Associar o DNIe a utilizadores do Active Directory e autenticar-nos com SmartCard

Impressão amigável, PDF & E-mail

Neste documento veremos como, com o SmartID, poderemos associar os certificados digitais do DNIe (DNI eletrónico) às contas de utilizador do nosso Active Directory, é ideal para autenticar os nossos colaboradores sem utilizador e palavra-passe, claro que posteriormente poderemos associá-lo ao resto dos serviços de que necessitarmos, se tivermos acesso via web, Citrix… simplesmente precisaríamos de um leitor de cartões em cada equipamento e pronto, poderia inclusive ser usado para colocar um aparelho na porta de entrada do escritório para validar o acesso físico, gestão de tempos… tudo através de autenticação baseada em cartão inteligente ou smart card.

Primeiro, para realizar este documento, precisamos o próximo software da empresa SMARTACCESS, dizer que é software de pago (pero de muy bajo costo):

SmartID Corporate Logon: Permite inicios de sesión con cualquier smartcard con cualquier certificado X509v3 (DNIe por ejemplo). Son estos dos componentes:
+ SmartID Corporate Core Components: Son los componentes base, se devem instalar nos equipos que se vão autenticar (PC's clientes) y en los controladores de dominio.
+ SmartID Corporate Administrative Tools: Herramienta para administrar mediante la MMC de SmartID Policy la configuración de la autenticación mediante DNIe.

SmartID OCSP Client para DNIe: Software que mediante el protocolo OCSP comprueba online el estado de revocación de los certificados del DNIe.

Instalação de SmartID Corporate Core Components,

La instalación de SmartID Corporate 2008 Core Components no tiene nada, mas tendremos em conta que habrá que reiniciar el equipo posteriormente, también podremos instalarlo por línea de comandos (es un MSI). Tendremos que instalarlo en todos los controladores de domínio y en los equipos clientes con los que nos querramos autenticar.

Instalação de los CSP para el DNIe,

Bajamos de la web oficial del DNI electrónico e instalamos los módulos criptográficos en los equipos o CSP en Windows (Cryptographic Service Provider). Podemos instalarlo por línea de comandos o con un duplo clique, tendremos que tener en cuenta que posteriormente habrá que reiniciar el equipo! así que si instalamos por línea de comandos: 'DNIe_v6_0_2.exe /zuX’ (donde X son los segundos para reiniciar el equipo).

Depois de reinicializado, al arrancar, solicitará que nos instalemos el certificado de la CA 'AC RAIZ DNIE', Clique em “Instalar certificado…” e seguimos o mago.

Instalación de SmartID OCSP Client para DNIe,

Este le instalaremos en los equipos que verificarán el estado de revocación de los certificados del DNI electrónico, luego lo habilitaremos a nível de directorio ativo com uma directiva.

La instalación de SmartID OCSP Client para DNIe es modo asistente, pero também podremos instalarlo de forma silenciosa, equiere reiniciar al final pero poderemos instalarlo a la vez que SmartID Corporate 2008 Core Component. Poço, “Seguinte”,

… Aguarde alguns segundos…

Si tenemos licencia la introducimos, se não pudermos testá-lo durante 30 dias, “Avançar”,

E “Fechar”.

O que eu disse, teremos que reiniciar este computador.

Para o habilitar, desde un controlador de domínio, criamos uma GPO de computador que se aplique a uma OU com os computadores que tenham o software instalado. Adicionamos o modelo que a instalação nos gerou à GPO chamada “SmartIDDNIeRP.adm”.

E habilitamos a diretiva em “Configuración de equipo” > “Modelos administrativos” > “SmartAccess” > “SmartID DNIe Revocation Provider Configuration” > “Configuration Parameters”, ativamo-la, configuramos o proxy, se o tivermos, e a auditoria para gerar um log.

Instalação do SmartID Corporate 2008 Ferramentas administrativas,

Será a ferramenta que usaremos para gerir a associação da autoridade de certificação do DNIe, um suplemento MMC.

Começamos a instalação do SmartID Corporate 2008 Ferramentas administrativas, “Seguinte”,

“Fechar”

Configuração do SmartID Corporate Logon para autenticar com DNIe utilizadores do Diretório Ativo,

Nada mau, para que apareçam novas entidades emissoras na consola de políticas do SmartID, temos de cumprir os requisitos:
– O Diretório Ativo deve ter cada CA emissora de terceiros no armazenamento NTAuth para poder autenticar os utilizadores no diretório ativo.
– Cada CA raiz de terceiros disponível no armazenamento da CA raiz de confiança de todos os membros do domínio. Também terão de estar nesse armazenamento as CAs intermédias da cadeia de certificação, se as houver.

Então primeiro, precisamos dos certificados raiz das CAs do DNIe, esto lo podremos conseguir facilmente exportándolos de un certificado del DNIe o descargándolo de la web oficial.

Para fazer isso,, desde una consola de DOS en el controlador de dominio executamos: 'certutil.exe -dspublish -f CERTIFICADO_CA NTAuthCA’

Y editaremos la directiva “Default Domain Policy” a partir da ferramenta “Administración de directivas de grupo” Diretório Ativo, importamos dicho certificado desde “Configuração do computador” > “Configurações do Windows” > “Configurações de Segurança” > “Directivas de claves públicas” > “Entidades emisoras raíz de confianza” > “Importação…”

Comenzamos el asistente de un certificado de una entidades emisoras raíz de confianza, assim que contianiamos el asistente con el certificado de la CA del DNIE.

Okey, configuremos SmartID, por isso, abrimos una consola MMC nueva y agregamos el complemento “SmartID Policy”,

Tenemos que associar contra la CA del DNIe (de Dirección General de la Police) la propiedad del asunto con su OID para luego identificar de forma correcta los certificados del DNIe de los ususarios. Así que desde “Políticas de SmartID” > “Reglas de Asociación de Certificados” > “Novo” > “Nueva Regla de Asociación”

Em “Autoridad de Certificación” Selecionar “AC DNIE 001”, em “Propiedad del Certificado” Selecionar “Assunto”, escribimos el “OID del Atributo” que es “2.5.4.5”, la habilitamos y “Aceitar”,

E agora no queda mais que en las propiedades de cada utilizador del Directorio Activo agregar el certificado del DNIe que habremos exportado primeiro, no “Asociaciones de SmartID” desde “Añadir desde fichero”.

Selecionamos el certificado del usuario en cuestión, “Abrir”,

Perfeito, Aceitar.

Agora, desde la consola de las “Políticas de SmartID”, Clique em “Probar Certificado contra Reglas de Asociación”, para comprobar que todo es correcto,

Selecionamos uno de los certificados DNIe & “Aceitar”,

OKEY, nos da correct!

Ahora no queda más que probarlo, en un equipo en dominio con lector de tarjetas inteligentes o SmartCard. Introducimos el DNIe…

Introducimos el NIP (Número de Identificación Personal) o PIN (Personal Identification Number)…

Y lo volvemos a introducir para la aplicación de autenticación del DNIe y listo! nos carregará ya nuestro escritorio, perfíl… (isso no he conseguido quitarlo, supongo que será normal, de todas formas o ambiente de laboratório era pa'verlo) 😉


Postagens recomendadas

Implementando a LAPS do Windows
Ler
Logins de SmartCard no Active Directory
Ler
VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Implementando FSSOs para integrar o Fortigate com o Active Directory
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Instalando e configurando o WiKID para acessar a Citrix Web Interface com um token (Software!)

15 Junho de 2010

Instalação e configuração do Citrix Installation Manager para XenApp

25 Junho de 2010