Задать вопрос
@HiMem-74
DIY энтузиаст
active-directory

Как настроить аутентификацию в домене AD с использованием карт Em-Marine (Болид)?

Поставлена задача:
На компьютере работают посменно несколько диспетчеров, которые заходят в домен под своими аккаунтами Disp1, Disp2, Disp3.
В здании установлена СКУД Болид, доступ в помещения по карточкам Em-marin.
Необходимо настроить доступ (аутентификацию в домене) пользователей с помощью этих карт. Другими словами диспетчер подошел, карту приложил, комп разблокировался.
Для этих целей был куплен USB считыватель Proxy-USB-МА, ридер читает 5 байт с карты и добавляет к ним Enter (эмулирует клавиатуру). В принципе, такой уровень безопасности устраивает (СКУД + везде камеры + минимальные права), но пользователи жалуются, что руками вводить логин неудобно.
Есть ли способ вообще не прикасаться пользователю к клавиатуре и проходить аутентификацию в домене?

PS: Да, я знаю, что правильный путь это карты с Аладдином + сервер сертификатов + УЦ, но это деньги, другие считыватели и отдельные карты для СКУД и для домена, а нужно одной картой проходить везде.
  • Вопрос задан
  • 3425 просмотров
Комментировать
Подписаться 6 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
nmk2002
@nmk2002
работаю в ИБ
Карта RFID может быть использована только для идентификации. Не стоит аутентифицировать пользователей только на основании предоставляемого ID.

Мне не приходилось работать с RFID ридерами, которые эмулируют клавиатуру. Можете пояснить, что именно они делают: эмулируют печать на клавиатуре 5-ти байт+enter? Что может быть в этих 5-ти байтах?
Теоретически, если я правильно понимаю работу ридеров, то вы можете:
Задать пользователям пароль, равный тем самым 5-ти байтам на их картах и им останется только ввести/выбрать логин и приложить карту.
Это нельзя назвать аутентификацией, а скорее обход аутентификации.
Ответ написан
4 комментария
4 комментария
@DNMit
Задумка классная, но имхо очень дорогая - каждый считыватель от 1500 рублей. Довольно дорогое удовольствие, на месте директора, я бы никогда на такое не пошёл, хотя.. все руководители разные и довольно часто встречаются откровенные параноики, которые готовы платить за это.
Ответ написан
6 комментариев
6 комментариев
@Ghool
Сисадмин, Нагрузочное тестирование
А болид - имхо - какое-то Г, с виду, как из 90х годов.

особо порадовало то, что при входе в систему логина нет вовсе - только пароль.
А при смене пароля, если вводишь уже "занятый" пароль - система прямо говорит "этот пароль принадлежит пользователю иванову ивану ивановичу"
Ответ написан
2 комментария
2 комментария
asilonos
@asilonos
Программист
Можно,
www.rohos.ru/2017/10/windows-logon-rfid-hitag-inda...
Программа может полность заменить логин на Em Карту. Либо карта + ПИН либо Карта + Пароль Windows. В Active Directory работает.
Но можно использовать только RFID ридеры которые передают данные карты по USB. Но Через клавиатуру и 5 символов - это Уже дыра в безопасности. Не рекомендуется так использовать.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор
Глобал Смарт Системс Санкт-Петербург
от 100 000 до 120 000 ₽
Специалист технической поддержки (чат)
WebSoft
от 50 000 до 50 000 ₽
Ведущий системный администратор
Москворечье Трейдинг Москва
от 170 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Софт на js
19 апр. 2024, в 13:31
10000 руб./за проект
Разработка Pwa сайта
19 апр. 2024, в 13:12
35000 руб./за проект
Доработать вебпроект со стеком: yii2, jquery, vue
19 апр. 2024, в 13:06
6000 руб./за проект
Ещё заказы