SITHS inloggning i AD



Relevanta dokument
SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Systemkrav. Åtkomst till Pascal

Kerberos baserad Single Sign On, tillämpningsexempel

Konfigurering av eduroam

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Vägledning för implementering av AD-inloggning med SITHS-kort

Installationsanvisning Boss delad databas

Boss installationsmanual förberedelser

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

Instruktion för användande av Citrix MetaFrame

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Installationsguide, Marvin Midi Server

Microsoft Internet Information Services 7 / 7.5

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Uppdatera Easy Planning till SQL

SITHS-VPN Fjärranslutning

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Modul 3 Föreläsningsinnehåll

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Koppla kortläsaren till datorn. En automatisk installation av kortläsaren sker och det kommer ett meddelande om att ny maskinvara har hittats.

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Koppla kortläsaren till datorn. En automatisk installation av kortläsaren sker och det kommer ett meddelande om att ny maskinvara har hittats.

Del 1: Skapa konto i Exchange

Stark autentisering i kvalitetsregister

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Portalinloggning SITHS HCC och Lösenordsbyte manual

Systemkrav och rekommendationer. Åtkomst till Pascal

Installationsguide fo r CRM-certifikat

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

Stark autentisering i kvalitetsregister

KOMMA IGÅNG MED AREFF MYLOGIN

EyeNet Sweden stark autentisering i kvalitetsregister

Telia Connect för Windows

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Statistiska centralbyrån

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.2

Small Business Server 2011 SSL certifikat administration

Instruktioner för Axxell's Trådlösa Nät

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

Innehåll. Dokumentet gäller från och med version

Installationsanvisningar

JobOffice SQL databas på server

DIG IN TO. Nätverksadministration

Manual inloggning Svevac

Krav på säker autentisering över öppna nät

Att koppla FB till AD-inloggning

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Hur man skapar en Administrativ Image för SolidWorks 2014

2013 Alla rättigheter till materialet reserverade Easec

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Uppdatering av MONITOR Mobile 8.0

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Installationsguide, Marvin Midi Server

Testa ditt SITHS-kort

Innehållsförteckning:

Då Eduroam använder sig av WPA2 (kryptering) krävs att din dator har stöd för detta.

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Installationsguide Junos Pulse för MAC OS X

Region Skåne VDI Citrix Automatisk installation

Ny installation...2. Översikt...2. Filer som behövs...2. Installera SQL Server Express (om det behövs)...3. Skapa en databas i SQL Server...

Installera Tholbox Certifikat i Windows MAC Mozilla Firefox

Statistiska centralbyrån

Installationstjänst. maj 2011

Installation/första start av DEP-ansluten ios-enhet

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

7 Mamut Client Manager

LEX INSTRUKTION LEX LDAP

SITHS Thomas Näsberg Inera

Installationsanvisningar VisiMIX. Ansvarig: Visi System AB Version: 2.2 Datum: Mottagare: Visi MIX kund

Lathund för BankID säkerhetsprogram

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Startanvisning för Bornets Internet

REGION SKÅNE VDI KLIENTINSTALLATION

Datatal Flexi Presentity

Chaos VPN - Installera Cisco AnyConnect Windows 7

ANVÄNDARMANUAL ANSLUTA TILL REGION HALLAND VIA CITRIX

Chaos VPN - Installera Cisco AnyConnect Windows 8

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

iphone app - Users Net2 AN1116-SE Allmänt Starta Appen

Ingenjörsfirman Stéen Windows NT Server Sida 1 av 1

Installationsmanual för OnCourse

Kontaktchip - annat innehåll och nya kortprofiler för integration

Transkript:

SITHS inloggning i AD Inloggning med grafiskt gränssnitt kräver Windows 7 eller Vista Med PassThrough Gina for Windows och NetID version 5.5.0.27 För att logga in i en Windows domän med hjälp av SITHS-kort och certifikat behöver domänen och AD innehållet konfigureras för att hantera certifikat/smartcard inloggningar. HCC specifikation version 2.35 anger de rätta förutsättningarna. Om organisationen matar in data i attributet userprincipalname, så får kommande SITHS certifikat AD-egenskapen smartcardlogon (ligger i attributet enhancedkeyusage ), vilket krävs för AD-inloggning. Förutsättningar: Denna instruktion utgår ifrån att en klient med en fungerande NetID installation och ett aktivt SITHS-kort finns att tillgå. Instruktionen förutsätter också att läsaren är väl förtrogen med Microsoft AD och administrationen av denna. För att kunna autentisera en användare via ett SITHS smartcard måste Active Directory konfigureras för att hantera och lita på SITHS CA, och på certifikat utfärdade av denna CA. En klientinloggning sker därefter med det ID begrepp som HSA definierat. Grundinstallation i AD Som förberedande åtgärder innan SITHS korten kan kopplas till ett användarkonto i AD behöver installationer och konfigurationer av CA-certifikat, servercertifikat och några konfigurationer göras. Dessa beskriv nedan i ordningsföljd. Förutsättningar Domän och servernamnet är bestämt Servern har installerats och konfigurerats med AD-rollen Microsoft CA är installerad och konfigurerad. HSA-katalogens data för användarna är konfigurerade med UPN (Domäninloggning), så att de certifikat som läggs på SITHS kortet skall få rätt fält ifyllda. Se bild nedan från HSA-Admins webgränssnitt. Sid 1/15

