SafeNet Authentication Client 8.0 (SAC)

SafeNet Authentication Client 8.0 (SAC) Uživatelská p íru ka Poslední verze ze dne 12. 8. 2010

1 ÚVOD...3 HLAVNÍ FUNKCE SAFENET AUTENTICATION CLIENT 8.0... 3 PODPOROVANÉ TOKENY A IPOVÉ KARTY... 3 ARCHITEKTURA SAFENET AUTHENTICATION CLIENT... 4 PODPOROVANÉ OPERA NÍ SYSTÉMY... 4 PODPOROVANÉ PROHLÍŽE E... 4 KOMPATIBILITA S APLIKACEMI... 5 2 INSTALACE SAC...6 TYPY INSTALACE... 6 UPGRADE... 6 ODINSTALACE... 7 3 UŽIVATELSKÉ ROZHRANÍ SAC...8 SAC TRAY ICON... 8 SAFENET AUTHENTICATION CLIENT TOOLS... 8 4 SPRÁVA TOKEN... 12 VÝB R AKTIVNÍHO TOKENU... 12 Z NA HESLA (PIN) K TOKENU... 12 Z NA HESLA SPRÁVCE... 13 ODEMKNUTÍ TOKENU (ETOKEN, ETOKEN VIRTUAL)... 13 ODEMKNUTÍ TOKEN IKEY (POKUD BYLY INICIALIZOVÁNY S UNBLOCKING KÓDY)... 13 ODSTRANIT OBSAH TOKENU... 13 ZOBRAZIT INFORMACE O TOKENU... 13 KOPÍROVÁNÍ INFORMACÍ O TOKENU DO SCHRÁNKY... 14 P EJMENOVÁNÍ TOKENU... 14 P IHLÁŠENÍ K TOKENU... 14 IMPORTOVÁNÍ CERTIFIKÁTU... 14 EXPORTOVÁNÍ CERTIFIKÁTU Z TOKENU... 15 NASTAVENÍ CERTIFIKÁTU JAKO VÝCHOZÍ... 15 VYMAZÁNÍ CERTIFIKÁTU... 15 NASTAVENÍ VIRTUÁLNÍCH TE EK... 15 INICIALIZACE TOKENU... 16 5 NASTAVENÍ TOKENU... 18 NASTAVENÍ KVALITY HESLA (PIN)... 18 NASTAVENÍ REŽIMU UKLÁDÁNÍ SOUKROMÝCH DAT DO MEZIPAM TI... 18 SEKUNDÁRNÍ REŽIM OV ENÍ KLÍ EM RSA... 18 NASTAVENÍ SAC KLIENTA... 18 2

1 Úvod SafeNet Authentication Client je spole ný middleware k USB token m a ipovým kartám SafeNet pro ely PKI (Public Key Infrastructure). Kryptografie ve ejných klí umož uje bezpe nou vým nu informací, autentizaci uživatel, ov ování identity t etí stranou, digitální podpis a další funkce vyplývající z konceptu PKI. SAC umož uje bezpe nostním aplikacím a produkt m t etích stran integraci s USB tokeny a ipovými kartami. P íkladem m že být ešení PKI na rozhraní PKCS#11 nebo CAPI, Single Sign-On, Network Logon, autentizace do VPN, digitální podepisování dokument, bezpe ný e-mail apod. Hlavní výhody používání certifikát na bezpe nostních tokenech jsou: - Dvoufaktorová autentizace (heslo-pin a vlastnictví tokenu/karty) - Bezpe né generování klí v tokenu - Není možné exportovat privátní objekty z tokenu - Kryptografické operace jsou provád ny p ímo v hardware tokenu - Osobní identita v kapse Hlavní funkce Safenet Autentication Client 8.0 SAC 8.0 zahrnuje funkce, které byly podporovány p edchozími verzemi middlewaru Aladdin PKI Client (pro etokeny) a SafeNet Borderless Security PK (pro tokeny ikey). Plná zp tná kompatibilita s p vodním middlewarem znamená, že uživatelé, kte í používali tokeny s PKI Clientem nebo Bsecem mohou po instalaci SAC 8.0 tyto tokeny dále bez problému používat. Funkce SAC 8.0: - Inicializace token - Zm na administrátorského (pokud je podporováno) a uživatelského PINu - Odblokování zamknutých token (Unlocking) - ipojení/odpojení etokenu Virtual (softwarový token) - Prohlížení, mazání, import a export certifikát (ne privátních klí!) - Konfigurace bezpe nostní politiky tokenu (v. PIN quality) - Enrollment a Enrollment Update (pokud nainstalováno se zp tnou kompatibilitou s BSec Client) - Logování - Další klientská nastavení tokenu a management Podporované tokeny a ipové karty - SafeNet etoken PRO - SafeNet etoken NG Flash - SafeNet etoken NG OTP - SafeNet etoken Smart Card - SafeNet etoken Virtual Family - SafeNet etoken Anywhere 3

