Σύνδεση πελάτη με Active Directory¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.
Στο μέλλον, αυτή η χειροκίνητη παροχή μπορεί να αυτοματοποιηθεί μέσω ενός οδηγού Windows MiniDriver.
Προαπαιτούμενα¶
Η ρύθμιση απαιτεί πρόσβαση διαχειριστή στα μηχανήματα που εκτελούν τις Υπηρεσίες καταλόγου Active Directory (ADDS) και τις Υπηρεσίες πιστοποιητικών Active Directory (ADCS). Στο μηχάνημα-πελάτη απαιτείται μόνο πρόσβαση στον αντίστοιχο λογαριασμό χρήστη που χρησιμοποιείται για τη σύνδεση.
- Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
Ο ρόλος ADDS έχει εγκατασταθεί και ρυθμιστεί.
- Εγκατεστημένος ρόλος ADCS και διαμορφωμένο Enterprise-CA με πιστοποιητικό ρίζας.
Για κάθε ελεγκτή τομέα (DC) πρέπει να έχει εκδοθεί πιστοποιητικό Domain Controller, Domain Controller Authentication και Kerberos Authentication.
Εάν έχετε πελάτες που εγκαταλείπουν το δίκτυο της εταιρείας, βεβαιωθείτε ότι οι δημοσιευμένες λίστες ανάκλησης πιστοποιητικών (CRL) πλήρους και δέλτα είναι ανακτήσιμες από εξωτερικά δίκτυα.
- Windows client (υποστηριζόμενες εκδόσεις είναι τα Windows 10, 11 στις εκδόσεις Professional και Enterprise)
Ο πελάτης πρέπει να είναι μέλος του τομέα του τομέα Active Directory (AD).
Nitrokey 3 with PIV smart card.
Ρύθμιση της σύνδεσης με έξυπνη κάρτα για χρήση με το Active Directory (AD)¶
Η σύνδεση με έξυπνη κάρτα απαιτεί ένα πρότυπο πιστοποιητικού στην αρχή πιστοποιητικών (CA) του τομέα. Αυτό το πρότυπο καθορίζει τις τιμές και τους περιορισμούς των πιστοποιητικών χρήστη. Χρησιμοποιείται για την υπογραφή της αίτησης πιστοποιητικού (CSR) κατά την παροχή του Nitrokey.
Η υπογραφή ενός αιτήματος πιστοποιητικού για σύνδεση με έξυπνη κάρτα απαιτεί τη δημιουργία ενός προτύπου πιστοποιητικού στην αρχή πιστοποιητικών.
Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε
certtmpl.msc
και πατήστε Enter.Στο παράθυρο λεπτομερειών επιλέξτε το πρότυπο Smartcard Logon.
Στη γραμμή μενού κάντε κλικ στην επιλογή Ενέργειες → Όλες οι εργασίες → Διπλότυπο προτύπου.
Ορίστε τις παρακάτω ρυθμίσεις στο πρότυπο, σύμφωνα με την αναφερόμενη καρτέλα.
- Συμβατότητα
Απενεργοποίηση Εμφάνιση των αλλαγών που προκύπτουν
Ορίστε Αρχή πιστοποιητικών και Παραλήπτης πιστοποιητικών στους παλαιότερους πελάτες του τομέα που υποτίθεται ότι χρησιμοποιούν σύνδεση με έξυπνη κάρτα.
Σημαντικό
Αν θέλετε να χρησιμοποιήσετε κλειδιά ελλειπτικής καμπύλης (EC), οι πελάτες σας δεν πρέπει να είναι παλαιότεροι από Windows Server 2008 και Windows Vista.
- Γενικά
- Χειρισμός αιτήσεων
Ορίστε έναν σκοπό της Υπογραφή και σύνδεση με έξυπνη κάρτα.
- Κρυπτογραφία
Ορίστε μια κατηγορία παρόχου Πάροχος αποθήκευσης κλειδιών.
Ορίστε ένα όνομα αλγορίθμου και ένα ελάχιστο μέγεθος κλειδιού.
Σημαντικό
Microsoft recommends to use the RSA algorithm with a key length of
2048
Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
- Όνομα θέματος
Ορίστε Προμήθεια στην αίτηση.
Επιβεβαιώστε τη δημιουργία προτύπου με OK.
Μετά τη δημιουργία ενός προτύπου πιστοποιητικού, το πρότυπο πρέπει να εκδοθεί για να χρησιμοποιηθεί από τους πελάτες.
From the Command Line, PowerShell, or Run, type
certmgr.msc
and press Enter.Στο παράθυρο πλοήγησης επεκτείνετε την Αρχή πιστοποιητικών (CA) και μεταβείτε στη διεύθυνση Πρότυπα πιστοποιητικών.
