Systemkrav Åtkomst till Pascal
Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar (Gäller enbart för SITHS-kort)... 7 5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort)... 7 6. Pdf-läsare... 8 7. CA och Rotcertifikat (Gäller enbart för SITHS-kort)... 8 8. Tunna klienter (Gäller enbart för tunna klienter)... 9 9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort)... 10 Revisionshistorik Version Författare Kommentar 0.1 Jan Ahlén Utkast 1.0 Jan Ahlén Dokument godkänt för distribution 1.1 Jan Ahlén Uppdaterad matris för systemkrav, IP-adress för kluster BIF, rekommenderad inställning i webbläsaren, anpassa säkerhetsnivån i webbläsaren, krav på pdf-läsare. Sid 2/10
SYSTEMKRAV FÖR ÅTKOMST TILL PASCAL 1. Inledning Vid inloggning till Pascal används SITHS-kort alternativt mobil och SMS-tjänst för att unikt identifiera användaren. Behörighetskontroll och rättighetstilldelning sker med data från HSA katalogen och Säkerhetstjänsterna (BIF). Verksamheter som ska utnyttja Pascal måste därför se över systemkrav, ett antal definitioner och implementeringen av desamma. 2. Operativsystem, webbläsare och Net id För att säkerställa att Pascals säkerhetslösning fungera på ett korrekt sätt, bl. a så att inoch utloggning fungerar, och att din webbläsare stängs när SITHS-kortet tas ur kortläsaren behövs följande systemkrav beaktas. Följande kombinationer (X) av operativsystem, webbläsare och Net id stöds och supportas av Inera och Secmaker. Javascript och Cookies ska vara påslaget (enable) i webbläsarna nedan. Om man enbart använder inloggning via SMS-tjänsten behöver man bara beakta kraven på operativsystem och webbläsare nedan. Operativsystem och Net id webbläsare 5.3 5.5 5.6.1 Windows XP (SP3) IE 7 X X X IE 8 X X X Firefox 3.6.24 ESK X X Windows 7 (SP1) 32-bit IE 8 X X X IE 9 ESK ESK X Firefox 3.6.24 ESK X X Windows 7 (SP1) 64-bit IE 8 (32 bit) X X X IE 9 (32 bit) ESK ESK X ESK = Ej Supportat Kombination Andra kombinationer än ovan kan fungera men stöds och supporteras inte av Inera och Secmaker. Om man har en annan kombination så ska man testa så att nedstängning av sessionen sker på ett korrekt sätt när SITHS-kortet rycks ur kortläsaren. Om så inte sker ska man uppdatera sin konfiguration enligt matrisen ovan. Sid 3/10
Vi rekommenderar att man markerar i webbläsarens inställningar att vid inloggning visa certifikat endast då fler än ett certifikat finns på SITHS-kortet. Detta sker enligt följande: Internet Explorer Välj Internetalternativ fliken säkerhet - Klicka på knappen Anpassad nivå. Markera Aktivera under rubriken Fråga inte efter val av klientcertifikat när det bara finns ett certifikat Sid 4/10
Firefox Välj Verktyg Inställningar fliken kryptering Certifikat. Markera Välj ett automatiskt under rubriken När en server efterfrågar mitt personliga certifikat. Anpassa säkerhetsnivån i webbläsaren För att SITHS-korthantering och SingleSignOn ska fungera som tänkt, ska aktuella domäner/siter som säker inloggning sker mot finnas inlagda som "Tillförlitliga platser i Internet Explorer. Säkerhetsnivån skall vara mellan. Lägg till följande domäner under fliken Säkerhet (Security) i Internet Explorer: https://*.inera.se https://*.sjunet.org Sid 5/10
3. Net id (Gäller enbart för SITHS-kort) Vi stödjer enbart att ni har Net id installerad som CSP-programvara (programvara för att läsa SITHS-kort). Om man har fler än en CSP-programvara installerad på datorn, t ex Nexus, kan i vissa fall Nexus ta över som kortläsare istället för Net id, vilket inte är önskvärt. Använd Net id version enligt matris ovan. Vi rekommenderar dock att man använder senaste version av Net id, f.n. version 5.6.1. Om organisationen har en direktanslutning till SITHS (har avtal med Inera) så finns det på SITHS projektplats installationspaket att ladda ner som innehåller rätt inställningar i Net id (enbart RA-organisationen, Registration Authority har tillgång till detta ). I vissa fall kan man ha gjort lokala anpassningar av Net id. Den information som behöver finnas i Net id:s konfigurationsfil (iid.cfg) under program/net id för att nedstängning av webbläsaren ska fungera är: [NetControl] Applications=iexplore.exe;firefox.exe; iidxweb.exe Ask=0 Enable=1 Om man har problem med att få webbläsaren att stängas när man rycker ur SITHS-kortet ur kortläsaren finns mer information och åtgärder på Secmakers servicesida. Sid 6/10