- SafeNet ikey; FIPS and non-fips 2032, 2032u, 2032i - SafeNet ikey; Standard 4000 - SafeNet Smart Card; Standard SC400 - SafeNet Smart Card; FIPS and non-fips SC330, SC330u, SC330i Architektura SafeNet Authentication Client Podporované opera ní systémy - Windows XP SP3 (32-bit, 64-bit), - Windows Server 2003 SP2 a R2 (32-bit, 64-bit), - Windows Vista SP2 (32-bit, 64-bit), - Windows 7 (32-bit, 64-bit), - Windows Server 2008 SP2 (32-bit, 64-bit), - Windows Server 2008 R2 (64-bit) Podporované prohlíže e - Firefox 3.6 - Internet Explorer 6 a vyšší 4

Kompatibilita s aplikacemi SafeNet: - Safenet ProtectDrive 9.2.1 (etoken a ikey) - etoken Network Logon 5.1 - TMS 5.1 SP1 - etoken SSO 5.1 - etoken WSO 5.2 nebo vyšší Aplikace t etích stran: - Entrust EDS 8.0, Entrust ESP 9.1 - Citrix 5 Xenap Metaframe Server - Cisco AnyConnect, Cisco ASA - Identrust - MS Office 2003, 2007 - Adobe Acrobat 9 - Certificate Authorities: Microsoft CA 2003 / R2 & 2008 / R2,VeriSign CA 5

2 Instalace SAC Software SAC musí být nainstalován na každém po íta i, kde jsou používány tokeny ikey, etoken a ipové karty SafeNet. P i instalaci jsou pot eba lokální administrátorská práva. Defaultn se nainstalují drivery ke všem podporovaným token m SafeNet. Pokud nechcete drivery instalovat, zvolte instalaci p es p íkazovou ádku, kde si m žete vybrat p íslušné parametry. Soubory dodávané v balíku SAC 8.0 Soubor Popis SafeNet AuthenticationClient-x32- Nainstaluje SAC pop. upgraduje etoken PKI Client (32-8.00.msi bit) SafeNet AuthenticationClient-x64- Nainstaluje SAC pop. upgraduje etoken PKI Client (64-8.00.msi bit) SafeNetAuthenticationClientPack age_8.0.exe Nainstaluje SAC a upgraduje BSec 7.x SAC8.0_BSecUtilities.msi Instaluje bývalé BSec Utilities, použijte jen v ípad instalace BSec kompatibilního módu PolicyMigrationTool.exe evede p vodní konfiguraci a nastavení registr z BSecu na SAC + dokumentace Pozn.: Pokud instalujete msi balík na Windows 7, nespoušt jte jej z Plochy Windows. Typy instalace a) Standardní instalace SAC Standardní instalace všech komponent SAC a uživatelského rozhraní. Podpora token ikey a etoken. P i instalaci vyberte možnost Standardní konfigurace. b) Instalace kompatibilní s BSec API Stejná jako bod a) - standardní instalace - s podporou p vodních BSec API v aplikacích t etích stran (CSP, knihovna PKCS#11). P i instalaci vyberte možnost BSec kompatibilní (BSec compatible). c) Instalace kompatibilní s BSec UI Instalace stejná jako b) s tím, že se uživatelské rozhraní (tray icon menu, dialog boxy) podobá p vodnímu BSec UI. P i instalaci vyberte možnost BSec kompatibilní a vytvo te klí v registru podle návodu v Admin Guide. d) Instalace BSec UI a BSec utilities Instalace stejná jako c) s p idáním p vodních funkcí BSec (Enrollment, Enrollment Update, Certificate Information). Proti bodu c) navíc instalujte BSec Utilities. Upgrade etoken PKI Client Pokud p echázíte z PKI Clienta verze 4.55 a vyšší, SAC automaticky upgraduje s tím, že se zeptá, jestli chcete použít sou asná uživatelská nastavení v registrech. Pokud upgradujete z nižší verze PKI Clienta, je pot eba PKI Clienta nejprve odinstalovat. 6

