DNIe aktiboetako erabiltzaileei lotuz eta SmartCardarekin autentifikatuz

Inprimatzeko Lagunkoa, PDF eta Email

En este documento veremos cómo con SmartID podremos asociar los certificados digitales del DNIe (DNI electrónico) con las cuentas de usuario de nuestro Directorio Activo, es ideal para autenticar a nuestros empleados sin usuario y contraseña, claro que posteriormente podremos asociarlo al resto de servicios que necesitemos, si tenemos acceso vía web, Citrix… simplemente necesitaríamos un lector de tarjetas en cada equipo y listo, incluso se podría utilizar para poner un aparato en la puerta de entrada en la oficina para validar la entrada fisica, gestion de tiempostodo mediante autenticación basada en tarjeta inteligente o smart card.

Lehenik, para realizar este documento, necesitaremos el siguiente software de la compañía SMARTACCESS, decir que es software de pago (pero de muy bajo costo):

SmartID Corporate Logon: Permite inicios de sesión con cualquier smartcard con cualquier certificado X509v3 (DNIe por ejemplo). Son estos dos componentes:
+ SmartID Corporate Core Components: Son los componente base, se deben instalar en los equipos que se van a autenticar (PC’s clientes) y en los controladores de dominio.
+ SmartID Corporate Administrative Tools: Herramienta para administrar mediante la MMC de SmartID Policy la configuración de la autenticación mediante DNIe.

SmartID OCSP Client para DNIe: Software que mediante el protocolo OCSP comprueba online el estado de revocación de los certificados del DNIe.

Instalación de SmartID Corporate Core Components,

La instalación de SmartID Corporate 2008 Core Components no tiene nada, baina kontuan izango dugu geroago behar izango dela ordenagailua berrabiarazi, komando-lerrotik ere instalatu dezakegu (MSI bat da). Domeinu kontrolatzaile guztietan eta autentikatu nahi ditugun bezero ordenagailuetan instalatu beharko dugu.

DNIe-rako CSPen instalazioa,

DNI elektronikoko webgune ofizialetik jaitsiko ditugu eta modu kriptografikoetako moduluak edo CSPak Windowsen instalatuko ditugu (Kriptografia Zerbitzu Hornitzailea). Komando lerrotik edo klik bikoitz batekin instalatu dezakegu, kontuan izan beharko dugu geroago ordenagailua berrabiarazi beharko dela! beraz, komando-lerrotik instalatzen badugu: ‘DNIe_v6_0_2.exe /zuX’ (non X diren ordenagailua berrabiarazteko segundoak).

Una vez reiniciado, abiatzean, CA ‘AC RAIZ DNIE’ ziurtagiria instalatzeko eskatuko digu, sustatu “Ziurtagiria instalatu…” eta laguntzailea jarraitzen dugu.

DNIe-rako SmartID OCSP Client instalazioa,

Hon hau instalatuko dugu DNI elektronikoaren ziurtagiriak baliogabetzeko egoera egiaztatzen duten gailuetan, Ondoren direktorio aktibo mailan gaituko dugu zuzendari-tresna baten bidez.

DNIe-rako SmartID OCSP Client instalazioa laguntzaile moduan dago, Baina baita modu isilean ere instalatu ahal izango dugu, Azkenik berrabiaraztea behar da, baina SmartID Corporate-rekin batera instalatu ahal izango dugu 2008 Core Osagaia. Onena, “Hurrengoa”,

… esperamos unos segundos…

Lizentzia badugu sartzen dugu, Bestela proba dezakegu 30 egunetan, “Jarraitzen”,

Y “Itxi”.

Esan dut, Gailu hau berrabiarazi beharko litzateke.

Gaitzeko, desde un controlador de dominio, creamos una GPO de equipo que se aplique en una OU con los equipos que tengan el software instalado. Agregamos la plantilla que nos generó la instalación a la GPO llamada “SmartIDDNIeRP.adm”.

Y habilitamos la directiva en “Configuración de equipo” > “Plantillas administrativas” > “SmartAccess” > “SmartID DNIe Revocation Provider Configuration” > “Configuration Parameters”, la habilitamos, configuramos el proxy si es que tenemos y la auditoria para generar un log.

