Các chức năng quản lý
Thông tin đã đăng ký trong ứng dụng Xác thực người dùng
Có thể đăng ký lên đến 5.001 người dùng.
Đăng ký Mã phòng ban
Có thể đăng ký lên tới 1.000 Mã phòng ban.
Các Chức Năng Xác Thực
Khi chỉ định một máy chủ Active Directory làm máy chủ xác thực, thì cần có môi trường hệ thống sau đây.
Phần mềm (hệ điều hành): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Người dùng không thể đăng nhập bằng xác thực Active Directory nếu không bật Kerberos Armoring cho các chính sách liên quan đến KDC (chính sách nhóm). Đảm bảo tắt Kerberos Armoring. | |
Phiên bản ứng dụng Xác thực người dùng hiện tại hỗ trợ các phương pháp mã hóa Kerberos để xác thực Active Directory như sau.
Phương pháp mã hóa | 128-bit AES (Advanced Encryption Standard) 256-bit AES (Advanced Encryption Standard) DES (Data Encryption Standard) RC4 |
|
Các phương pháp mã hóa khả dụng có thể khác nhau, tùy thuộc vào cài đặt Active Directory. Trong số các phương pháp mã hóa có sẵn, sẽ tự động chọn phương pháp có độ mạnh mật mã cao nhất. |
Khi chỉ định máy chủ Active Directory làm máy chủ xác thực, hãy sử dụng các cổng sau đây*1 trên máy chủ.
Để giao tiếp với máy chủ DNS: | số cổng 53 |
Để giao tiếp với KDC (Key Distribution Center): | số cổng 88 |
Để giao tiếp với máy chủ cho dịch vụ thư mục LDAP (có thể thay đổi thành số cổng tùy ý cho dịch vụ LDAP): | số cổng 389 |
*1 Các số cổng trên là giá trị mặc định. Những số này có thể khác nhau tùy thuộc vào cài đặt đã chọn. | |
Khi chỉ định máy chủ LDAP làm máy chủ xác thực, thì cần có môi trường hệ thống sau đây.
Phần mềm: | OpenLDAP |
Hệ điều hành: | Các yêu cầu tuân theo thông số kỹ thuật sản phẩm của máy chủ LDAP. |
Khi chỉ định máy chủ LDAP làm máy chủ xác thực, hãy sử dụng các cổng sau đây*1 trên máy chủ.
Để giao tiếp với máy chủ LDAP bằng LDAP (khi bật TLS): | số cổng 636 |
Để giao tiếp với máy chủ LDAP bằng LDAP (khi tắt TLS): | số cổng 389 |
*1 Có thể thay đổi số cổng theo cài đặt máy chủ LDAP. | |
Cài Đặt Tường Lửa
Khi chỉ định địa chỉ IP trong phần cài đặt tường lửa, có thể chỉ định tối đa 16 địa chỉ IP (hoặc dải địa chỉ IP) cho cả IPv4 và IPv6.
Khi chỉ định địa chỉ MAC trong phần cài đặt tường lửa, có thể chỉ định tối đa 100 địa chỉ MAC.
Các địa chỉ ngoại lệ và số cổng ngoại lệ mà có thể được sử dụng để giao tiếp bằng đường phụ và được đăng ký theo mặc định, được nêu ra bên dưới.
Các địa chỉ ngoại lệ: | 0.0.0.1 đến 255.255.255.255 |
Các số cổng ngoại lệ: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Chỉ bộ lọc ngõ vào | |
Đăng ký khóa và chứng chỉ
Nếu bạn cài đặt khóa hoặc chứng chỉ CA từ máy tính, hãy đảm bảo rằng chúng đáp ứng các yêu cầu sau đây:
Định dạng | Khóa: PKCS#12*1 Chứng chỉ CA: X.509 DER/PEM |
Phần mở rộng tập tin | Khóa: “.p12” hoặc “.pfx” Chứng chỉ CA: “.cer” hoặc “.pem” |
Thuật toán khóa công khai (và độ dài khóa) | RSA (512-bit, 1024-bit, 2048-bit, 4096-bit) DSA (1024-bit, 2048-bit, 3072-bit) ECDSA (P256, P384, P521) |
Thuật toán chữ ký chứng chỉ | RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5 DSA: SHA-1 ECDSA: SHA-1, SHA-256, SHA-384, SHA-512 |
Thuật toán dấu vân tay chứng chỉ | SHA-1 |
*1 Các yêu cầu đối với chứng chỉ có trong khóa căn cứ theo chứng chỉ CA. *2 SHA384-RSA và SHA512-RSA chỉ khả dụng khi độ dài khóa RSA là 1024 bit trở lên. | |
Đăng ký danh sách thu hồi chứng chỉ (CRL)
Có thể đăng ký tối đa 50 danh sách thu hồi chứng chỉ (CRL). Tuy nhiên, lưu ý rằng không thể đăng ký CRL trong các trường hợp sau.