BSec Client Automatický upgrade (pro BSec 7.2 a vyšší) se spustí souborem SafenetAuthenticationClientPackage_8.0.exe. Pokud je pot eba nainstalovat SAC p es command line, použijte manuální upgrade. Manuální upgrade spo ívá v odinstalaci BSec a nainstalování SAC. Pokud je pot eba zachovat konfiguraci BSec, použijte Policy Migration Tool (viz Admin Guide-AG) Vlastní instalaci je možné provést pomocí wizardu nebo v p íkazové ádce. Wizard umož uje výb r jazyka, zachování uživatelských nastavení v registrech a výb r BSec-kompatibilního módu. Instalace pomocí p íkazové ádky má adu parametr, které jsou blíže popsány v AG. Odinstalace Pozn.: Pokud je b hem odinstalace token ikey p ipojen k USB, ikey Driver se automaticky neodinstaluje, je pot eba ho odebrat ru. Jsou t i zp soby, jak SAC odinstalovat: - es Ovládací panely->p idat/odebrat programy resp. Programy a funkce - es instala ní wizard (spušt ní p íslušného instala ního souboru, nap. SafeNet AuthenticationClient-x32-8.00.msi) - es p íkazovou ádku 7

3 Uživatelské rozhraní SAC SAC nabízí dv uživatelská rozhraní: SafeNet Authentication Client Tools a Ikonku v systémové lišt (Tray Icon). SAC Tools je aplikace, která zobrazuje informace o tokenu a jeho obsahu (certifikáty, klí e), umož uje uživateli management tokenu v rozsahu nastaveném administrátorem (zm na PIN a názvu, operace s certifikáty a klí i, nastavení složitosti a vlastností PIN, inicializace apod.). SAC Tray Icon umož uje rychlý p ístup k n kterým funkcím SAC. SAC Tray Icon Ikona je dostupná ve dvou módech závislých na provedené instalaci: Standard a BSec UI kompatibilní (token vložen), (token vyjmut). Pokud není po instalaci ikona SAC vid t, spustíte ji p es Start->Programy->SafeNet->SafeNet Authentication Client-> SafeNet Authentication Client. Standard Mode - kliknutím pravým tla ítkem myši na ikonu se zobrazí kontextové menu, které že obsahovat (podle vloženého tokenu a instalovaných sou ástí): - Open etoken SSO (spustí aplikaci etoken SSO, pokud je nainstalována) - Generate OTP (vygeneruje OTP pro etoken Virtual, pokud je etoken nakonfigurován s touto funkcí - Odstranit obsah tokenu (smaže vymazatelný obsah tokenu) - Zm nit Heslo tokenu - Vyberte token (pokud je vloženo více token /karet) - Nástroje (spustí SAC Tools) - O aplikaci (info o produktu) - Ukon it BSec UI kompatibilní - Open etoken SSO - Generate OTP - Disable Event Notifications (p vodní funkce BSec Tray Icon) - Enrollment (p vodní funkce BSec Tray Icon) - Enrollment Update (p vodní funkce BSec Tray Icon) - Certificate Information (p vodní funkce BSec Tray Icon) - Vyberte token - O aplikaci - Ukon it SafeNet Authentication Client Tools SAC Tools je nástroj pro administrátory pro nastavení bezpe nostní politiky tokenu. Uživatel m tokenu umož uje jednoduše spravovat (kopírovat, importovat, mazat) uložené certifikáty a další objekty. SAC Tools dále obsahuje nástroj pro inicializaci token. Inicializace m že být customizována podle požadavk a bezpe nostní politiky podniku. SAC Tools nabízejí dva pohledy: Jednoduché zobrazení (Simple View) a Podrobné zobrazení (Advanced View), p epínají se ikonkou a 8

Jednoduché a podrobné zobrazení Význam spole ných hlavních ikon (vpravo naho e): - Aktualizovat (Refresh) - O aplikaci (About) - Nápov da (Help) - Domovská stránka SafeNet Jednoduché zobrazení 9

