SmartCard-Anmeldungen bei Active Directory

Druckfreundlich, PDF & Email

Hallo an alle! Nach der Winterperiode und der Ruhe, die ich normalerweise nutze, um wieder zu Kräften zu kommen… Wir sind zurück mit vielen Beiträgen in der Pipeline und viel Lust zu kämpfen!!! Heute beginnen wir mit der Verwendung von SmartCard oder Smartcards in unserer Organisation, um Benutzern die Möglichkeit zu geben, sich selbst zu validieren, Gestartet!

In diesem Beitrag werden wir versuchen zu sehen, wie bequem die Verwendung von SmartCards oder Smartcards in unseren Organisationen sein kann, in der Lage zu sein, eine Karte zu verwenden, die es ihnen ermöglicht, sich in den von ihnen benötigten Dienstleistungen zu validieren. In diesem ersten Beitrag sehen wir alles, was Sie im Active Directory benötigen, um diese Zertifikate ausstellen zu können, sowie sich an ihren Arbeitsplätzen oder per Remote-Desktop zu validieren.

Aber ich beabsichtige auch, diese Technologie zu Ihnen zu bringen, Abgesehen davon, dass sie uns eine sicherere Ebene für Authentifizierungen bietet, (Und wir haben die Kontrolle), Nun, es ist etwas Zugängliches. Das ist, dass wir für uns selbst Packungen mit weißen kryptographischen Karten mit einem Kartenleser kaufen können, um die Zertifikate, die wir in unserem Active Directory generieren, einfügen zu können. Wenn Sie Zweifel haben, auf der FNMT können Sie kaufen, was Sie brauchen, oder natürlich auch an anderen Orten.

Und für die "Druckerpresse"’ des Designs, Brunnen, Wie wir uns vorstellen, Sie können online gekauft werden und kommen bereits bedruckt mit unseren Designs an, Oder wir können einen Aufkleber-Belegdrucker kaufen, Qualität, in Farbe, ohne Kartuschen… mit denen wir die Etiketten selbst bedrucken und leicht aufkleben können. Nicht zu werben, aber für den Fall, dass sich jemand anleiten lässt, verwende ich dafür einen Brother VC-500W, der ein Band von 5 cm breit, Ideal für diese Aufgaben. Ich verwende es auch, um die QR-Codes zu drucken, die ich an Kunden sende, die es benötigen, um ihre zu sehen Daten zur Überwachung mit kleineren Bändern.

Brunnen, Gestartet, Teilen wir den Artikel in mehrere Blöcke auf

  1. Erste: Wir beginnen mit dem "Enrollment Agent", Das ist, die in der Lage sein werden, die Zertifikate anzufordern und zu signieren, die wir für unsere Benutzer generieren müssen. Wir definieren eine neue benutzerdefinierte Zertifikatvorlage und verwenden sie dann zum Generieren des Zertifikats. Der Inhaber dieses Zertifikats kann die Zertifikate der Benutzer erstellen. Das Zertifikat kann auf dem Benutzer/Rechner installiert oder dann auch auf eine SmartCard gelegt werden.
  2. Sekunde: Dann erstellen wir eine Zertifikatsvorlage für unsere Organisation, dann werden wir es verwenden, um die Zertifikate zu generieren, die für die SmartCards ausgestellt werden.
  3. Dritte: Anfordern eines Zertifikats im Namen eines anderen Active Directory-Benutzers.
  4. Zimmer: Y lo probamos! Am Ende erstellen wir auch ein GPO, damit der Benutzer die SmartCard extrahiert, Ihr Computer stürzt sofort ab.

Erstellen eines Registrierungs-Agent-Zertifikats,

Was ich gesagt habe, In diesem Abschnitt werden wir sehen, wie wir schließlich ein Zertifikat erhalten, dass wir damit in der Lage sein werden, die Zertifikate zu generieren, die wir von unseren Benutzern benötigen. Der Zertifikatsinhaber wird in der Lage sein, die Zertifikate, die wir in Zukunft benötigen, anzufordern und zu signieren.

 

Öffnen der Zertifikatvorlagenkonsole (certtmpl.msc) und wir haben die Belegschaft verdoppelt “Registrierungs-Agent”,

 

Es werden die Eigenschaften geöffnet, um diese Zertifikatvorlage zu bearbeiten, am “Allgemein” Wir geben den Anzeigenamen der Vorlage an, sowie die Option zur Veröffentlichung der Zertifikate im Active Directory aktivieren. Am “Kompatibilität” Wir werden die höchsten Versionen ermöglichen, indem wir sie an unsere Umgebung anpassen.

