Assoziieren der DNIe Active Directory-Benutzer und autenticándonos mit Smartcard

In diesem Dokument werden wir sehen, wie wir mit SmartID digitalen Zertifikaten DNIe zuordnen können (elektronischen DNI) mit Benutzerkonten Active Directory unsere, Es ist ideal für unsere Mitarbeiter ohne Benutzer und Passwort zu authentifizieren, klar, dass wir dann die anderen Dienste assoziieren wir brauchen, Wenn Sie Web-Zugang haben, Citrix… nur müssen wir einen Kartenleser auf jedem Computer und bereit, es könnte sogar eine Vorrichtung zum Anziehen der Tür im Büro verwendet werden, um den physikalischen Eingang zu validieren, Zeitmanagement… alles durch Authentifizierung basierend auf Chipkarte oder Smart-Card.

zuerst, um dieses Dokument zu machen, Wir benötigen die folgende Unternehmenssoftware SMARTACCESS, Sagen wir, es ist kostenpflichtige Software (aber sehr kostengünstig):

SmartID-Unternehmensanmeldung: Ermöglicht Anmeldungen mit jeder Smartcard mit einem beliebigen X509v3-Zertifikat (DNIe zum Beispiel). Sind diese beiden Komponenten:
+ SmartID-Unternehmenskernkomponenten: Sie sind die Basiskomponenten, Sie müssen auf den Computern installiert sein, um authentifiziert zu werden (Client-PCs) und auf Domänencontrollern.
+ SmartID-Unternehmensverwaltungstools: Tool zum Verwalten der Authentifizierungskonfiguration über DNIe über die SmartID Policy MMC.

SmartID OCSP Client für DNIe: Software, die über das OCSP-Protokoll online den Sperrstatus der DNIe-Zertifikate überprüft.

Installieren von SmartID Corporate Core-Komponenten,

Die SmartID Corporate-Installation 2008 Kernkomponenten hat nichts, Wir werden jedoch berücksichtigen, dass der Computer später neu gestartet werden muss, Wir können es auch über die Kommandozeile installieren (sind ein MSI). Wir müssen es auf allen Domänencontrollern und auf Clientcomputern installieren, bei denen wir uns authentifizieren möchten.

Installation des CSP für das DNIe,

Wir gehen von der offiziellen Website des elektronischen DNI herunter und installieren die kryptografischen Module auf den Computern oder CSP in Windows (Kryptografischer Dienstleister). Wir können es über die Befehlszeile oder mit einem Doppelklick installieren, Wir müssen berücksichtigen, dass wir später den Computer neu starten müssen! Also, wenn wir über die Kommandozeile installieren: 'DNIe_v6_0_2.exe / zuX’ (Dabei sind X die Sekunden, um den Computer neu zu starten).

nach dem Neustart, beim starten, fordert Sie auf, das Zertifikat der CA "AC RAIZ DNIE" zu installieren., klicken Sie auf “Zertifikat installieren…” und weiterhin die Assistenten.

SmartID OCSP Client-Installation für DNIe,

Dies installieren wir in den Geräten, die den Widerrufsstatus der Zertifikate des elektronischen DNI überprüfen, dann werden wir es auf Active Directory-Ebene mit einer Direktive aktivieren.

Die Installation von SmartID OCSP Client für DNIe erfolgt im Assistentenmodus, wir können es aber auch leise installieren, Am Ende ist ein Neustart erforderlich, wir können ihn jedoch gleichzeitig mit SmartID Corporate installieren 2008 Hauptbestandteil. gut, “folgende”,

… Wir warteten ein paar Sekunden…

Wenn wir eine Lizenz haben, führen wir sie ein, wenn wir es während nicht beweisen können 30 Tage, “vorwärts”,

und “schließen”.

ich sagte:, Dieser Computer müsste neu gestartet werden.

zu ermöglichen,, von einem Domänencontroller, Wir erstellen ein Team-Gruppenrichtlinienobjekt, das in einer Organisationseinheit mit den Computern angewendet wird, auf denen die Software installiert ist. Wir fügen dem Gruppenrichtlinienobjekt die Vorlage hinzu, die die Installation generiert hat “SmartIDDNIeRP.adm”.

Und wir aktivieren die Richtlinie in “Computerkonfiguration” > “administrative Vorlagen” > “SmartAccess” > “Konfiguration des SmartID DNIe-Sperranbieters” > “Konfigurationsparameter”, Wir bringen es auf, Wir konfigurieren den Proxy, falls vorhanden, und das Audit, um ein Protokoll zu generieren.

