Các chức năng quản lý

Thông tin đã đăng ký trong ứng dụng Xác thực người dùng

Có thể đăng ký lên đến 5.001 người dùng.

Đăng ký Mã phòng ban

Có thể đăng ký lên tới 1.000 Mã phòng ban.

Các Chức Năng Xác Thực

Khi chỉ định một máy chủ Active Directory làm máy chủ xác thực, thì cần có môi trường hệ thống sau đây.
Phần mềm (hệ điều hành):
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
*1 Người dùng không thể đăng nhập bằng xác thực Active Directory nếu không bật Kerberos Armoring cho các chính sách liên quan đến KDC (chính sách nhóm). Đảm bảo tắt Kerberos Armoring.
Phiên bản ứng dụng Xác thực người dùng hiện tại hỗ trợ các phương pháp mã hóa Kerberos để xác thực Active Directory như sau.
Phương pháp mã hóa
128-bit AES (Advanced Encryption Standard)
256-bit AES (Advanced Encryption Standard)
DES (Data Encryption Standard)
RC4
Các phương pháp mã hóa khả dụng có thể khác nhau, tùy thuộc vào cài đặt Active Directory.
Trong số các phương pháp mã hóa có sẵn, sẽ tự động chọn phương pháp có độ mạnh mật mã cao nhất.
Khi chỉ định máy chủ Active Directory làm máy chủ xác thực, hãy sử dụng các cổng sau đây*1 trên máy chủ.
Để giao tiếp với máy chủ DNS:
số cổng 53
Để giao tiếp với KDC (Key Distribution Center):
số cổng 88
Để giao tiếp với máy chủ cho dịch vụ thư mục LDAP (có thể thay đổi thành số cổng tùy ý cho dịch vụ LDAP):
số cổng 389
*1 Các số cổng trên là giá trị mặc định. Những số này có thể khác nhau tùy thuộc vào cài đặt đã chọn.
Khi chỉ định máy chủ LDAP làm máy chủ xác thực, thì cần có môi trường hệ thống sau đây.
Phần mềm:
OpenLDAP
Hệ điều hành:
Các yêu cầu tuân theo thông số kỹ thuật sản phẩm của máy chủ LDAP.
Khi chỉ định máy chủ LDAP làm máy chủ xác thực, hãy sử dụng các cổng sau đây*1 trên máy chủ.
Để giao tiếp với máy chủ LDAP bằng LDAP (khi bật TLS):
số cổng 636
Để giao tiếp với máy chủ LDAP bằng LDAP (khi tắt TLS):
số cổng 389
*1 Có thể thay đổi số cổng theo cài đặt máy chủ LDAP.

Cài Đặt Tường Lửa

Khi chỉ định địa chỉ IP trong phần cài đặt tường lửa, có thể chỉ định tối đa 16 địa chỉ IP (hoặc dải địa chỉ IP) cho cả IPv4 và IPv6.
Khi chỉ định địa chỉ MAC trong phần cài đặt tường lửa, có thể chỉ định tối đa 100 địa chỉ MAC.
Các địa chỉ ngoại lệ và số cổng ngoại lệ mà có thể được sử dụng để giao tiếp bằng đường phụ và được đăng ký theo mặc định, được nêu ra bên dưới.
Các địa chỉ ngoại lệ:
0.0.0.1 đến 255.255.255.255
Các số cổng ngoại lệ:
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
* Chỉ bộ lọc ngõ vào

Đăng ký khóa và chứng chỉ

Nếu bạn cài đặt khóa hoặc chứng chỉ CA từ máy tính, hãy đảm bảo rằng chúng đáp ứng các yêu cầu sau đây:
Định dạng
Khóa: PKCS#12*1
Chứng chỉ CA: X.509 DER/PEM
Phần mở rộng tập tin
Khóa: “.p12” hoặc “.pfx”
Chứng chỉ CA: “.cer” hoặc “.pem”
Thuật toán khóa công khai
(và độ dài khóa)
RSA (512-bit, 1024-bit, 2048-bit, 4096-bit)
DSA (1024-bit, 2048-bit, 3072-bit)
ECDSA (P256, P384, P521)
Thuật toán chữ ký chứng chỉ
RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5
DSA: SHA-1
ECDSA: SHA-1, SHA-256, SHA-384, SHA-512
Thuật toán dấu vân tay chứng chỉ
SHA-1
*1 Các yêu cầu đối với chứng chỉ có trong khóa căn cứ theo chứng chỉ CA.
*2 SHA384-RSA và SHA512-RSA chỉ khả dụng khi độ dài khóa RSA là 1024 bit trở lên.

Đăng ký danh sách thu hồi chứng chỉ (CRL)

Có thể đăng ký tối đa 50 danh sách thu hồi chứng chỉ (CRL). Tuy nhiên, lưu ý rằng không thể đăng ký CRL trong các trường hợp sau.
Kích thước dữ liệu của CRL vượt quá 1 MB.
Đang sử dụng một thuật toán chữ ký không được hỗ trợ.
Số lượng chứng chỉ đã thu hồi được đăng ký trong một tập tin CRL vượt quá 10.000.