Στη γραμμή μενού κάντε κλικ στο Action → New → Certificate Template to Issue.
Επιλέξτε το πρότυπο πιστοποιητικού που θέλετε να εκδώσετε και επιβεβαιώστε με OK.
Παροχή του Nitrokey 3 για σύνδεση με έξυπνη κάρτα με το Active Directory¶
The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.
Προειδοποίηση
Πριν ακολουθήσετε τα παρακάτω βήματα, βεβαιωθείτε ότι ο λογαριασμός χρήστη Active Directory που θέλετε να χρησιμοποιήσετε για τη σύνδεση με έξυπνη κάρτα υπάρχει. Ένας χρόνος δημιουργίας του πιστοποιητικού πριν από τον χρόνο δημιουργίας του λογαριασμού χρήστη θα οδηγήσει σε αποτυχημένη σύνδεση.
Δημιουργήστε ένα ιδιωτικό κλειδί και γράψτε το CSR σε αρχείο με την παρακάτω εντολή.
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
The value of
<algorithm>
is the used algorithm with its key length, e.g.rsa2048
. The value of<subject-name>
corresponds to the value of thedistinguishedName
attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g.CN=John Doe
. The value of<subject-alternative-name>
corresponds to the value of theuserPrincipalName
attribute of the Active Directory user account.Υπογράψτε το CSR με την αρχή έκδοσης πιστοποιητικών (CA) του τομέα με την παρακάτω εντολή.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
Η τιμή του
<template-name>
είναι το όνομα του προτύπου πιστοποιητικού για την είσοδο με έξυπνη κάρτα. Η τιμή του<file>
είναι το αρχείο αίτησης τραγουδιού πιστοποιητικού.Γράψτε το υπογεγραμμένο πιστοποιητικό στο Nitrokey με την παρακάτω εντολή.
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
Η τιμή του
<file>
είναι το αρχείο πιστοποιητικού.Αντιστοιχίστε το πιστοποιητικό με το λογαριασμό χρήστη Active Directory. Δημιουργήστε τις αντιστοιχίσεις πιστοποιητικών με την παρακάτω εντολή.
nitropy nk3 piv --experimental get-windows-auth-mapping
Choose one of the offered certificate mappings.
Πρακτική συμβουλή
Η Microsoft συνιστά τη χρήση της αντιστοίχισης
X509IssuerSerialNumber
.Γράψτε την επιλεγμένη αντιστοίχιση στο χαρακτηριστικό
altSecurityIdentities
του αντικειμένου χρήστη Active Directory. Μπορείτε να χρησιμοποιήσετε την εφαρμογή Active Directory Users and Computers ή το PowerShell για αυτή τη λειτουργία.From the Command Line, PowerShell, or Run, type
dsa.msc
and press Enter.In the menu bar click View → Advanced Features.
Επιλέξτε το αντίστοιχο αντικείμενο χρήστη.
In the menu bar click Action → Properties.
Ανοίξτε την καρτέλα Attribute Editor.
Επιλέξτε το χαρακτηριστικό
altSecurityIdentities
.Click on Edit.
Insert the certificate mapping in the text field and click Add.
Εφαρμόστε την αλλαγή με κλικ στο OK.
Ανοίξτε το PowerShell.
Προσθέστε την τιμή με
Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}
, αντικαθιστώντας το<sAMAccountName>
με την τιμή του ονόματος σύνδεσης του χρήστη και το<certificate-mapping>
με την επιλεγμένη αντιστοίχιση πιστοποιητικού από τα παραπάνω.
Σημαντικό
Εάν η αντιστοίχιση πιστοποιητικών δεν έχει ρυθμιστεί σωστά, θα λάβετε το μήνυμα σφάλματος
Logon screen message: Your credentials could not be verified.
όταν επιχειρείτε να συνδεθείτε. Επιπλέον, θα δείτε το παρακάτω μήνυμα συμβάντος στο αρχείο καταγραφής συμβάντων του συστήματος των Windows.Source
Kerberos-Key-Distribution-Center
Message
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
Ανάκληση σύνδεσης με έξυπνη κάρτα για χρήση με το Active Directory (AD)¶
Τα εκδοθέντα πιστοποιητικά σύνδεσης χρηστών παρατίθενται στις Υπηρεσίες πιστοποιητικών Active Directory (ADCS). Από το ADCS τα πιστοποιητικά μπορούν να ανακληθούν, γεγονός που τα προσθέτει στη διαμορφωμένη λίστα ανάκλησης πιστοποιητικών (CRL). Αυτό απαιτείται σε περίπτωση απώλειας ή σπασίματος του Nitrokey.