Användarnas inloggningsnamn i domänen är eller ändras till HSA-ID (exemplet visar TSE165565594230-0003@siths.inera.se). Vad ska ske SITHS rootcertifikat skall installeras i rätt Cert-store AD konfigureras för att automatiskt distribuera SITHS CA-certifikat till klienternas Trusted Root CA store via en AD Group Policy Domänkontrollanterna skall ha ett SITHS CA certifikat installerat i sitt NTAuth store. Alla domänkontrollanterna som skall hantera klienter skall förses med ett Domain- Controller certifikat för att autentisera smartcard användare. Certifikatens UPN skall stämma med AD domän suffix. Lägga till användare eller modifiera existerande användares inloggninginformation Testa och verifiera inloggning och revokeringskontroller Installera Rootcertifikat För att SITHS kort skall accepteras av domänen behöver SITHS CA-certifikat vara betrott i domänen. Detta kan göras manuellt per maskin, eller för hela domänen via en Grupp-policy (GPO). I denna beskrivning görs detta via en GPO. 1. Plocka fram ett SITHS CA certifikat kodat i Base64 format Sid 2/15

2. Lägg till certifikatet som trusted root i Active Directorys GPO Default Domain Policy Group Policy -> Trusted Root Certification Authorities a. Start -> Administrative Tools -> Group Policy Management b. Expandera domänen & Group Policy Object c. Default Domain Controllers Policy -> Högerklick -> Edit Sid 3/15

d. Expandera Policies -> Windows Settings -> Security Settings -> Public Key Policies e. Högerklick Trusted Root Certification Authority -> Import f. Next. Finish. Sid 4/15

NTAuth CA För att SITHS certifikaten skall kunna användas i domänen måste även SITHS CA-certifikat finnas med i domänens NTAuth store. OBS! Detta måste göras för alla domänkontrollanter i domänen. NTAuth store finns inte automatiskt i en grundinstallerad Windows 2008 server utan måstes skapas. Detta kan göras antingen för hand, eller så skapas det automatiskt som en bieffekt av att rollen Microsoft CA läggs till. 1. Installera Microsoft CA rollen. OBS! Detta måste planeras då de rootcertifikat mm. som skapas inte på något enkelt sätt kan förändras i efterskott. 2. NTAuth store skapas automatiskt när Microsoft CA installeras, och nås enklast via Start -> Run -> PKIview.msc 3. Högerklick Enterprise PKI -> Manage AD Containers. Sid 5/15

4. NTAuthCertificates tab, tryck på Add. 5. Peka ut CA certifikatet och importera (Open). Domänens servercertifikat För att systemet skall hantera en kortbaserad inloggning måste all domänkontrollanter ha egna servercertifikat. 1. Om en Microsoft Enterprise CA finns installerad kan alla DC automatiskt hämtat ett certifikat från denna, och inga extra åtgärder behövs. 2. Om SITHS CA skall användas även för DC servercertifikat: a. Beställ certifikat till de domänkontrollanter som finns i domänen och verifiera att dessa certifikat innehåller rätt extensions (Se ref. 3) b. Installera certifikat på varje DC. (Se Ref 1 för instruktioner) Sid 6/15

Certifikathantering/SmartCard Det data som finns lagrat i användarens certifikat under Subject Alternate Name är det data som kommer att användas som användarens ID (användarnamn) vid inloggning i domänen. Innehållet i AD och på certifikatet måste därför vara lika för att inloggningen skall lyckas. Verifiera därför detta! Ett korrekt utformat UPN skall följa HSA:s rekommendationer för att fungera i en AD-miljö. Format: <HSA-ID>@<AD-domän> Exempel: TSE165565594230-0003@siths.inera.se Detta kan hanteras på olika sätt beroende på om det är en nyinstallation av domänen, eller om certifikatinloggningen är ett tillägg till en redan existerande infrastruktur. Existerande domän I ett AD som inte har samma UPN-suffix som den som finns i användarnas certifikat, måste AD t uppdateras med certifikatsuffixet. Detta görs genom att lägga till ett alternativt UPN suffix i AD:s Domains and Trusts. UPN Ett alternativt UPN suffix läggs till i AD:t genom att 1. Gå in i Active Directory Domains and Trusts 2. Markera översta nivån på trädet, högerklick, properties. Sid 7/15

