Mi ŝatus kunhavigi nian multjaran sperton pri trovado de solvo por organizi centralizitan kaj organizitan aliron al elektronikaj sekurecŝlosiloj en nia organizo (ŝlosiloj por aliro al komercaj platformoj, bankado, programaraj sekurecŝlosiloj ktp.). Pro la ĉeesto de niaj branĉoj, kiuj estas geografie tre disigitaj unu de la alia, kaj la ĉeesto en ĉiu el ili de pluraj elektronikaj sekurecŝlosiloj, la bezono de ili konstante ekestas, sed en malsamaj branĉoj. Post alia tumulto kun perdita ŝlosilo, administrado starigis taskon - por solvi ĉi tiun problemon kaj kolekti ĈIUJN USB-sekurecajn aparatojn en unu loko, kaj certigi laboron kun ili sendepende de la loko de la dungito.
Do, ni devas kolekti en unu oficejo ĉiujn klientajn bankŝlosilojn, 1c-licencojn (hasp), radikajn ĵetonojn, ESMART Token USB 64K, ktp disponeblaj en nia kompanio. por posta operacio sur malproksimaj fizikaj kaj virtualaj Hyper-V-maŝinoj. La nombro da USB-aparatoj estas 50-60 kaj ĝi certe ne estas la limo. Loko de virtualigserviloj ekster la oficejo (datumcentro). Loko de ĉiuj USB-aparatoj en la oficejo.
Ni studis ekzistantajn teknologiojn por centralizita aliro al USB-aparatoj kaj decidis koncentriĝi pri USB super IP-teknologio. Rezultas, ke multaj organizoj uzas ĉi tiun apartan solvon. Estas kaj aparataro kaj programaro iloj por USB super IP plusendado sur la merkato, sed ili ne konvenis al ni. Sekve, plue ni parolos nur pri la elekto de aparataro USB super IP kaj, unue, pri nia elekto. Ni ankaŭ ekskludis aparatojn el Ĉinio (sennomaj) de konsidero.
La plej vaste priskribitaj USB-super IP-aparataj solvoj en la Interreto estas aparatoj faritaj en Usono kaj Germanio. Por detala studo, ni aĉetis grandan rakomuntan version de ĉi tiu USB super IP, desegnita por 14 USB-havenoj, kun la kapablo munti en 19-cola rako, kaj germanan USB over IP, desegnitan por 20 USB-havenoj, ankaŭ kun la kapablo munti en 19-cola rako. Bedaŭrinde, ĉi tiuj produktantoj ne havis pli da USB super IP-aparataj havenoj.
La unua aparato estas tre multekosta kaj interesa (Interreto estas plena de recenzoj), sed estas tre granda malavantaĝo - ne ekzistas rajtigaj sistemoj por konekti USB-aparatojn. Ĉiu, kiu instalas la USB-konektan apon, havas aliron al ĉiuj ŝlosiloj. Krome, kiel praktiko montris, la USB-aparato "esmart token est64u-r1" estas maltaŭga por uzi kun la aparato kaj, rigardante antaŭen, kun la "germana" en Win7 OS - kiam ligite al ĝi, ekzistas konstanta BSOD. .
Ni trovis la duan USB super IP-aparaton pli interesa. La aparato havas grandan aron da agordoj rilataj al retaj funkcioj. La USB super IP-interfaco estas logike dividita en sekciojn, do la komenca aranĝo estis sufiĉe simpla kaj rapida. Sed, kiel menciite pli frue, estis problemoj konekti kelkajn ŝlosilojn.
Studante plu pri USB super IP-aparataro, ni renkontis hejmajn fabrikistojn. La vicigo inkluzivas 16, 32, 48 kaj 64 havenversiojn kun la kapablo munti en 19-cola rako. La funkcieco priskribita de la fabrikanto estis eĉ pli riĉa ol tiu de antaŭaj aĉetoj de USB super IP. Komence, mi ŝatis, ke la hejma administrita USB super IP-nabo disponigas duŝtupan protekton por USB-aparatoj dum kunhavado de USB per reto:
- Fora fizika ŝaltado kaj malŝalto de USB-aparatoj;
- Rajtigo por konekti USB-aparatojn uzante ensaluton, pasvorton kaj IP-adreson.
- Rajtigo por konekti USB-havenojn uzante ensaluton, pasvorton kaj IP-adreson.
- Registrado de ĉiuj aktivigoj kaj konektoj de USB-aparatoj fare de klientoj, same kiel tiaj provoj (malĝusta pasvorta enigo, ktp.).
- Trafika ĉifrado (kio, principe, ne estis malbona laŭ la germana modelo).
- Aldone, konvenis, ke la aparato, kvankam ne malmultekosta, estas plurfoje pli malmultekosta ol tiuj aĉetitaj antaŭe (la diferenco fariĝas precipe grava kiam konvertita al haveno; ni konsideris 64-havenan USB super IP).
Ni decidis kontroli kun la fabrikanto pri la situacio kun subteno por du specoj de inteligentaj ĵetonoj, kiuj antaŭe havis konektajn problemojn. Ni estis informitaj, ke ili ne provizas 100% garantion de subteno por absolute ĉiuj USB-aparatoj, sed ankoraŭ ne trovis ununuran aparaton kun kiu estas problemoj. Ni ne kontentiĝis pri ĉi tiu respondo kaj ni sugestis, ke la fabrikanto transdonu la ĵetonojn por testado (feliĉe, sendo de transportkompanio kostis nur 150 rublojn, kaj ni havas sufiĉe da malnovaj ĵetonoj). 4 tagojn post sendo de la ŝlosiloj, ni ricevis la konektajn datumojn kaj ni mirakle konektiĝis kun Windows 7, 10 kaj Windows Server 2008. Ĉio funkciis bone, ni senprobleme konektis niajn tokojn kaj povis labori kun ili.
Ni aĉetis administritan USB super IP-nabo kun 64 USB-havenoj. Ni konektis ĉiujn 18 havenojn de 64 komputiloj en malsamaj branĉoj (32 klavoj kaj la ceteraj - poŝmemoriloj, malmolaj diskoj kaj 3 USB-fotiloj) - ĉiuj aparatoj funkciis senprobleme. Ĝenerale ni estis kontentaj pri la aparato.
Mi ne listigas la nomojn kaj fabrikistojn de USB super IP-aparatoj (por eviti reklamadon), ili facile troveblas en la Interreto.
fonto: www.habr.com