správce a potom klikněte na tlačítko
    OK
    .
  5. V dialogovém okně
    Potvrdit změnu
    zadejte heslo správce a klikněte na tlačítko
    OK
    .
    Postupujte podle tohoto kroku pro každého správce, který pro přihlášení k aplikaci
    Symantec Endpoint Protection Manager
    používá čipovou kartu.
Krok 4: Přihlášení k aplikaci
Symantec Endpoint Protection Manager
pomocí čipové karty
Správce při přihlašování k aplikaci
Symantec Endpoint Protection Manager
vloží kartu do čtečky čipových karet a zadá kód PIN. Čipová karta musí být vždy vložena ve čtečce, když je správce přihlášený a používá server pro správu. Pokud správce čipovou kartu vyjme, aplikace
Symantec Endpoint Protection Manager
jej do 30 sekund odhlásí.
Konzole Java a webová konzole podporují ověřování čipové karty. Konzole RMM a rozhraní API REST ověřování čipové karty nepodporují.
Řešení potíží a replikace
Pokud se dvě umístění navzájem replikují, umístění s naposledy nakonfigurovaným souborem CA přepíše soubor CA ve všech ostatních umístěních.