Associazione del DNIe agli utenti di Active Directory e autenticazione con SmartCard

Compatibile con la stampa, PDF & Email

In questo documento vedremo come possiamo associare i certificati digitali del DNIe a SmartID (Carta d'identità elettronica) con gli account utente nella nostra Active Directory, È ideale per autenticare i nostri dipendenti senza nome utente e password, Naturalmente, possiamo in seguito associarlo al resto dei servizi di cui abbiamo bisogno, se abbiamo accesso via web, Citrix… avremmo solo bisogno di un lettore di schede su ogni pezzo di attrezzatura e sei a posto, Potrebbe anche essere utilizzato per mettere un dispositivo alla porta d'ingresso dell'ufficio per convalidare l'ingresso fisico, Gestione del tempo… il tutto tramite autenticazione basata su smart card.

Primo, per rendere questo documento, Avremo bisogno del seguente software aziendale ACCESSO INTELLIGENTE, Diciamo che si tratta di un software a pagamento (ma a bassissimo costo):

Accesso aziendale SmartID: Consente l'accesso con qualsiasi smartcard con qualsiasi certificato X509v3 (DNIe per esempio). Si tratta di due componenti:
+ Componenti principali aziendali SmartID: Questi sono i componenti di base, deve essere installato sui computer da autenticare (Clienti PC) e nei controller di dominio.
+ Strumenti amministrativi aziendali SmartID: Strumento per gestire le impostazioni di autenticazione DNIe utilizzando il criterio SmartID MMC.

Client OCSP SmartID per DNIe: Software che utilizza il protocollo OCSP per verificare online lo stato della revoca dei certificati DNIe.

Installazione dei componenti principali aziendali di SmartID,

Installazione di SmartID Corporate 2008 Core Components non ha nulla, Ma terremo conto del fatto che l'apparecchiatura dovrà essere riavviata in un secondo momento, Possiamo anche installarlo da riga di comando (È un MSI). Dovremo installarlo su tutti i controller di dominio e i computer client con cui vogliamo autenticarci.

Installazione di CSP per il DNIe,

Scarica dal sito ufficiale del DNI elettronico e installa i moduli crittografici sui computer o CSP su Windows (Fornitore di servizi di crittografia). Possiamo installarlo da riga di comando o con un doppio clic, Dovremo tenere conto del fatto che in seguito dovremo riavviare il computer! Quindi, se installiamo da riga di comando: 'DNIe_v6_0_2.exe /zuX’ (dove X sono i secondi per riavviare il computer).

Una volta riavviato, All'avvio, richiederà l'installazione del certificato CA 'AC root dnie', Clicca su “Installa certificato…” e seguiamo la procedura guidata.

Installazione del client OCSP SmartID per DNIe,

Lo installeremo nell'apparecchiatura che verificherà lo stato di revoca dei certificati DNI elettronici, Quindi lo abiliteremo a livello di Active Directory con un.

L'installazione del client OCSP SmartID per DNIe è in modalità guidata, ma possiamo anche installarlo silenziosamente, Richiede un riavvio alla fine, ma possiamo installarlo contemporaneamente a SmartID Corporate 2008 Componente principale. Bene, “Seguente”,

… Attendi qualche secondo…

Se abbiamo una licenza, la inseriamo, Se non possiamo testarlo per 30 Giorni, “Continua”,

E “Chiudere”.

Cosa ho detto, Questa apparecchiatura dovrebbe essere riavviata.

Per abilitarlo, da un controller di dominio, Viene creato un oggetto Criteri di gruppo di gruppo che viene applicato in un'unità organizzativa con i computer in cui è installato il software. Aggiungiamo il modello che ha generato l'installazione all'oggetto Criteri di gruppo chiamato “SmartIDDNIeRP.adm”.

E abilitiamo la politica in “Configurazione del team” > “Modelli amministrativi” > “Accesso intelligente” > “Configurazione del provider di revoca DNIe SmartID” > “Parametri di configurazione”, Noi lo abilitiamo, Configuriamo il proxy se abbiamo e l'audit per generare un log.