Σημαντικό
Συνιστάται έντονα να μην αφήνετε ποτέ αχρησιμοποίητα πιστοποιητικά χρηστών χωρίς να τα ανακαλείτε.
Σημείωση
Είναι δυνατή η προσωρινή ανάκληση ενός πιστοποιητικού με την αιτιολογία Certificate Hold. Αυτή η ανάκληση μπορεί να ανακληθεί και συνεπώς δεν είναι μόνιμη.
Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε
certsrv.msc
και πατήστε Enter.Στο παράθυρο πλοήγησης επεκτείνετε την αρχή πιστοποιητικών (CA) και μεταβείτε στη διεύθυνση Issued Certificates.
Στο παράθυρο λεπτομερειών επιλέξτε το πιστοποιητικό χρήστη που θέλετε να ανακαλέσετε.
Στη γραμμή μενού κάντε κλικ στην επιλογή Δράση → Όλες οι εργασίες → Ανάκληση πιστοποιητικού.
Καθορίστε τον λόγο της ανάκλησης, την ημερομηνία και την ώρα και επιβεβαιώστε με Ναι.
Στο παράθυρο πλοήγησης μεταβείτε στην τοποθεσία Ανακληθέντα πιστοποιητικά.
Στη γραμμή μενού κάντε κλικ στο Δράση → Όλες οι εργασίες → Δημοσίευση.
Επιλέξτε τη λίστα ανάκλησης που θέλετε να δημοσιεύσετε και επιβεβαιώστε με OK.
Σημείωση
Κατά τη διάρκεια κάθε προσπάθειας σύνδεσης με έξυπνη κάρτα, τα Windows ελέγχουν εάν το πιστοποιητικό που παρουσιάζεται από την έξυπνη κάρτα περιλαμβάνεται σε μια λίστα ανάκλησης πιστοποιητικών (Certificate Revocation List - CRL). Εάν το πιστοποιητικό βρεθεί σε CRL, η σύνδεση απορρίπτεται. Κάθε CRL περιέχει μια εγκυρότητα για να λήξει η ισχύς τους. Τα Windows αποθηκεύουν στην προσωρινή μνήμη το ανακτημένο CRL και τα ενημερώνουν εάν το CRL πρόκειται να λήξει. Ως εκ τούτου μια ανάκληση δεν είναι άμεση και εξαρτάται από τη λήξη του CRL που έχει ο πελάτης.
Εισαγωγή ενός πιστοποιητικού έξυπνης κάρτας χρήστη στον προσωπικό χώρο αποθήκευσης πιστοποιητικών¶
Το πιστοποιητικό χρήστη που είναι αποθηκευμένο στο Nitrokey μπορεί να εισαχθεί στην προσωπική αποθήκη πιστοποιητικών του χρήστη. Σε ορισμένες περιπτώσεις αυτή είναι μια απαιτούμενη διαδικασία.
Βεβαιωθείτε ότι έχετε συνδεθεί στο λογαριασμό χρήστη στον οποίο αντιστοιχεί το πιστοποιητικό.
Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε
certsrv.msc
και πατήστε Enter.Στο παράθυρο πλοήγησης επεκτείνετε το χώρο αποθήκευσης κλειδιών Personal και πλοηγηθείτε στο Certificates.
Στη γραμμή μενού κάντε κλικ στην επιλογή Δράση → Όλες οι εργασίες → Εισαγωγή.
Ακολουθήστε τον οδηγό εισαγωγής και παρέχετε το αρχείο πιστοποιητικού χρήστη όταν σας ζητηθεί.
Αφού ολοκληρωθεί η εισαγωγή, ελέγξτε το παράθυρο λεπτομερειών για το εισαγόμενο πιστοποιητικό. Εάν το Nitrokey είναι συνδεδεμένο, οι ιδιότητες του πιστοποιητικού θα πρέπει να εμφανίζουν το μήνυμα Έχετε ένα ιδιωτικό κλειδί που αντιστοιχεί σε αυτό το πιστοποιητικό. υποδεικνύοντας ότι το ιδιωτικό κλειδί στο Nitrokey μπορούσε να αναγνωριστεί.
Βεβαιωθείτε ότι έχετε συνδεθεί στο λογαριασμό χρήστη στον οποίο αντιστοιχεί το πιστοποιητικό.
Ανοίξτε το PowerShell.
Import the certificate with
Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>
, replacing<file>
with the certificate file path.After the import completed check for the certificate with
Get-ChildItem Cert:\CurrentUser\My
.