4. Brandväggar För att komma åt Pascal via Sjunet och Internet krävs att följande brandväggar är öppna: IP-adress Url Port 81.89.145.244 https://cluster.bif.sjunet.org 8443, 8444 213.189.100.194 https://siths.eordinationspascal.sjunet.org 443 213.189.100.195 http://www.eordinationpascal.sjunet.org/ 80 194.103.118.11 https://www.eordinationpascal.se 443 194.103.118.13 https://siths.eordinationpascal.se 443 194.103.118.14 https:/sms.eordinationpascal.se 443 78.41.244.29 https://sakerhetstjanst.inera.se 8443, 8444 OBS! kontrollera att adressen ovan inte spärras i någon generell produkt för internetfiltrering (typ Bluecoat). Dessutom behövs följande revokeringsadresser vara öppna: Sjunet URL=ldap://sithscrl.carelink.sjunet.org/cn=SITHS%20CA%20ver%203,o=SITHS%20CA,c= SE?certificateRevocationList;binary? och URL=http://sithsocsp.trust.telia.com Internet URL=http://www.carelink.se/siths-ca/ca003.crl Brandväggar måste också öppnas för att HSA- och SITHS-organisationen ska komma åt HSA Admin och SITHS Admin. Detta görs av nätverkstekniker i samband med tjänsternas införande. 5. Kortläsare och drivrutin (Gäller enbart för SITHS-kort) Vissa kortläsare med dess drivrutin kan ibland inte registrera att SITHS-kortet har ryckts ur kortläsaren. Det innebär att Net id inte upptäcker att något har hänt och följaktligen inte stänger ner sessionen. Vi rekommenderar därför att ni utgår från Cygates kortläsarbroschyr, som innehåller kortläsare som fungerar bra. Det är också viktigt att man använder den senaste drivrutinsversionen från tillverkaren. Använd inte Microsofts generiska drivrutin från 2006. Andra läsare kan också fungera bra men var noga med dess drivrutiner. I båda dessa fall så bör man testa så att kortläsaren och dess drivrutin fungerar korrekt, se stycket om funktionstest av SITHS-kort och dess kortläsare nedan. Sid 7/10
6. Pdf-läsare För att kunna skriva ut dos-receptet i Pascal så rekommenderar vi f.n. att Adobe Reader version 10.1.0 är installerad på datorn. Utredning pågår på Apotekens Service då de har stött på flera olika problem med Adobe 9 vid visning av pdf-filer. Utredning av dessa fel pågår. 7. CA och Rotcertifikat (Gäller enbart för SITHS-kort) SITHS Rotcertifikat är vitlistat hos Microsoft Internet Explorer, vilket innebär att en användare slipper få upp varningsmeddelande vid anslutning till en webbsida identifierad med ett vitlistat certifikat. Om man trots detta får upp följande varningsmeddelande Ett problem har uppstått vid den här webbplatsens säkerhetscertifikat vid anslutning till Pascal så behöver ansvarig för klientinstallationen aktivt välja att lita på CA, vilket görs enligt följande: Rotcertifikat finns på Ineras hemsida under Infrastrukturtjänst SITHS under rubriken 10. Rotcerifikat. Välj aktuellt rotcertifikat, SITHS CA v3.cer, och klicka på installera certifikat. Se till att rotcertifikatet installeras under Betrodda rotcertifikatutfärdare (Trusted Root Certification Authorities) under aktuell webbläsare. Sid 8/10
Klicka därefter på Nästa (Next) och sedan på Slutför (Finish). 8. Tunna klienter (Gäller enbart för tunna klienter) För information och frågor gällande tunna klienter gäller följande rekommendationer: 1. Kontrollera om supportavtal finns med leverantören/tillverkaren av plattformen. 2. Kontrollera om det finns eget avtal med Secmaker avseende Net id. Om supportavtal finns enligt ovan, så vänd er i första hand till dessa för information och support. 3. Om man inte har några supportavtal eller får hjälp enligt ovan kan man via mail, vända sig till Ineras kundservice, kundservice@inera.se, för hjälp och vidare rådgivning. Sid 9/10
9. Funktionstest av SITHS och kortläsare (Gäller enbart för SITHS-kort) Funktionstest av SITHS-kort och dess kortläsare kan ske på följande sätt: 1. Anslut kortläsare till datorn och sätt i SITHS-kortet i kortläsaren. 2. Leta upp Net id genom att klicka på Start och därefter Alla Program. Klicka på Net id-mappen och därefter på Administration eller Högerklicka på Net id-ikonen och därefter på Administration om den finns på datorns skrivbord. Då visas ett Net id-fönster där alla certifikat som finns på SITHS-kortet visas. 3. Ryck ur SITHS-kortet ur kortläsaren. Då ska alla certifikat som finns på SITHS-kortet försvinna från Net id-fönstret. Om så inte sker så är det fel på kortläsaren och/eller dess drivrutin. 4. Testa ditt SITHS-kort, certifikat och pinkoder på Ineras testsida. Sid 10/10