Installazione di SmartID Corporate 2008 Strumenti di amministrazione,

Sarà lo strumento che utilizzeremo per gestire l'associazione dell'autorità di certificazione DNIe, un componente aggiuntivo MMC.

Iniziamo l'installazione di SmartID Corportate 2008 Strumenti di amministrazione, “Seguente”,

“Chiudere”

Configurazione dell'accesso aziendale SmartID per l'autenticazione con le tessere identificative degli utenti di Active Directory,

Non male, per visualizzare i nuovi emittenti nella console dei criteri SmartID, Dobbiamo soddisfare i requisiti:
– Per autenticare gli utenti in Active Directory, è necessario che ogni CA emittente di terze parti sia presente nell'archivio NTAuth.
– Ogni CA radice di terze parti è disponibile nell'archivio CA radice attendibile di tutti i membri del dominio. In detto magazzino devono essere presenti anche le CA intermedie della catena di certificazione, se presenti.

Quindi la prima cosa, abbiamo bisogno dei certificati radice delle CA DNIe, possiamo facilmente raggiungere questo obiettivo esportandoli da un certificato DNIe o scaricandolo dal sito ufficiale.

Per fare ciò,, da una console DOS sul controller di dominio che eseguiamo: 'certutil.exe -dspublish -f CERTIFICADO_CA NTAuthCA’

E modificheremo la direttiva “Criteri di dominio predefiniti” dallo strumento “Gestione Criteri di gruppo” Rubrica attiva, Importiamo questo certificato da “Configurazione dell'attrezzatura” > “Impostazioni di Windows” > “Impostazioni di sicurezza” > “Criteri di chiave pubblica” > “Emittenti radice attendibili” > “Importazione…”

Avviamo la procedura guidata di un certificato da un'autorità root fidata, quindi abbiamo continuato la procedura guidata con il certificato DNIE CA.

Ok, Impostiamo SmartID, per questo, apriamo una nuova console MMC e aggiungiamo il plugin “Criteri SmartID”,

Dobbiamo associarci contro la CA del DNIe (della Direzione Generale della Polizia) la proprietà della materia con il relativo OID per poi identificare correttamente i certificati del DNIe degli utenti. Così da “Criteri SmartID” > “Regole di associazione dei certificati” > “Nuovo” > “Nuova regola di partnership”

In “Autorità di certificazione” Selezionare “AC DNIE 001”, in “Proprietà del certificato” Selezionare “Affare”, Abbiamo scritto il “Attributo OID” Cos'è “2.5.4.5”, lo abilitiamo e “Accettare”,

E ora non resta che nelle proprietà di ogni utente di Active Directory aggiungere il certificato DNIe che avremo esportato per primo, sul “Associazioni SmartID” poiché “Aggiungi da file”.

Selezioniamo il certificato dell'utente in questione, “Aperto”,

Perfetto, Accettare.

Ora, dal “Criteri SmartID”, Clicca su “Certificato di prova rispetto alle regole di partnership”, per verificare che tutto sia corretto,

Selezioniamo uno dei certificati DNIe & “Accettare”,

OK, Ci dà il diritto!

Ora non resta che provarlo, in un computer di dominio con un lettore di smart card o una SmartCard. Entriamo nel DNIe…

Introduciamo il PIN (Numero di identificazione personale) o PIN (Numero di identificazione personale)…

E lo reintroduciamo per l'applicazione di autenticazione DNIe e il gioco è fatto! caricherà la nostra scrivania, Profilo… (Non sono riuscito a rimuovere questo, Immagino che sia normale, In ogni caso, l'ambiente del laboratorio era quello di vederlo) 😉


Post consigliati

Implementazione di Windows LAPS
Leggere
Implementazione di FSSO per integrare Fortigate con Active Directory
Leggere
Accessi con SmartCard ad Active Directory
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Installazione e configurazione di WiKID per accedere all'interfaccia Web Citrix con un token (Software!)

15 Giugno de 2010

Installazione e configurazione di Citrix Installation Manager per XenApp

25 Giugno de 2010