Systemkrav och rekommendationer Åtkomst till Pascal
Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar... 7 5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort)... 8 6. Pdf-läsare... 8 7. CA och Rotcertifikat (Gäller enbart för SITHS-kort)... 8 8. Tunna klienter (Gäller enbart för tunna klienter)... 9 9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort)... 10 Revisionshistorik Version Författare Kommentar 1.0 Jan Ahlén Dokument godkänt för distribution 1.1 Jan Ahlén Uppdaterad matris för systemkrav/rekommendationer, Nya brandväggsöppningar, rekommenderad inställning i webbläsaren, anpassa säkerhetsnivån i webbläsaren, rekommendation på pdfläsare. 1.2 Jan Ahlén Nytt namn på dokumentet Systemkrav och rekommendationer för åtkomst till Pascal, version på pdf-läsare, förtydligande gällande brandväggar, förtydligande gällande Net id, IP för revokeringsadresser, förtydligande gällande anpassning av säkerhetsnivån i webbläsaren. Sid 2/10
SYSTEMKRAV OCH REKOMMENDATIONER FÖR ÅTKOMST TILL PASCAL 1. Inledning Vid inloggning till Pascal används SITHS-kort alternativt mobil och SMS-tjänst för att unikt identifiera användaren. Behörighetskontroll och rättighetstilldelning sker med data från HSA katalogen och Säkerhetstjänsterna (BIF). Verksamheter som ska använda Pascal måste därför se över systemkrav och rekommendationer, ett antal definitioner och implementeringen av desamma. 2. Operativsystem, webbläsare och Net id För att säkerställa att Pascals säkerhetslösning fungera på ett korrekt sätt, bl. a så att inoch utloggning fungerar, och att din webbläsare stängs när SITHS-kortet tas ur kortläsaren behövs följande systemkrav beaktas. Följande kombinationer (X) av operativsystem, webbläsare och Net id stöds och supportas av Inera och Secmaker. Javascript och Cookies ska vara påslaget (enable) i webbläsarna nedan. Om man enbart använder inloggning via SMS-tjänsten behöver man bara beakta kraven på operativsystem och webbläsare nedan. Operativsystem och webbläsare Windows XP (SP3) Net id 5.3 5.5 5.6.1 IE 7 X X X IE 8 X X X Firefox 3.6.24 ESK X X Windows 7 (SP1) 32-bit IE 8 X X X IE 9 ESK ESK X Firefox 3.6.24 ESK X X Windows 7 (SP1) 64-bit IE 8 (32 bit) X X X IE 9 (32 bit) ESK ESK X ESK = Ej Supportad Kombination Andra kombinationer än ovan kan fungera men stöds och supporteras inte av Inera och Secmaker. Om man har en annan kombination så ska man testa så att nedstängning av sessionen sker på ett korrekt sätt när SITHS-kortet rycks ur kortläsaren. Om så inte sker ska man uppdatera sin konfiguration enligt matrisen ovan. Sid 3/10
Vi rekommenderar att man markerar i webbläsarens inställningar att vid inloggning visa certifikat endast då fler än ett certifikat finns på SITHS-kortet. Detta sker enligt följande: Internet Explorer Välj Internetalternativ fliken säkerhet - Klicka på knappen Anpassad nivå. Markera Aktivera under rubriken Fråga inte efter val av klientcertifikat när det bara finns ett certifikat Sid 4/10
Firefox Välj Verktyg Inställningar fliken kryptering Certifikat. Markera Välj ett automatiskt under rubriken När en server efterfrågar mitt personliga certifikat. Anpassa säkerhetsnivån i webbläsaren För att SITHS-korthantering och SingleSignOn ska fungera som tänkt, ska aktuella domäner/siter som säker inloggning sker mot finnas inlagda som "Tillförlitliga platser i Internet Explorer. Säkerhetsnivån skall vara mellan. Man kan ändra säkerhetsnivån, men inte parametrarna Active scripting och File download som måste vara satta till enable. Lägg till följande domäner under fliken Säkerhet (Security) i Internet Explorer: https://*.inera.se https://*.sjunet.org Sid 5/10
3. Net id (Gäller enbart för SITHS-kort) Vi stödjer enbart att ni har Net id installerad som CSP-programvara (programvara för att läsa SITHS-kort). Om man har fler än en CSP-programvara installerad på datorn, t ex Nexus, kan i vissa fall Nexus ta över som kortläsare istället för Net id, vilket inte är önskvärt. Vi stödjer Net id version enligt matris ovan. Om organisationen har en direktanslutning till SITHS (har avtal med Inera) så finns det på SITHS projektplats installationspaket att ladda ner som innehåller rätt inställningar i Net id (enbart RA-organisationen, Registration Authority har tillgång till detta). Är man ansluten till SITHS via en annan organisation (tredjepartanslutning), så kan denna organisation tillhandahålla installationspaket för Net id. I vissa fall kan man ha gjort lokala anpassningar av Net id. Den information som behöver finnas i Net id:s konfigurationsfil (iid.cfg) under program/net id för att nedstängning av webbläsaren ska fungera är: [NetControl] Applications=iexplore.exe;firefox.exe; iidxweb.exe Ask=0 Enable=1 Sid 6/10
