Гид по технологиям

Создание домена аутентификации WiKID

7 min read Аутентификация Обновлено 17 Oct 2025
Создание домена аутентификации WiKID
Создание домена аутентификации WiKID

TL;DR

Домен аутентификации в WiKID разделяет полномочия аутентификации: один сервер может обслуживать несколько доменов, а одно устройство — несколько доменов. Для создания домена требуется задать 12‑значный код сервера (zero‑padded IP или префикс в wikidsystems.net), параметры PIN и политики блокировки, а затем нажать «Создать». Эта статья объясняет поля конфигурации, приводит примеры, типичные ошибки, контрольные списки и рекомендации по безопасности.

Что такое домен аутентификации

Домен аутентификации — это логическое разделение полномочий аутентификации. Он определяет набор устройств, пользователей и правил, по которым выполняется проверка подлинности. Устройство может быть зарегистрировано в нескольких доменах; сервер WiKID может обслуживать несколько доменов одновременно.

Краткое определение терминов:

  • Домен — логическая область аутентификации.
  • 12‑значный код сервера — ноль‑дополненный IP‑адрес или заранее зарегистрированный префикс в домене wikidsystems.net.
  • Одноразовый пароль (passcode) — код, действующий ограниченное время.

Основные идеи и примеры

  • 12‑значный код формируется как ноль‑дополненный IP. Пример: IP 27.232.7.14 -> 027232007014.
  • Для частных/нероутируемых сетей можно использовать префиксы в wikidsystems.net или специальные коды (например, 999888777666 при использовании сервиса wikidsystems.net).
  • Для настройки DNS клиентского токена можно развернуть кастомный файл jw.properties вместе с токеном.

Интерфейс: как найти и создать домен

  1. В веб‑интерфейсе администратора выберите в верхнем меню [Домены].
  2. На экране появится список текущих доменов (см. Рисунок 12).

Экран конфигурации доменов с списком текущих доменов

Рисунок 12 – Экран конфигурации доменов

  1. Нажмите [Создать новый домен], чтобы открыть форму параметров нового домена (см. Рисунок 13).

Экран параметров при создании нового домена

Рисунок 13 – Параметры нового домена

  1. Заполните поля и нажмите «Создать». После успешного создания домен отобразится в списке текущих доменов (см. Рисунок 14), а в разделе [Главная] будет показано, что сервер обслуживает данный домен (см. Рисунок 15).

Список текущих доменов после добавления нового домена

Рисунок 14 – Текущие домены

Сводка сервера после настройки домена

Рисунок 15 – Сводка после конфигурации домена

Параметры домена: подробное описание и рекомендации

Ниже приведены обязательные параметры при создании домена и практические рекомендации для администратора.

Название домена

  • Обозначение для административного интерфейса. Рекомендация: краткое, содержательное (например, “HR‑Office”, “IoT‑Factory”).

Название домена на устройстве (Device Domain Name)

  • Текст, который увидит пользователь на мобильном устройстве в меню. Должен быть коротким (обычно ≤ 20 символов), чтобы корректно отображаться на маленьких экранах.

Минимальная длина PIN (Minimum PIN Length)

  • Укажите минимальное количество цифр/символов для PIN. Короткие PIN увеличивают риск подбора. Рекомендация: минимум 4–6 символов в зависимости от рисков.

Время жизни одноразового пароля (Passcode Lifetime)

  • Максимальное время (в секундах), в течение которого одноразовый код действителен. Короткое время повышает безопасность, но ухудшает удобство при нестабильном соединении. Оцените баланс безопасности и UX.

Код сервера (Server Code)

  • Строка ровно из 12 цифр: либо 12‑значный zero‑padded IPv4, либо зарегистрированный префикс в wikidsystems.net. Пример: 027232007014.
  • Если вы используете недоступный извне IP, можно применить сервис wikidsystems.net и зарезервировать префикс, либо настроить собственный jw.properties для указания DNS.