V levém sloupci jsou ikony vložených token a karet. Ikony se liší podle typu tokenu nebo karty. V pravé ásti je seznam funkcí, které s vybraným tokenem jdou provád t (modré podbarvení) a které nejsou aktivní (šedé). ejmenovat token Zm nit heslo k tokenu Odemknout token Vymazat token Zobrazit informace o tokenu Odpojit Safenet etoken Virtual Zm nit jmenovku tokenu Zm na PINu s ohledem na aktuální definované požadavky pro PIN (složitost, historie, platnost apod.) Aktivní pouze p i zablokování tokenu Vymaže odstranitelné objekty z tokenu Podrobné info o tokenu Odpojí softwarový token etoken Virtual nebo etoken Rescue Rozší ené zobrazení V levé ásti obrazovky jsou ve stromovém menu zobrazeny všechny p ipojené tokeny. Pod každým názvem tokenu jsou vid t objekty (certifikáty, klí e), které se nacházejí na tokenu. P i kliknutí na íslušný objekt se v pravé ásti zobrazí relevantní menu (ikonky) a informace o objektu. Pokud v levé ásti kliknete na nadpis Tokeny, zobrazí se seznam všech p ipojených token a menu o dvou ikonkách: Správa te ek (definuje, kolik virtuálních te ek bude rezervováno pro fyzické tokeny a kolik pro etokeny Virtual) a ipojit SafeNet etoken Virtual (otev e soubor *.etv, *.etvp). i kliknutí na název tokenu (viz obr. výše) se zobrazí detailní info o tokenu a kontextové ikonky: - inicializovat token - p ihlásit k tokenu - importovat certifikát 10

- zm nit heslo - p ejmenovat token - odpojit Safenet etoken Virtual - kopírovat do schránky Další 4 ikony nejsou podporovány tokeny ikey (jedná se o operace s administrátorským heslem, které na tokenech ikey nejde inicializovat): - p ihlásit se jako správce - zm nit heslo správce - odemknout token - nastavení uživatelského hesla Pokud v levé ásti kliknete na Uživatelské certifikáty/certifikáty CA, v kontextovém menu se objeví ikonka Importovat certifikát (možnost z Osobního úložišt Windows nebo ze souboru) a v p ípad Uživatelských certifikát lze ješt Vymazat výchozí certifikát (zbaví daný certifikát atributu default ) i kliknutí v levém menu na konkrétní certifikát (pokud je uložený tokenu) se zobrazí informace o certifikátu a menu sestávající z t í ikonek: - odstranit certifikát - exportovat certifikát (pouze podepsaný ve ejný klí do souboru.cer) - kopírovat do schránky (informace o certifikátu Položka Nastavení v levém menu umož uje nastavit a uložit do tokenu Kvalitu hesla (bezpe nostní politika PIN), režim ukládání privátních dat do mezipam ti a sekundární autentizaci RSA klí. Pozn.: Tato nastavení a ukládání do tokenu jsou možná pouze u model etoken a jsou popsána dále. Pomocí volby Nastavení klienta v levém menu lze vytvo it v middlewaru SAC vlastní politiku, která bude automaticky vkládána do nov inicializovaného tokenu na tomto po íta i. Toto nastavení zárove upravuje n které vlastnosti SAC (viz záložka Up esnit): - Kopírovat uživatelské certifikáty do místního úložišt, - Správa certifikát CA (kopírování certifikát cert. autorit do úložišt Windows), - Povolit jednotné p ihlášení (umožní p ihlášení PINem, které se na te do pam ti i pro další aplikace (defaultn vypnuto) - Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci), - Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen etoken), - Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy). 11