Det kan finnas andra sätt att få nedstängning av webbläsaren att fungera än som beskrivits ovan, men då får man själv genomföra tester så att nedstängning av sessionen sker på ett korrekt sätt när SITHS-kortet rycks ur kortläsaren. Om man har problem med att få webbläsaren att stängas när man rycker ur SITHS-kortet ur kortläsaren finns mer information och åtgärder på Secmakers servicesida. 4. Brandväggar För att komma åt Pascal krävs att följande brandväggar är öppna: Sjunet IP-adress Url Port 213.189.100.195 http://www.eordinationpascal.sjunet.org/ 80 213.189.100.195 https://www.eordinationpascal.sjunet.org/ 443 213.189.100.194 https://siths.eordinationspascal.sjunet.org 443 81.89.145.244 https://cluster.bif.sjunet.org 8443, 8444 Internet IP-adress Url Port 194.103.118.11 http://www.eordinationpascal.se 80 194.103.118.11 https://www.eordinationpascal.se 443 194.103.118.13 https://siths.eordinationpascal.se 443 194.103.118.14 https:/sms.eordinationpascal.se 443 78.41.244.29 https://sakerhetstjanst.inera.se 8443, 8444 OBS! kontrollera att adressen ovan inte spärras i någon generell produkt för internetfiltrering (typ Bluecoat). Dessutom behövs följande revokeringsadresser vara öppna: Sjunet URL=ldap://sithscrl.carelink.sjunet.org/cn=SITHS%20CA%20ver%203,o=SITHS%20CA,c= SE?certificateRevocationList;binary? (IP: 82.136.149.44) och URL=http://sithsocsp.trust.telia.com (IP: 82.136.160.42 respektive 194.237.208.174) Internet URL=http://www.carelink.se/siths-ca/ca003.crl (IP: 217.16.192.80) Brandväggar måste också öppnas för att HSA- och SITHS-organisationen ska komma åt HSA Admin och SITHS Admin. Detta görs av nätverkstekniker i samband med tjänsternas införande. Sid 7/10
5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort) Vissa kortläsare med dess drivrutin kan ibland inte registrera att SITHS-kortet har ryckts ur kortläsaren. Det innebär att Net id inte upptäcker att något har hänt och följaktligen inte stänger ner sessionen. Vi rekommenderar därför att ni utgår från Cygates kortläsarbroschyr, som innehåller kortläsare som fungerar bra. Det är också viktigt att man använder den senaste drivrutinsversionen från tillverkaren. Använd inte Microsofts generiska drivrutin från 2006. Andra läsare kan också fungera bra men var noga med dess drivrutiner. I båda dessa fall så bör man testa så att kortläsaren och dess drivrutin fungerar korrekt, se stycket om funktionstest av SITHS-kort och dess kortläsare nedan. 6. Pdf-läsare Utskrift av dos-receptet i Pascal fungerar med Adobe Reader version 9 och 10. Tidigare versioner kan fungera men stöds inte av Inera och Apotekens Service. Om man har en tidigare version än Adobe Reader 9 får man själv testa och validera att utskrift av dosreceptet sker på ett korrekt sätt. 7. CA och Rotcertifikat (Gäller enbart för SITHS-kort) SITHS Rotcertifikat är vitlistat hos Microsoft Internet Explorer, vilket innebär att en användare slipper få upp varningsmeddelande vid anslutning till en webbsida identifierad med ett vitlistat certifikat. Om man trots detta får upp följande varningsmeddelande Ett problem har uppstått vid den här webbplatsens säkerhetscertifikat vid anslutning till Pascal så behöver ansvarig för klientinstallationen aktivt välja att lita på CA, vilket görs enligt följande: Rotcertifikat finns på Ineras hemsida under Infrastrukturtjänst SITHS under rubriken 10. Rotcerifikat. Välj aktuellt rotcertifikat, SITHS CA v3.cer, och klicka på installera certifikat. Sid 8/10
Se till att rotcertifikatet installeras under Betrodda rotcertifikatutfärdare (Trusted Root Certification Authorities) under aktuell webbläsare. Klicka därefter på Nästa (Next) och sedan på Slutför (Finish). 8. Tunna klienter (Gäller enbart för tunna klienter) För information och frågor gällande tunna klienter gäller följande rekommendationer: 1. Kontrollera om supportavtal finns med leverantören/tillverkaren av plattformen. 2. Kontrollera om det finns eget avtal med Secmaker avseende Net id. Om supportavtal finns enligt ovan, så vänd er i första hand till dessa för information och support. 3. Om man inte har några supportavtal eller får hjälp enligt ovan kan man via mail, vända sig till Ineras kundservice, kundservice@inera.se, för hjälp och vidare rådgivning. Sid 9/10
9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort) Funktionstest av SITHS-kort och dess kortläsare kan ske på följande sätt: 1. Anslut kortläsare till datorn och sätt i SITHS-kortet i kortläsaren. 2. Leta upp Net id genom att klicka på Start och därefter Alla Program. Klicka på Net id-mappen och därefter på Administration eller Högerklicka på Net id-ikonen och därefter på Administration om den finns på datorns skrivbord. Då visas ett Net id-fönster där alla certifikat som finns på SITHS-kortet visas. 3. Ryck ur SITHS-kortet ur kortläsaren. Då ska alla certifikat som finns på SITHS-kortet försvinna från Net id-fönstret. Om så inte sker så är det fel på kortläsaren och/eller dess drivrutin. 4. Testa ditt SITHS-kort, certifikat och pinkoder på Ineras testsida. Sid 10/10