SmartID Corporate Installation 2008 Verwaltungswerkzeuge,

Es wird das Tool sein, mit dem wir die Zuordnung der DNIe-Zertifizierungsstelle verwalten, ein MMC-Plugin.

Wir beginnen mit der Installation von SmartID Corportate 2008 Verwaltungswerkzeuge, “folgende”,

“schließen”

Konfigurieren der SmartID-Unternehmensanmeldung zur Authentifizierung mit der Active Directory-Benutzer-ID und der DNI,

gut, Damit neue Zertifizierungsstellen in der SmartID-Richtlinienkonsole angezeigt werden, Wir müssen die Anforderungen erfüllen:
– Im Active Directory muss sich jede ausstellende Zertifizierungsstelle eines Drittanbieters im NTAuth-Speicher befinden, um Benutzer beim Active Directory zu authentifizieren.
– Jede Stammzertifizierungsstelle eines Drittanbieters, die im vertrauenswürdigen Stammzertifizierungsstellenspeicher aller Domänenmitglieder verfügbar ist. Die Zwischenzertifizierungsstellen der Zertifizierungskette müssen sich gegebenenfalls ebenfalls in diesem Lager befinden.

Also das erste, was, Wir benötigen die Stammzertifikate der DNIe-Zertifizierungsstelle, Wir können dies leicht erreichen, indem wir sie aus einem DNIe-Zertifikat exportieren oder von der offiziellen Website herunterladen..

dies zu tun, von einer DOS-Konsole auf dem Domänencontroller, den wir ausführen: ‘Certutil.exe -dspublish -f CERTIFICADO_CA NTAuthCA’

Und wir werden die Richtlinie bearbeiten “Standarddomänenrichtlinie” vom Werkzeug “Gruppenrichtlinienverwaltung” Active Directory, Wir importieren das Zertifikat aus “Computerkonfiguration” > “Windows-Einstellungen” > “Sicherheitseinstellungen” > “Richtlinien für öffentliche Schlüssel” > “Vertrauenswürdige Stammzertifizierungsstellen” > “Import…”

Wir starten den Assistenten eines Zertifikats von einer vertrauenswürdigen Stammzertifizierungsstelle, Deshalb haben wir den Assistenten mit dem Zertifikat der CA des DNIE behalten.

Tal, configureos SmartID, für sie, Öffnen Sie eine neue MMC-Konsole und fügen Sie das Plugin hinzu “SmartID-Richtlinie”,

Wir müssen uns gegen die CA des DNIe stellen (der Generaldirektion der Polizei) Eigentum an der Angelegenheit mit ihrer OID, um dann die Zertifikate der DNIe der Benutzer korrekt zu identifizieren. Also von “SmartID-Richtlinien” > “Regeln für die Zuordnung von Zertifikaten” > “neu” > “Neue Assoziationsregel”

in “Zertifizierungsstelle” wählen “AC DAYS 001”, in “Zertifikatsbesitz” wählen “Unternehmen”, wir schreiben das “Attribut OID” das ist “2.5.4.5”, wir ermöglichen es und “akzeptieren”,

Und jetzt gibt es nur noch die Eigenschaften jedes Active Directory-Benutzers, um das DNIe-Zertifikat hinzuzufügen, das wir zuerst exportiert haben, Tab “SmartID-Zuordnungen” von “Aus Datei hinzufügen”.

Wir wählen das Zertifikat des betreffenden Benutzers aus, “offen”,

perfekt, wir akzeptieren.

jetzt, von der Konsole “SmartID-Richtlinien”, klicken Sie auf “Testzertifikat gegen Assoziationsregeln”, um zu überprüfen, ob alles korrekt ist,

Wir wählen eines der DNIe-Zertifikate aus & “akzeptieren”,


OK, gibt uns den richtigen!

Jetzt bleibt nichts anderes zu tun, als es zu versuchen, auf einem Domänencomputer mit einem Smartcard-Leser oder einer SmartCard. Wir stellen den DNIe vor…

Wir führen die PIN ein (Persönliche Identifikationsnummer) o PIN (Persönliche Identifikationsnummer)…

Und wir geben es erneut für die DNIe-Authentifizierungsanwendung ein und sind bereit! es wird uns schon unseren schreibtisch beladen, Profil… (Dies habe ich nicht entfernt, Ich denke es wird normal sein, sowieso sollte die Laborumgebung es sehen) 😉


Letzte Artikel von Hector Herrero (Alle anzeigen)