4 Správa token Tokeny, ipové karty a objekty na nich lze spravovat pomocí utility SAC Tools. N které funkce jsou pro urychlení p idány do systémového menu (ikona ). ležité: ešení SAC 8.0 umož uje administrátorovi rozsáhlá nastavení funkcí a politik pro každého uživatele tokenu (skupinu uživatel ). Nastavení SAC se konfigurují pomocí soubor adm (p íklad: SAC_8_0.adm v instala ním balíku). Tyto soubory jsou p ístupné bu p es Group Policy Object Editor (W7, Vista, Server 2003 a 2008) nebo Microsoft Management Console (Windows XP). Vytvo ená nastavení pak modifikují registry. Bližší popis konfigurace SAC je v AG (SAC_Admin_Guide_Windows.pdf). Pozn.: Pokud instalujete SAC s BSec compatible UI, vzhled obrazovek se m že lišit. Funkce: Výb r Aktivního tokenu Pokud je vloženo více token /karet, klikn te pravým tla ítkem myši na ikonku SAC a zvolte Vyberte token. V p ípad, že máte spušt né SAC Tools jednoduše zvolte v levé ásti p íslušný token. Zm na hesla (PIN) k tokenu Tokeny SafeNet jsou dodávány s t mito defaultními hesly: ikey: Password#1 etoken: 1234567890 razn doporu ujeme, aby si uživatel co nejd íve toto heslo zm nil! Zm nu hesla m žete provést a) Kliknutím na ikonu SAC pravým tla ítkem, výb r Zm nit heslo k tokenu b) V SAC Tools-jednoduché zobrazení-kliknutí na p íslušný token a vybrat Zm nit heslo k tokenu c) V SAC Tools-Rozší ené zobrazení-kliknutí na název tokenu a vpravo naho e vyberte ikonku - Zm nit heslo V následném dialogu je pot eba vyplnit Aktuální heslo a dvakrát nové heslo. To, jestli nové heslo odpovídá nastavení kvality hesla, se indikuje procentuální lištou. 12

Zm na hesla správce Pozn.: Není podporováno u token ikey. Otev ete SAC Tools-rozší ené zobrazení, v levé ásti klikn te na daný token a vpravo naho e vyberte ikonku Zm nit heslo správce. Okno je podobné jako p i zm uživatelského hesla. Odemknutí tokenu (etoken, etoken Virtual) Pokud zadáte nesprávné heslo k tokenu více než povolený po et pokus (default:15), token se zamkne. Odemknutí lze provést pomocí administrátorského hesla definovaného p i inicializaci tokenu. Pokud je pot eba uplatnit vzdálený p ístup, token jde odblokovat i mechanismem Challenge- Response. Odemknutí etokenu lze provést pomocí: a) Nastavení uživatelského hesla (v SAC Tools-rozší ené klikn te na název tokenu a vyberte tuto ikonku, je pot eba administrátorské heslo). b) Challenge-Response mechanismu (v SAC Tools-jednoduché klikn te na Odemknout token) Pozn.: V p ípad b) je nutný software TMS pro management token. Odemknutí token ikey (pokud byly inicializovány s Unblocking kódy) Otev ete SAC Tools-jednoduché a zvolte Odemknout token. Objeví se okno, kam zadáte p íslušný Unlocking code (#1 až #6) a zadáte nové heslo. Každý unblocking code m že být použit pouze jednou! Odstranit obsah tokenu Smaže odstranitelný obsah tokenu. Klikn te pravým tla ítkem na ikonku SAC a vyberte Odstranit obsah tokenu. Potvr te OK. Jedná se o mén destruktivní vymazání objekt než inicializace. Pokud správce nastavil objekt m íslušné atributy, tyto objekty se tímto nesmažou. Zobrazit informace o tokenu V SAC Tools-rozší ené se po kliknutí na název tokenu zobrazí informace o tokenu. 13

Kopírování informací o tokenu do schránky Zobrazte informace o tokenu a zvolte ikonku Kopírovat do schránky. Informace budou zkopírovány a pomocí Ctrl+V je m žete vložit nap. do textového editoru. ejmenování tokenu Zm nit jmenovku tokenu m žete v SAC Tools-jednoduché volbou ejmenovat token. Po zadání uživatelského hesla m žete zadat nový název tokenu. ihlášení k tokenu ihlásit k tokenu se m žete jako uživatel (SAC Tools-rozší ené -> P ihlásit k tokenu) nebo jako správce (pouze etoken - SAC Tools rozší ené -> P ihlásit se jako správce). Správce má omezená práva zm na hesla správce, zm na hesla tokenu, nastavení kvality hesla, odemknutí tokenu. Importování certifikátu Na tokeny lze importovat soubory s certifikáty t chto typ : - pfx - p12 - cer (pouze ve ejná ást bez privátního klí e) Jestliže importujete soubor pfx, bude na token uložen certifikát a p íslušný privátní klí. M žete také importovat certifikát CA. Budete vyzváni k vložení hesla k privátnímu klí i (pokud bylo nastaveno). 14