 

Am “Bearbeitung der Anfrage” Wir werden die Option "Den Benutzer bei der Registrierung fragen" aktivieren. Am “Kryptographie” Wir wechseln den Lieferanten zu “Legacy-Krypto-Dienstanbieter” und “Microsoft Basis Cryptographic Provider v 1.0”.

 

Und in der “Sicherheit” Wir stellen sicher, dass der Benutzer oder die Gruppe, die wir zum Generieren der Zertifikate zulassen, über die Berechtigungen zum Lesen’ und 'Schreiben'.

 

Über die CA Management Console (certsrv.msc) Wir veröffentlichen die Vorlage, die wir gerade erstellt haben, zu verwenden. Aus Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage.

 

Wählen Sie die Vorlage aus, die wir gerade erstellt haben, und klicken Sie auf “Annehmen”,

 

Nien, Jetzt, da die Zertifikatvorlage vorhanden ist, Das heißt, wird im Active Directory veröffentlicht, Wir können nun das Zertifikat anfordern, das wir für den Zertifikatsagenten benötigen. Um dies zu tun,, Wir öffnen die Zertifikatsverwaltungskonsole des Benutzers (certmgr.msc), und von Persönlich > Alle Aufgaben > Sie beantragen ein neues Zertifikat…

 

“Folgende”,

 

Auswählen “Active Directory-Registrierungsrichtlinie” & “Folgende”,

 

Nun wählen wir aus, aus welcher Vorlage wir das Zertifikat anfordern möchten, Das ist, Welche Art von Zertifikat benötigen wir?, Wir wählen unsere aus & “Folgende”,

 

Fertig! Wir haben bereits das Zertifikat für unseren Benutzer, Wir werden damit in der Lage sein, Zertifikate für unsere Endbenutzer zu erstellen. Wenn wir auf “Details” > “Zertifikat anzeigen” Wir werden in der Lage sein, darauf zuzugreifen und es in PFX zu exportieren und es überall hin mitzunehmen, wo wir es brauchen.

 

Erstellen der Zertifikatvorlage für die Ausstellung auf SmartCards,

Wie wir bereits sagten, Nun ist es notwendig, eine Zertifikatsvorlage in unserem Active Directory zu erstellen, um Zertifikate für unsere SmartCards oder Smartcards auszustellen. Das ist schon der letzte Schritt, bevor wir tun können, was wir wollen, Erstellen von Zertifikaten!

 

Öffnen der Zertifikatvorlagenkonsole (certtmpl.msc) und wir haben die Belegschaft verdoppelt “Smartcard-Benutzer”,

 

Es werden die Eigenschaften geöffnet, um diese Zertifikatvorlage zu bearbeiten, am “Allgemein” Wir geben den Anzeigenamen der Vorlage an, sowie die Option zur Veröffentlichung der Zertifikate im Active Directory aktivieren. Am “Kompatibilität” Wir werden die höchsten Versionen ermöglichen, indem wir sie an unsere Umgebung anpassen.

 

Am “Bearbeitung der Anfrage” Wir werden die Optionen von "Export des privaten Schlüssels zulassen" überprüfen., "Für die automatische Erneuerung von Smart Certificates verwenden Sie den vorhandenen Schlüssel, wenn kein neuer Schlüssel erstellt werden kann.’ und "Fragen Sie den Benutzer bei der Registrierung".

 

Am “Sicherheit”, Hinzufügen “Domain-Benutzer” die über Leseberechtigungen verfügen müssen, Registrieren & Automatisch einschreiben. Am “Anforderungen an die Ausstellung” Wir wählen 1 den Namen der autorisierten Signaturen, Wählen Sie die "Durchsetzungsrichtlinie" aus.’ zum Signieren und als Anwendungsrichtlinie geben wir "Certificate Request Agent" an..

 

Und jetzt zum Schluss, über die CA Management Console (certsrv.msc) Wir werden die Vorlage, die wir gerade erstellt haben, zur Verwendung veröffentlichen. Aus Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage.

 

Wir wählen die Vorlage aus, die wir gerade erstellt haben, und veröffentlichen sie!

 

Erstellen von SmartCard-Zertifikaten im Namen eines anderen Benutzers,

Und am Ende haben wir das, was bereits eine gemeinsame Aufgabe sein kann, was nichts anderes ist, als dass wir Zertifikate für unsere Benutzer erstellen müssen.