Định nghĩa của "Mã Hóa Yếu"

Khi chọn [Prohibit Use of Weak Encryption], việc sử dụng các thuật toán sau đây đều bị cấm.
Hàm băm:
MD4, MD5, SHA-1
HMAC:
HMAC-MD5
Hệ thống mật mã khóa phổ biến:
RC2, RC4, DES
Hệ thống mật mã khóa công khai:
Mã hóa RSA (512-bit/1024-bit), chữ ký RSA (512-bit/1024-bit), chữ ký DSA (512-bit/1024-bit), DH (512-bit/1024 bit)
Ngay cả khi chọn [Prohibit Use of Key/Certificate with Weak Encryption], thì có thể sử dụng thuật toán băm SHA-1 mà vẫn dùng cho việc ký chứng chỉ gốc.

Thuật toán chuẩn FIPS 140-2

Khi chọn [Format Encryption Method to FIPS 140-2], cấm sử dụng các thuật toán sau đây.
Hàm băm:
MD4, MD5, SHA-1 (cho mục đích ngoài TLS)
Hệ thống mật mã khóa phổ biến:
RC2, RC4, DES, PBE
Hệ thống mật mã khóa công khai:
Mã hóa RSA (512-bit/1024-bit), chữ ký RSA (512-bit/1024-bit), chữ ký DSA (512-bit/1024-bit), DH (512-bit/1024-bit)

Quản lý nhật ký

Có thể quản lý các loại nhật ký sau đây trên máy. Có thể xuất các nhật ký được thu thập ở định dạng tập tin CSV.
Loại nhật ký
Số được chỉ định là “Loại nhật ký” trong tập tin CSV
Mô tả
Nhật ký
ứng dụng Xác thực người dùng
4098
Nhật ký này chứa thông tin liên quan đến trạng thái xác thực của chức năng xác thực người dùng (đăng nhập/đăng xuất và xác thực người dùng thành công/thất bại), đăng ký/thay đổi/xóa thông tin người dùng được quản lý bằng ứng dụng Xác thực người dùng.
Nhật ký lệnh in
1001
Nhật ký này chứa thông tin liên quan đến việc hoàn thành các lệnh in.
Nhật ký nhận
8193
Nhật ký này chứa thông tin liên quan đến việc tiếp nhận.
Nhật ký quản lý máy
8198
Nhật ký này chứa thông tin liên quan đến việc khởi động/tắt máy và các thay đổi được thực hiện đối với cài đặt bằng cách sử dụng <Đặt>. Nhật ký quản lý máy cũng ghi lại những thay đổi trong thông tin người dùng hoặc các cài đặt liên quan đến bảo mật khi đại lý hoặc đại diện dịch vụ của bạn kiểm tra hoặc sửa chữa máy.
Nhật ký xác thực mạng
8200
Nhật ký này được ghi lại khi giao tiếp IPSec không thành công.
Xuất/nhập tất cả nhật ký
8202
Nhật ký này chứa thông tin liên quan đến việc nhập/xuất các cài đặt bằng cách sử dụng chức năng Xuất tất cả/Nhập tất cả.
Nhật ký hoạt động của màn hình quản lý ứng dụng/phần mềm
3101
Đây là nhật ký hoạt động của chức năng đăng ký/cập nhật phần mềm và trình cài đặt ứng dụng MEAP, v.v.
Nhật ký chính sách bảo mật
8204
Nhật ký này chứa thông tin liên quan đến trạng thái cài đặt của phần cài đặt chính sách bảo mật.
Nhật ký bảo trì hệ thống
8206
Nhật ký này chứa thông tin liên quan đến cập nhật vi chương trình và sao lưu/khôi phục ứng dụng MEAP, v.v.
Nhật ký in xác thực
8207
Nhật ký này chứa thông tin và lịch sử hoạt động liên quan đến các lệnh in giữ bắt buộc.
Nhật ký quản lý nhật ký kiểm tra
3001
Nhật ký này chứa thông tin liên quan đến việc bắt đầu và kết thúc chức năng này (chức năng Quản lý nhật ký kiểm tra), cũng như việc xuất nhật ký, v.v.
Nhật ký có thể chứa tới 40.000 bản ghi. Khi số lượng bản ghi vượt quá 40.000, hệ thống sẽ bị xóa các bản ghi cũ nhất trước tiên.

Nhập/Xuất Dữ liệu Cài đặt

Vui lòng xem Cài đặt/Đăng ký.

Hỗ trợ máy chủ SCEP

Chỉ hỗ trợ Dịch vụ đăng ký thiết bị mạng (NDES) của Windows Server 2016.
AL74-0C2