Ограничение неверных PIN (Max Bad PIN Attempts)

  • Максимум неудачных попыток ввода PIN на устройстве до его отключения. Рекомендация: 3–5.

Ограничение неверных passcode (Max Bad Passcode Attempts)

  • Максимум ошибок при вводе одноразового кода для конкретного пользователя до блокировки аккаунта. Рекомендация: 3–5.

Максимум последовательных оффлайн‑аутентификаций (Max Sequential Offlines)

  • Число раз, которое устройство может пройти оффлайн challenge/response до принудительной онлайновой аутентификации. Используется при отсутствии сетевого покрытия. Настройте в зависимости от политики безопасности и ожидаемой работы вне сети.

Использовать TACACS+ (Use TACACS+)

  • Включите, если хотите интегрировать проверку авторизации через TACACS+ для данного домена.

Примеры конверсии IP в 12‑значный код

  • IP 192.168.0.1 -> 192168000001 -> 192168000001 (пример zero‑padding для каждого октета не обязателен; в WiKID требуется 12 цифр общей длины): чаще используется ноль‑дополнение всей адресной строки: 192.168.0.1 -> 192168000001.
  • IP 27.232.7.14 -> 027232007014 (показательный пример из документации).

Важно: используйте тот способ кодирования, который поддерживает ваша версия сервера и клиентского ПО. Если сомневаетесь — используйте явный ноль‑дополнение, как в примере 027232007014.

Пошаговая методология создания домена (мини‑методология)

  1. Определите назначение домена и требуемые политики (PIN, passcode время, оффлайн‑режим).
  2. Выберите серверный код: публичный IP или префикс в wikidsystems.net.
  3. Подготовьте jw.properties при необходимости изменить DNS для клиентских токенов.
  4. Войдите в админ‑интерфейс, выберите [Домены] → [Создать новый домен].
  5. Заполните поля, проверьте значения и нажмите «Создать». Подтвердите появление домена в списке.
  6. Выполните тестовую регистрацию одного устройства и проверку аутентификации онлайн и оффлайн.
  7. Отследите логи и скорректируйте параметры, если обнаружены ложные блокировки или проблемы с passcode.

Контрольный список администратора

  • Утверждён список пользователей и устройств для домена.
  • Выбрана политика PIN и passcode time.
  • Установлен корректный 12‑значный Server Code.
  • При необходимости подготовлен jw.properties и задеплоен в токены.
  • Протестирована регистрация устройства и вход по одному тестовому аккаунту.
  • Мониторинг логов включён для первых 72 часов после развертывания.

Роль‑ориентированные задачи

  • Администратор: создать домен, задать политики, контролировать журналы, менять jw.properties.
  • Оператор поддержки: помогать пользователям с регистрацией, сбросом PIN, разблокировкой устройств.
  • Пользователь мобильного устройства: зарегистрировать устройство, выбрать короткое Device Domain Name на экране.

Частые ошибки и способы устранения

  • Неверный 12‑значный код: проверить формат, убедиться в том, что код ровно из 12 цифр.
  • Устройство не может зарегистрироваться: проверить сетевую доступность сервера, DNS, корректность jw.properties при кастомном DNS.
  • Частые блокировки пользователей: уменьшить чувствительность Max Bad Passcode Attempts или проанализировать причины ложных ошибок (задержки сети, неправильный ввод).

Когда такой подход не подходит (контрпримеры)

  • Если требуется централизованная федерация аутентификации между десятками географически распределённых регионов с разными провайдерами DNS, может потребоваться более сложная архитектура с прокси/ретрансляцией и согласованными DNS‑записями.
  • Для исключительно локальных, изолированных сред без доступа к интернету стоит использовать локальный префикс и отключить зависимость от внешнего сервиса wikidsystems.net.

Альтернативные подходы

  • Использование централизованного DNS и SRV‑записей вместо жесткой 12‑значной конвенции — требует кастомной конфигурации клиентов (jw.properties).
  • Развёртывание HA‑кластера WiKID и репликации доменов между серверами для отказоустойчивости.