Pokud importujete soubor cer, program zkontroluje, jestli je privátní klí na tokenu. Když ano, uloží certifikát ke klí i jako uživatelský. Pokud privátní klí nenajde, m že uložit certifikát do tokenu jako certifikát certifika ní autority. Pokud jste importovali certifikát do tokenu z úložišt Windows, je pot eba ho po importování smazat, aby se do aplikací certifikát na ítal pouze z tokenu (chrán ný PINem). V SAC Tools-rozší ené klikn te v levé ásti na název tokenu a vpravo vyberte ikonu Importovat certifikát. Vyberte, jestli chcete importovat z osobního úložišt nebo ze souboru a následujte dialog. Exportování certifikátu z tokenu V SAC Tools-rozší ené klikn te na p íslušný certifikát (uživatelský nebo CA) a v pravé ásti klikn te na ikonku Exportovat certifikát. Vyberte název a umíst ní souboru.cer a potrv te OK. Privátní klí samoz ejm z tokenu exportovat nejde!!! Pozn.: certifikát musí být ve formátu DER nebo Base64. Nastavení certifikátu jako výchozí Jestliže je na tokenu uloženo více certifikát pro Windows Smartcard Logon, je možné zvolit, který bude defaultn použit. V SAC Tools-rozší ené klikn te na p íslušný certifikát pravým tla ítkem myši a zvolte Nastavit jako výchozí. Pokud chcete zrušit nastavení výchozího certifikátu, klikn te vlevo na Uživatelské certifikáty a vpravo na ikonku Vymazat výchozí certifikát. Vymazání certifikátu V SAC Tools-rozší ené klikn te na požadovaný certifikát. Vpravo vyberte ikonku Odstranit certifikát. Alternativa: kliknutím pravým tla ítkem myši na certifikát a zvolit Odstranit certifikát. Vymaže se certifikát i p íslušné privátní klí e. Nastavení virtuálních te ek hem defaultní instalace SAC se instalují 2 virtuální te ky etoken, 2 te ky token ikey a 2 te ky etoken Virtual. Pokud chcete po et te ek zm nit, prove te následující: V SAC Tools-rozší ené klikn te v levé ásti na Tokeny a vpravo zvolte ikonku Správa te ek. V dialogovém okn nastavte požadovaný po et virtuálních te ek. 15

Inicializace tokenu Inicializace tokenu vrátí token do po áte ního stavu. Tj. vymaže všechny objekty z tokenu, vy istí pam a nastaví nové heslo. B hem inicializace se dále nahraje na token systém soubor. Pozn.: Pomocí SAC nelze inicializovat SafeNet etoken Virtual. Inicializována jsou následující data: - Název tokenu - Heslo k tokenu - Heslo správce (nepodporováno ikey) - Po et povolených neplatných zadání PIN - Požadavek na zm nu hesla po prvním p ihlášení - Inicializa ní klí a) Inicializace ikey V SAC Tools-rozší ené klikn te na název tokenu a vpravo zvolte ikonu Inicializovat token. Dá se nastavit název tokenu, uživatelské heslo, max. po et neúsp šných p ihlášení a požadavek na zm nu hesla po prvním p ihlášení. Tla ítko Up esnit je u ikey neaktivní. b) Inicializace etoken 16

Oproti inicializaci ikey lze vytvo it heslo správce a nastavit další vlastnosti tokenu (tla ítko Up esnit). V okn Up esnit nastavení se dá: Uložit zásady hesel na token epnout do režimu FIPS Jednofaktorové p ihlášení (zruší PIN u tokenu-nedoporu uje se) Zm nit režim ukládání soukromých dat do mezipam ti (Vždy privátní klí je v cache po prvním zadání hesla pro rychlejší performance, Pokud je uživatel p ihlášen k tokenu, Nikdy nejbezpe jší varianta) Sekundární ov ení klí em RSA nastavení p ídavné autentizace pro RSA klí e. Jedná se o další heslo, které je pot eba pro p ístup k RSA klí i (pokud takto konfigurováno). Vždy když je generován RSA klí, je nutné nastavit k n mu extra heslo, Dotázat se uživatele vždy p i generování RSA klí e je požadováno helo, jeho použití jde zrušit uživatelem, Dotázat se na žádost aplikace umož uje aplikacím využívat p ídavnou autentizaci v tokenu (p i vytvá ení klí pomocí Crypto API s p íznakem User protected), Nikdy p ídavná autentizace není povolena. Zm nit inicializa ní klí jde nastavit speciální inicializa ní heslo, aby se zabránilo náhodné inicializaci. Po zadání hesla pak m že prob hnout inicializace. 17

