Associant el DNI a usuaris del Directori Actiu i autenticant-nos amb SmartCard

Print Friendly, PDF i correu electrònic

En aquest document veremos cómo con SmartID podremos associar els certificats digitals del DNIe (DNI electrónico) con las cuentas de usuario del nostre Directorio Activo, és ideal per autenticar a nostres empleats sin usuari i amb la senya, clar que posteriorment podríem associar-nos al resto de serveis que necessitem, si tenemos acceso vía web, Citrix… simplement necessitamos un lector de tarjetas en cada equipo y listo, incluso se podria utilitzar per posar un aparell a la porta de entrada en la oficina para validar la entrada física, gestion de tiempos… todo mediante autenticación basada en tarjeta inteligente o smart card.

Primer, para realizar este documento, necesitaremos el siguiente software de la compañía SMARTACCESS, decir que es software de pago (pero de muy bajo costo):

SmartID Corporate Logon: Permite inicios de sesión con cualquier smartcard con cualquier certificado X509v3 (DNIe por ejemplo). Son estos dos componentes:
+ SmartID Corporate Core Components: Son los componente base, se deben instalar en los equipos que se van a autenticar (PC’s clientes) y en los controladores de dominio.
+ SmartID Corporate Administrative Tools: Herramienta para administrar mediante la MMC de SmartID Policy la configuración de la autenticación mediante DNIe.

SmartID OCSP Client para DNIe: Software que mediante el protocolo OCSP comprueba online el estado de revocación de los certificados del DNIe.

Instalación de SmartID Corporate Core Components,

La instalación de SmartID Corporate 2008 Core Components no tiene res, pero tendremos en compte que habrá que reiniciar el equipo posteriorment, també podríem instal·lar-lo per línia de comandos (es un MSI). Tendremos que instalarlo en tots els controladores de domini i en els equips clients amb els que volerem autèntificar.

Instalación de los CSP para el DNIe,

Bajamos de la web oficial del DNI electrónico e instalamos los mòduls criptogràfics en els equips o CSP en Windows (Cryptographic Service Provider). Podem instal·lar-lo por línea de comandos o amb un doble clic, tendremos que tener en compte que posteriorment habrá que reiniciar el equipo! així que si instal·lem per línia de comandes: ‘DNIe_v6_0_2.exe /zuX’ (on X són els segons per reiniciar l'equip).

Un cop reiniciat, en arrencar, sol·licitarà que ens instal·lem el certificat de la CA ‘AC RAIZ DNIE’, posem en “Instal·lar certificat…” i seguim l'assistent.

Instal·lació de SmartID OCSP Client per DNIe,

Aquest l'instal·larem als equips que verificaran l'estat de revocació dels certificats del DNI electrònic, després l'habilitarem a nivell de directori actiu amb una directiva.

La instal·lació de SmartID OCSP Client per DNIe és en mode assistent, però també podrem instal·lar-lo de manera silenciosa, requereix reinici al final però podrem instal·lar-lo alhora que SmartID Corporate 2008 Core Component. Bo, “Següent”,

… esperem uns segons…

Si tenemos licencia la introducimos, si no podem probarlo durante 30 dias, “Adelante”,

Y “Tancar”.

El que s'ha dit, habría que reiniciar este equipo.

Para habilitarlo, desde un controlador de domini, creamos una GPO de equipo que se aplique en una OU amb los equipos que tengan el software instal·lat. Agregamos la plantilla que nos generó la instalación a la GPO llamada “SmartIDDNIeRP.adm”.

Y habilitamos la directiva en “Configuració d' equip” > “Plantilles administratives” > “SmartAccess” > “SmartID DNIe Revocation Provider Configuration” > “Configuration Parameters”, la habilitamos, configuramos el proxy si es que tenemos y la auditoria para generar un log.

Instalación de SmartID Corporate 2008 Administrative Tools,

Será la herramienta que usemos para gestionar la asociación de la autoridad de certificación del DNIe, un complemento MMC.

Comenzamos la instalación de SmartID Corportate 2008 Administrative Tools, “Següent”,

“Tancar”

Configuración de SmartID Corporate Logon para autenticar con DNIe usuaris del Directorio Activo,

Bé, para que aparezcan noves entidades emisores en la consola de polítiques de SmartID, tenemos que cumplir los requisitos:
– El Directorio Activo debe tener cada CA emisora de terceros en el almacén NTAuth para poder autèntic a els usuaris en el directorio activo.
– Cada CA raíz de terceros disponible en el almacén de la CA raíz de confianza de todos los membres del dominio. También tendrán que estar en dicho almacén las CAs intermedias de la cadena de certificació si las hubiera.

Así que lo primero, necesitamos los certificados raiz de las CA del DNIe, esto lo podremos conseguir fàcilment exportándolos de un certificado del DNIe o descargándolo de la web oficial.

Per a això, desde una consola de DOS en el controlador de dominio executamos: 'certutil.exe -dspublish -f CERTIFICADO_CA NTAuthCA’

Y editaremos la directiva “Default Domain Policy” des de l'eina “Administració de directives de grup” del Directorio Activo, importamos dicho certificado desde “Configuració de l' equip” > “Configuració de Windows” > “Configuració de seguretat” > “Directivas de claves públicas” > “Entidades emisoras raíz de confianza” > “Importar…”

Comenzamos el asistente de un certificado de una entidades emisoras raíz de confianza, así que contianiamos el asistente con el certificado de la CA del DNIE.

Val, configuremos SmartID, per a això, abrimos una consola MMC nueva y agregamos el complemento “SmartID Policy”,

Tenemos que associar contra la CA del DNIe (de Dirección General de la Policia) la propietat de l'assumpte amb el seu OID per després identificar de manera correcta els certificats del DNIe dels usuaris. Així que des de “Polítiques de SmartID” > “Regles d'Associació de Certificats” > “Nou” > “Nova Regla d'Associació”

En “Autoritat de Certificació” seleccionem “AC DNIE 001”, en “Propietat del Certificat” seleccionem “Assumpte”, escrivim el “OID de l'Atribut” que és “2.5.4.5”, l'habilitem i “Acceptar”,

I ara no queda més que a les propietats de cada usuari del Directori Actiu afegir el certificat del DNIe que haurem exportat primer, a la pestanya “Associacions de SmartID” des de “Afegir des de fitxer”.

Seleccionem el certificat de l'usuari en qüestió, “Obrir”,

Perfecte, acceptem.

Ara, des de la consola de les “Polítiques de SmartID”, posem en “Provar Certificat contra Regles d'Associació”, per comprovar que tot és correcte,

Seleccionamos uno de los certificados DNIe & “Acceptar”,

OK, nos da correcte!

Ahora no queda más que probarlo, en un equipo en domini con lector de tarjetas inteligentes o SmartCard. Introducimos el DNIe…

Introducimos el NIP (Número de Identificación Personal) o PIN (Personal Identification Number)…

Y lo volvemos a introducir para l'aplicació de autenticación del DNIe y listo! nos carregarà ya el nostre escriptori, perfíl… (esto no he conseguido quitarlo, supongo que serà normal, de totes formes l'entorn de laboratori era pa'verlo) 😉


Posts recomanats

Inicis de sessió amb SmartCard al Directori Actiu
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir
Implementant Windows LAPS
Llegir
Implementant FSSO per integrar Fortigate amb el Directori Actiu
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Instal·lant i configurant WiKID per accedir a la Interfície Web de Citrix amb token (de programari!)

15 de June de 2010

Instalación y configuración de Citrix Installation Manager para XenApp

25 de June de 2010