Модель принятия решений (flowchart)

flowchart TD
  A[Начало: требуется домен] --> B{Сервер доступен извне?}
  B -- Да --> C[Использовать zero-padded публичный IP]
  B -- Нет --> D{Использовать wikidsystems.net или jw.properties?}
  D -- wikidsystems.net --> E[Зарегистрировать префикс]
  D -- jw.properties --> F[Подготовить и задеплоить jw.properties]
  C --> G[Настроить параметры PIN/passcode]
  E --> G
  F --> G
  G --> H[Создать домен в интерфейсе]
  H --> I[Тестирование и мониторинг]
  I --> J[Ввод в эксплуатацию]

Безопасность и конфиденциальность

Важно ограничивать время жизни одноразовых кодов и минимальную длину PIN в соответствии с политикой безопасности вашей организации. Для устройств, регулярно использующих оффлайн‑режим, повышайте мониторинг и ведите отдельные журналы, чтобы отслеживать аномалии. При работе с персональными данными учитывайте внутренние требования по хранению и обработке данных (логи, соответствие GDPR/локальным законам) — при необходимости проконсультируйтесь с юристом по защите данных.

Совместимость и миграция

  • При переносе доменов между серверами проверьте соответствие Server Code и обновите jw.properties на токенах.
  • Тестируйте миграцию на пилотном наборе устройств, чтобы избежать массовых блокировок из‑за несовпадения настроек PIN или passcode lifetime.

Критерии приёмки

  • Домен отображается в списке текущих доменов.
  • Устройство успешно регистрируется и проходит онлайн‑аутентификацию.
  • В оффлайн‑режиме выполняется допустимое число последовательных аутентификаций согласно параметру Max Sequential Offlines.
  • Нет непредвидимых блокировок пользователей в течение 24–72 часов после запуска.

Шаблон конфигурации (пример)

  • Domain Name: HR‑Office
  • Device Domain Name: HR
  • Minimum PIN Length: 6
  • Passcode Lifetime: 60 (секунд)
  • Server Code: 027232007014
  • Max Bad PIN Attempts: 5
  • Max Bad Passcode Attempts: 5
  • Max Sequential Offlines: 10
  • Use TACACS+: нет

Короткая памятка для поддержки

  1. Проверить Server Code -> формат 12 цифр.
  2. Проверить доступность сервера по IP/домену.
  3. Проверить наличие/корректность jw.properties в токене.
  4. Просмотреть логи сервера на предмет ошибок регистрации/авторизации.
  5. Если пользователь заблокирован — выполнить разблокировку и проанализировать причину.

Итог

Создание домена аутентификации в WiKID — простая, но критичная операция для корректной работы системы. Ключевые моменты: корректный 12‑значный код сервера, правильно заданные политики PIN и passcode lifetime, тестирование онлайн и оффлайн сценариев и мониторинг после запуска. Следуйте контрольным спискам и проводите пилотные проверки перед массовым развёртыванием.

Важно: перед развёртыванием в продакшн протестируйте поведение клиента при плохом сетевом покрытии и убедитесь, что jw.properties корректно настроен, если вы используете персональные DNS‑настройки.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Отключить уведомления групповых SMS
Мобильные

Отключить уведомления групповых SMS

Исправление ошибки 0x00000124 в Windows 10
Windows

Исправление ошибки 0x00000124 в Windows 10

Ответы и отложение уведомлений на iPhone
Mobile

Ответы и отложение уведомлений на iPhone

Как посмотреть историю использования Nest Thermostat
Устройства

Как посмотреть историю использования Nest Thermostat

Автоповорот рабочего стола Android в ландшафте
Android.

Автоповорот рабочего стола Android в ландшафте

Unexpected Disconnection в Path of Exile — как исправить
Игры

Unexpected Disconnection в Path of Exile — как исправить