5 Nastavení tokenu Nastavení kvality hesla (PIN) Po nastavení parametr kvality hesla se všechna budoucí hesla budou kontrolovat proti této politice. Pokud byl token ikey d íve inicializován v BSec s ur itou politikou kvality hesla, bude tato podporována i v SAC. V SAC Tools-rozší ené klikn te u p íslušného tokenu na Nastavení. Vpravo se objeví dv záložky, vyberte Kvalita hesla. Zde se dá nastavit: - Minimální délka hesla - Max doba používání hesla (ve dnech) - Min doba používání (ve dnech) - Doba varování p ed vypršením platnosti hesla (ve dnech) - Velikost historie hesel (zabrání opakování hesel) - Max po et následných opakování v hesle (po et znak opakujích se v hesle, nepodporováno ikey) - Heslo musí spl ovat požadavky na složitost (Žádné, Aktivní, Ru ní, Aktivní (2 ze 4)) Složitost hesla se dá vynutit. Nastavení Aktivní znamená, že t i ze ty ech parametr ( ísla, velká, malá písmena, zvláštní znaky) musí být spln na. Aktivní (2 ze 4) musí být spln na dv ze ty, Ru ní nastavte kritéria manuáln. Pokud zvolíte ru ní nastavení, u každé kategorie bude na výb r Povolit (m že se v hesle vyskytovat, Zakázat (nesmí se v hesle vyskytovat), Musí (musí se v hesle vyskytovat). Po nastavení Kvality hesla stiskn te Uložit pro uložení politiky do tokenu. Nastavení režimu ukládání soukromých dat do mezipam ti Podobn jako b hem inicializace, jde nastavit ukládání soukromých dat do mezipam ti i po ní. V SAC Tools-rozší ené klikn te u p íslušného tokenu na Nastavení, záložka Up esnit. Zde nastavte požadované cachování privátních dat (viz kapitola Inicializace). Sekundární režim ov ení klí em RSA V SAC Tools-rozší ené klikn te u p íslušného tokenu na Nastavení, záložka Up esnit. Zde nastavte požadované nastavení p ídavné autentizace (viz kapitola Inicializace) Nastavení SAC klienta V SAC Tools-rozší ené klikn te na Nastavení klienta. Zde se nastavují výchozí vlastnosti pro SAC klienta. Tyto vlastnosti se promítnou i do každého inicializovaného tokenu v tomto SAC klientovi. - Kvalita hesla (viz p edchozí kapitola) - Up esnit 18

Kopírovat uživatelské certifikáty do místního úložišt, Správa certifikát CA (kopírování certifikát cert. autorit do úložišt Windows), Povolit jednotné p ihlášení (umožní p ihlášení PINem, které se na te do pam ti i pro další aplikace (defaultn vypnuto) Lze konfigurovat po inicializaci (nastavení kvality hesla po inicializaci), Lze konfigurovat správcem (nastavení kvality hesla provádí pouze správce-jen etoken), Zobrazit ikonu aplikace na hlavním panelu (Vždy/Nikdy). Dole na panelu Up esnit je tla ítko Povolit protokolování, které umož uje vytvá et aplika ní log SAC. Logy jsou ukládány do C:\Windows\Temp\eToken.log. 2010 ASKON INTERNATIONAL s.r.o., autorizovaný distributor spole nosti SafeNet, Inc. pro eskou republiku a Slovenskou republiku. Všechna práva vyhrazena. Tato dokumentace je ur ena pro zákazníky užívající produkty distribuované spole ností ASKON INTERNATIONAL s.r.o. Další ší ení této dokumentace nebo jejích ástí je možné jen s výslovným písemným souhlasem ASKON INTERNATIONAL s.r.o. V tomto materiálu uvedené názvy produkt jsou ochranné známky jejich vlastník. 19