 

Nicht schlecht, Wir öffnen unsere Konsole für Benutzerzertifikate (certmgr.msc), und von Persönlich > Atteste > Alle Aufgaben > Erweiterte Operationen > Registrieren Sie sich im Namen von…

 

“Folgende”,

Auswählen “Active Directory-Registrierungsrichtlinie” und “Folgende”,

 

Fragen Sie uns nach dem Zertifikat, um den Zertifikatsantrag zu signieren, Wir müssen es zuvor auf der Maschine installiert haben (oder haben Sie es auf einer SmartCard), Anklicken “Untersuchen”,

 

Wir tragen das Zertifikat ein…

Und weiter geht's mit dem Assistenten, Anklicken “Folgende”,

Wir müssen die Vorlage auswählen, die wir zum Erstellen des Zertifikats verwenden werden, Das ist, Die Art des Zertifikats, Also kreuzen wir unsere an und machen weiter, “Folgende”,

Vom “Untersuchen…” Wir werden in der Lage sein, nach dem Benutzer unseres Active Directory zu suchen, den wir benötigen, an wen wir das Zertifikat generieren werden. Anklicken “Beschriften”,

Und nichts, Wir können weiterhin andere Zertifikate für andere Benutzer anfordern, oder bevor Sie das Zertifikat, das Sie im PFX-Format generiert haben, exportieren und dann in die SmartCard importieren.

 

Zertifikat auf der SmartCard installieren und testen!

Es ist an der Zeit, das vom Active Directory generierte Zertifikat auf der Smartcard oder SmartCard zu speichern.

In meinem speziellen Fall verwende ich den FNMT Certificate Importer, eine Software, mit der Sie Sie können, Und falls jemand Zweifel hat, Ja, Sie können mehr als 1 Zertifikat, Sie können das Zertifikat anderer AD-Benutzer eingeben, als Ihr Benutzer mit Administratorrechten, oder andere, wie z. B. die eines Vertreters eines Unternehmens, die der FNMT natürlich…

Jetzt, auf jedem Windows-Computer 10, Fenster 11 die wir unter Kontrolle haben, Es ist so einfach wie das Einstecken der Smartcard in den Kartenleser und das Eingeben der PIN der Karte, um darauf zuzugreifen. In den Anmeldeoptionen sehen wir das mittlere Symbol, wenn ein gültiges Zertifikat für die Anmeldung erkannt wird, Wenn wir andere Zertifikate hätten, würden mehr Symbole aus diesen herauskommen.

Wir können sie auch verwenden, wenn wir uns über Remote Desktop mit unseren Servern verbinden,

Und eine sehr wichtige Sache, Wenn wir möchten, dass die Karte für den Benutzer gesperrt wird, sobald die Karte aus dem Gerät entfernt wird, Wir können ein GPO erstellen, in dem wir 2 stopfen, (Ich) in den Richtlinien angeben > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Direktiven > Sicherheitsoptionen > Interaktives Login > Wir aktivieren die Richtlinie "Interaktive Anmeldung": Verhalten beim Entfernen von Smartcards”, in diesem Fall die Meldung "Arbeitsplatz sperren", Wir haben andere Optionen wie das Abmelden… Und (Ii) Wir müssen berücksichtigen, dass der Service “Richtlinie zum Entfernen von Smartcards” sollte als 'Automatisch' und 'Gestartet' lauten., also im selben GPO, das wir auf unsere Teams in den Einstellungen anwenden werden > Konfigurieren der Systemsteuerung > Dienste > Wir fügen es hinzu und geben diese Konfigurationen an.

Und damit fertig! Wir werden in der Lage sein, so viele Zertifikate zu generieren, wie wir benötigen, Gravieren Sie sie auf unsere Chipkarten und personalisieren Sie sie sogar und verleihen Sie ihnen einen Corporate Touch! Wie gewöhnlich, Ich hoffe, dass einige Seelen interessiert sein können und es kann gut für sie sein. Es ist eine Möglichkeit, unsere Organisation zu sichern und den passwortlosen Zugriff zu entfernen, Auch keine Token…

Eine Umarmung!

Empfohlene Beiträge

Implementierung von FSSOs zur Integration von Fortigate in Active Directory
Lesen
Implementieren von Windows LAPS
Lesen
VPN mit Citrix NetScaler II - Anfordern des Zugriffs auf Zertifikate
Lesen
VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

JumpServer

17 Oktober 2023

Bemerkenswert 2: Hackt & Eigener Server

30 im Januar 2024