Instalación de SmartID Corporate 2008 Administrative Tools,

Será la herramienta que usemos para gestionar la asociación de la autoridad de certificación del DNIe, un complemento MMC.

Comenzamos la instalación de SmartID Corportate 2008 Administrative Tools, “Hurrengoa”,

“Itxi”

Configuración de SmartID Corporate Logon para autenticar con DNIe usuarios del Directorio Activo,

Ondo, para que aparezcan nuevas entidades emisoras en la consola de políticas de SmartID, tenemos que cumplir los requisitos:
– El Directorio Activo debe tener cada CA emisora de terceros en el almacén NTAuth para poder autenticar a los usuarios en el directorio activo.
– Cada CA raíz de terceros disponible en el almacén de la CA raíz de confianza de todos los miembros del dominio. También tendrán que estar en dicho almacén las CAs intermedias de la cadena de certificación si las hubiera.

Así que lo primero, necesitamos los certificados raiz de las CA del DNIe, esto lo podremos conseguir fácilmente exportándolos de un certificado del DNIe o descargándolo de la web oficial.

Para ello, desde una consola de DOS en el controlador de dominio ejecutamos: ‘certutil.exe -dspublish -f CERTIFICADO_CA NTAuthCA

Y editaremos la directivaDefault Domain Policy” desde la herramienta “Taldeen politikak kudeatzea” Aktiboaren Directoriotik, importamos dicho certificado desde “Configuración del equipo” > “Configuración de Windows” > “Configuración de seguridad” > “Directivas de claves públicas” > “Entidades emisoras raíz de confianza” > “Inportatu…”

Comenzamos el asistente de un certificado de una entidades emisoras raíz de confianza, así que contianiamos el asistente con el certificado de la CA del DNIE.

Vale, configuremos SmartID, horretarako, abrimos una consola MMC nueva y agregamos el complementoSmartID Policy”,

Tenemos que asociar contra la CA del DNIe (de Dirección General de la Policia) la propiedad del asunto con su OID para luego identificar de forma correcta los certificados del DNIe de los ususarios. Así que desde “Políticas de SmartID” > “Reglas de Asociación de Certificados” > “Berria” > “Nueva Regla de Asociación”

In “Autoridad de Certificación” seleccionamos “AC DNIE 001”, en “Propiedad del Certificado” seleccionamos “Asunto”, escribimos el “OID del Atributo” zer den “2.5.4.5”, la habilitamos y “Onartu”,

Y ahora no queda más que en las propiedades de cada usuario del Directorio Activo agregar el certificado del DNIe que habremos exportado primero, fitxan “Asociaciones de SmartID” etik “Añadir desde fichero”.

Seleccionamos el certificado del usuario en cuestión, “Abrir”,

Perfecta, onartu.

orain, desde la consola de las “Políticas de SmartID”, sustatu “Probar Certificado contra Reglas de Asociación”, para comprobar que todo es correcto,

Seleccionamos uno de los certificados DNIe & “Onartu”,

OK, nos da correcto!

Ahora no queda más que probarlo, en un equipo en dominio con lector de tarjetas inteligentes o SmartCard. Introducimos el DNIe…

Introducimos el NIP (Número de Identificación Personal) o PIN (Personal Identification Number)…

Y lo volvemos a introducir para la aplicación de autenticación del DNIe y listo! nos cargará ya nuestro escritorio, perfíl… (esto no he conseguido quitarlo, supongo que será normal, de todas formas el entorno de laboratorio era pa'verlo) 😉


Izenburuko mezuak

SmartCardekin saio hasierak Zuzendaritza Aktiboan
Irakurri
VPN Citrix NetScaler III-rekin - Ziurtagiriekin autentifikazioa
Irakurri
Windows LAPS aplikatzen
Irakurri
FSSO implementatzea Fortigate Active Directory-ra integratzeko
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

WiKID instalatu eta konfiguratzen Citrix Web Interface-ra tokenarekin sartzeko (software-tik!)

15 Ekainaren 2010

Instalación y configuración de Citrix Installation Manager para XenApp

25 Ekainaren 2010