none
smart cards

    Dotaz

  •  

    Zdravim,

     

    Rad bych zavedl v cele siti (resp. domene ad) prihlasovani pomoci smart cards, ale neni mi moc jasne z vsemoznych dokumentu, co to vlastne vyzaduje.

    Tedy ctecku karet a smart kartu co se HW tyka.

     

    Co se sw tyka, potrebuju mit certifikacni autoritu. Tady nastava prvni otazka, pri instalaci na win 2003 serveru zvolit jakou autoritu enterprise/standalone?

     

    Samozrejme pro mou potrebu staci pouze jedna. (cca 30 uzivatelu)

     

    Druha vec, lze vydavat certifikaty i jinak nez pres webove rozhrani, tedy abych na server nemusel instalovat iis?

     

    Obslouzi si komunikaci s kartou windows samy nebo je potreba dalsi software a windows server jen vyda certifikat a o samotne jeho ulozeni na kartu se nestara?

     

    Tedy asi nejpalcivejsi otazka, je minimalne vyzadovany software, ktery je potreba, je mi jasne, ze potrebuji certifikacni autoritu a ovladac pro ctecku smart cards. Staci mi to a vse ostatni uz zajisti system sam?

     

    Moc dekuji.

     

    lp

    pondělí 14. července 2008 12:20

Odpovědi

  • Dobrý den,

     

    pokusím se o téměř vyčerpávající odpověď. Pro rozchození přihlašování pomcí čipových karet budete potřebovat:

    1) Nainstalovat vydávající certifikační autoritu, která bude integrována se službami Active Directory, tj. musí běžet na operačním systému Windows 2000 server a novějším, doporučuji member server, ale může to být i řadič domény, jen pozor na to, že po instalaci certifikačních služeb, nebudete moct změnit jméno serveru ani jeho členství v doméně. Pokud nainstaluje certifikační služby na Windows Server 2003 Enterprise Edition nebo Datacenter Edition, můžete konfigurovat další vlastnosti certifikátů, např. dobu platnosti, ale nejsou tyto edice podmínkou pro vlastní fungování přihlašování pomocí čipových karet.

    Instalace vydávajících certifikační služeb musí být Enterprise (Standalone není integrována do AD).

    2) Vydávání certifikátů (resp. správně: podávání žádostí o certifikát) funguje u Enterprise CA přes mmc.exe a snap-in Certificates (je součástí všech stanic a serverů Windows 2000 a novějších). Pokud před instalací CA nainstalujete i web server z IIS, pak je možné použít i webové rozhraní, ale není podmínkou.

    3) Konfigurace.

    3a) Konfigurace CA. Je potřeba dovolit uživatelům žádat podle certifikační šablony "Smartcard Logon" (oprávnění Read a Enroll) - definuje se v konzoli "Certificate Templates" a dále přidat tuto šablonu do seznamu certificate templates, podle kterých je možné žádat o certifikáty certifikační autoritu (definuje se v konzoli Certificate Authority)

    3b) Konfigurace DC. Na každém DC v doméně, kde se budou přihlašovat uživatelé, musíte manuálně spustit řádkový příkaz "gpupdate /force" nebo restartovat příslušný řadič. Důvodem je vydání certifikátu pro KDC, kterým bude podepisovat a šifrovat komunikaci při vydávání TGT, bez tohoto certifikátu vám přihlašování nebude fungovat.

    Ověření můžete provést pomocí "certutil -dcinfo", které vám musí vypsat u každého DC 1 certifikát pro KDC.

    4) Software. Potřebujete nejen čtečku karet a čipovou kartu, ale také SW, který vám zjednodušeně řečeno zpostředkuje komunikaci mezi kartou, čtečkou a aplikací, podporující čipové karty (mmc.exe, msgina.dll apod.). Jedná se zejména o tzv CSP (cryptographic service provider) - záleží na tom jakou kartu máte a od jakého výrobce. A tady už to není tak jednoduché, protože druhů karet je hodně a ne každá karta je "odemčená" pro ukládání dalších dat, např. certifikátů.

    Záleží tedy na tom co máte.

    Jednou z firem, která nabízí SW, čtečky i "otevřené" karty je firma OKsystem, pro kterou BTW. pracuji. :-)) Není jediná, ale určitě patří k těm nejlepším. :-)

     

    jh

     

    pondělí 14. července 2008 15:48