Kích thước dữ liệu của CRL vượt quá 1 MB.
Đang sử dụng một thuật toán chữ ký không được hỗ trợ.
Số lượng chứng chỉ đã thu hồi được đăng ký trong một tập tin CRL vượt quá 10.000.
Định nghĩa của "Mã Hóa Yếu"
Khi chọn [Prohibit Use of Weak Encryption], việc sử dụng các thuật toán sau đây đều bị cấm.
Hàm băm: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Hệ thống mật mã khóa phổ biến: | RC2, RC4, DES |
Hệ thống mật mã khóa công khai: | Mã hóa RSA (512-bit/1024-bit), chữ ký RSA (512-bit/1024-bit), chữ ký DSA (512-bit/1024-bit), DH (512-bit/1024 bit) |
|
Ngay cả khi chọn [Prohibit Use of Key/Certificate with Weak Encryption], thì có thể sử dụng thuật toán băm SHA-1 mà vẫn dùng cho việc ký chứng chỉ gốc. |
Thuật toán chuẩn FIPS 140-2
Khi chọn [Format Encryption Method to FIPS 140-2], cấm sử dụng các thuật toán sau đây.
Hàm băm: | MD4, MD5, SHA-1 (cho mục đích ngoài TLS) |
Hệ thống mật mã khóa phổ biến: | RC2, RC4, DES, PBE |
Hệ thống mật mã khóa công khai: | Mã hóa RSA (512-bit/1024-bit), chữ ký RSA (512-bit/1024-bit), chữ ký DSA (512-bit/1024-bit), DH (512-bit/1024-bit) |
Quản lý nhật ký
Có thể quản lý các loại nhật ký sau đây trên máy. Có thể xuất các nhật ký được thu thập ở định dạng tập tin CSV.
Loại nhật ký | Số được chỉ định là “Loại nhật ký” trong tập tin CSV | Mô tả |
Nhật ký ứng dụng Xác thực người dùng | 4098 | Nhật ký này chứa thông tin liên quan đến trạng thái xác thực của chức năng xác thực người dùng (đăng nhập/đăng xuất và xác thực người dùng thành công/thất bại), đăng ký/thay đổi/xóa thông tin người dùng được quản lý bằng ứng dụng Xác thực người dùng. |
Nhật ký lệnh in | 1001 | Nhật ký này chứa thông tin liên quan đến việc hoàn thành các lệnh in. |
Nhật ký nhận | 8193 | Nhật ký này chứa thông tin liên quan đến việc tiếp nhận. |
Nhật ký quản lý máy | 8198 | Nhật ký này chứa thông tin liên quan đến việc khởi động/tắt máy và các thay đổi được thực hiện đối với cài đặt bằng cách sử dụng <Đặt>. Nhật ký quản lý máy cũng ghi lại những thay đổi trong thông tin người dùng hoặc các cài đặt liên quan đến bảo mật khi đại lý hoặc đại diện dịch vụ của bạn kiểm tra hoặc sửa chữa máy. |
Nhật ký xác thực mạng | 8200 | Nhật ký này được ghi lại khi giao tiếp IPSec không thành công. |
Xuất/nhập tất cả nhật ký | 8202 | Nhật ký này chứa thông tin liên quan đến việc nhập/xuất các cài đặt bằng cách sử dụng chức năng Xuất tất cả/Nhập tất cả. |
Nhật ký hoạt động của màn hình quản lý ứng dụng/phần mềm | 3101 | Đây là nhật ký hoạt động của chức năng đăng ký/cập nhật phần mềm và trình cài đặt ứng dụng MEAP, v.v. |
Nhật ký chính sách bảo mật | 8204 | Nhật ký này chứa thông tin liên quan đến trạng thái cài đặt của phần cài đặt chính sách bảo mật. |
Nhật ký bảo trì hệ thống | 8206 | Nhật ký này chứa thông tin liên quan đến cập nhật vi chương trình và sao lưu/khôi phục ứng dụng MEAP, v.v. |
Nhật ký in xác thực | 8207 | Nhật ký này chứa thông tin và lịch sử hoạt động liên quan đến các lệnh in giữ bắt buộc. |
Nhật ký quản lý nhật ký kiểm tra | 3001 | Nhật ký này chứa thông tin liên quan đến việc bắt đầu và kết thúc chức năng này (chức năng Quản lý nhật ký kiểm tra), cũng như việc xuất nhật ký, v.v. |
|
Nhật ký có thể chứa tới 40.000 bản ghi. Khi số lượng bản ghi vượt quá 40.000, hệ thống sẽ bị xóa các bản ghi cũ nhất trước tiên. |
Nhập/Xuất Dữ liệu Cài đặt
Vui lòng xem Cài đặt/Đăng ký.
Hỗ trợ máy chủ SCEP
Chỉ hỗ trợ Dịch vụ đăng ký thiết bị mạng (NDES) của Windows Server 2016.