3. Mata in det alternativa UPN et och acceptera. Skapa användare Gå in i Active Directory Users and Computers, och skapa en användare. Användarens login namn (User logon name) skall vara HSA-ID. Det UPN-suffix som finns i certifikatet skall vara valt i dropdown boxen till höger om User logon name. Under användarens profil kan man även sätta en flagga för att kräva smartcard login för kontot. Sid 8/15

Redan existerande användare Användare som redan finns i katalogen, och som skall uppgraderas till smartcard-användare måste förändras så att villkoren för kortanvändningen uppfylls. Detta kan göras på två olika sätt 1. Skapa en ny användare och flytta över den gamla användarens ägarskap och privilegier till den nya profilen. 2. Byt User logon name till HSA-ID med tillhörande korrekta suffix. Lösning 2 har testats av det pilotprojekt som SLL genomfört, och enligt rapporter från det projektet har inga problem upptäckts vid en sådan förändring. Sid 9/15

Verfiera certifikatet Verifiera att användarens certifikat innehåller Subject Aternate Name fältet i SITHScertifikatet och att det har samma namn-information (SITHS ID) som användaren har i AD t. OBS! Dessa fält måste matcha för att användaren skall kunna logga in. Användaren kan nu logga in med hjälp av sitt smarta kort. Klienthantering/Gruppolicys Automatisk Utloggning eller skärmlåsning För att låsa skärmen eller logga ut användaren automatiskt när kortet dras ur kortläsaren skall följande policy konfigureras: GPO: Policies\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Smart card removal behaviour Möjliga inställningar för denna GPO är: No Action Lock Workstation Force Logoff Sid 10/15

Disconnect if a remote Terminal Services session I detta exempel används Lock Workstation som policy för domänen. Nästa steg är att starta den tjänst som hanterar GPO policyn i klienten: Sid 11/15

Tjänsten Smart Card Removal Policy behöver startas för att systemet skall reagera på att man drar ut kortet. Tjänsten måste startas automatiskt på alla klienter för att utloggnings/låsfunktionen skall fungera som avsett. OBS! Denna tjänst är ny för Windows 7, i tidigare generationers klienter (XP) hanteras detta utan en specifik klienttjänst. Krav på inloggning med smartcard Det finns även ett attribut för att åstadkomma en tvingande inloggning med smartcard, men denna inställning skall man nog vara lite försiktig med då risken att låsa sig själv ute är överhängande, men för en produktionsmiljö med höga säkerhetskrav kan denna inställning vara att rekommendera. För att använda funktionen skall följande policy konfigureras: GPO: Policies\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Require smart card Enabled Disabled Sid 12/15

Autentisering av användare Windowsinloggning Windows 7 För Windows 7 kommer det certifikat som matchar de kriterier som är uppsatta i AD t att presenteras som inloggningsbild. Även vid en fjärrinloggning via remote desktop kan inloggningen hantera smartcards med en lokal kortläsare. Sid 13/15

Windowsinloggning XP För Windows XP kommer inte certifikaten att presenteras på samma intuitiva sätt. XP presenterar ingen lista på de certifikat som finns att tillgå. I det vanligaste fallet med endast ett giltigt certifikat på kortet visas en PIN-kods dialog upp för användaren som där anger sin PIN och blir inloggad. Det är dock besvärligare att använda kort med flera installerade certifikat, då sättet att välja vilket certifikat som skall användas är svårhanterligt. Detta fenomen har NetID/SecMaker utrett, och för närmare instruktioner för multipla certifikat och Windows XP hänvisas till de dokument som Secmaker publicerat. Sid 14/15

Revokeringskontroller Kontrollera att AD och DC verifierar mot SITHS CRL er i HSA För att verifiera att revokeringskontroller görs kan man titta i EventManagern. 1. Öppna Applications and Service Logs -> Microsoft -> Windows -> CAPI2 2. Högerklick på Operational 3. Välj Enable Log 4. Logga in via SmartCard och NetID 5. Högerklick på Operational -> Refresh 6. Dubbelklick på eventid 40 & 41 och välj fliken Details 7. Titta på RevocationStatus. Sid 15/15

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss