Ügyfél bejelentkezés Active Directory segítségével¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.
A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.
Előfeltételek¶
A beállításhoz rendszergazdai hozzáférés szükséges az Active Directory címtárszolgáltatásokat (ADDS) és az Active Directory tanúsítványszolgáltatásokat (ADCS) futtató gépekhez. Az ügyfélgépen csak a bejelentkezéshez használt felhasználói fiókhoz kell hozzáférni.
- Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
ADDS szerepkör telepítve és konfigurálva.
- ADCS szerepkör telepítve és a Enterprise-CA gyökértanúsítvánnyal konfigurálva.
Minden tartományvezérlő (DC) számára ki kell állítani egy tartományvezérlő, tartományvezérlő-hitelesítés és Kerberos-hitelesítés tanúsítványt.
Ha az ügyfelek elhagyják a vállalati hálózatot, győződjön meg arról, hogy a közzétett teljes és delta tanúsítvány-visszavonási listák (CRL) lekérdezhetők a külső hálózatokról.
- Windows kliens (támogatott verziók: Windows 10, 11 a Professional és a Enterprise kiadásokban).
Az ügyfélnek az Active Directory (AD) tartomány tagjának kell lennie.
Nitrokey 3 with PIV smart card.
Intelligens kártyás bejelentkezés konfigurálása Active Directory (AD) használatához¶
Az intelligens kártyás bejelentkezéshez tanúsítványsablonra van szükség a tartomány tanúsítványhivatalában (CA). Ez a sablon határozza meg a felhasználói tanúsítványok értékeit és korlátait. A tanúsítványkérelem (CSR) aláírására szolgál a Nitrokey rendelkezésre bocsátása során.
Az intelligens kártyás bejelentkezéshez szükséges tanúsítványkérelem aláírásához tanúsítványsablont kell létrehozni a hitelesítésszolgáltatóban.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certtmpl.msc
parancsot, és nyomja meg az Entert.A részleteket tartalmazó ablaktáblán válassza ki a Smartcard Logon sablont.
A menüsorban kattintson a Műveletek → Minden feladat → Sablon duplikálása.
Állítsa be az alábbi beállításokat a sablonon, az említett lapnak megfelelően.
- Kompatibilitás
Disable Az eredményül kapott változások megjelenítése
Állítsa be a Tanúsítványkezelő és a Tanúsítvány címzettje címeket a tartomány legrégebbi, intelligens kártyás bejelentkezést használó ügyfeleinek.
Fontos
Ha elliptikus görbületű (EC) kulcsokat szeretne használni, az ügyfelek nem lehetnek régebbiek, mint a Windows Server 2008 és a Windows Vista.
- Általános
A sablon megjelenítési nevének beállítása.
Állítsa be a érvényességi időszakot és a megújítási időszakot.
- Kérelmek kezelése
A Aláírás és az intelligens kártyás bejelentkezés céljának beállítása.
- Kriptográfia
A kulcstárolási szolgáltató kategóriájának beállítása.
Algoritmusnév és minimális kulcsméret beállítása.
Fontos
Microsoft recommends to use the RSA algorithm with a key length of
2048
Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
- Tárgy neve
Állítsa be a ellátást a kérésben.
Erősítse meg a sablon létrehozását a OK címmel.
A tanúsítványsablon létrehozása után a sablont ki kell adni, hogy az ügyfelek használhassák.
From the Command Line, PowerShell, or Run, type
certmgr.msc
and press Enter.A navigációs ablaktáblán bontsa ki a Tanúsítványkezelőt (CA), és navigáljon a Tanúsítványsablonok pontra.
A menüsorban kattintson a Action → New → Certificate Template to Issue menüpontra.
Válassza ki a kiállítani kívánt tanúsítványsablont, és erősítse meg a OK címmel.
A Nitrokey 3 biztosítása az Active Directoryhoz való intelligens kártyás bejelentkezéshez¶
The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.
Figyelem
Az alábbi lépések előtt győződjön meg arról, hogy az intelligens kártyás bejelentkezéshez használni kívánt Active Directory felhasználói fiók létezik. Ha a tanúsítvány létrehozásának időpontja a felhasználói fiók létrehozásának időpontja előtt van, a bejelentkezés sikertelen lesz.
Generáljon egy privát kulcsot, és írja a CSR-t a fájlba az alábbi paranccsal.
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
The value of
<algorithm>
is the used algorithm with its key length, e.g.rsa2048
. The value of<subject-name>
corresponds to the value of thedistinguishedName
attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g.CN=John Doe
. The value of<subject-alternative-name>
corresponds to the value of theuserPrincipalName
attribute of the Active Directory user account.Írja alá a CSR-t a tartomány hitelesítésszolgáltatójával (CA) az alábbi paranccsal.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
A
<template-name>
értéke az intelligens kártyás bejelentkezéshez használt tanúsítványsablon neve. A<file>
értéke a tanúsítvány lekérdezési fájl.Írja az aláírt tanúsítványt a Nitrokey-be az alábbi paranccsal.
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
A
<file>
értéke a tanúsítványfájl.Kösse össze a tanúsítványt az Active Directory felhasználói fiókkal. Hozzuk létre a tanúsítvány hozzárendeléseket az alábbi paranccsal.
nitropy nk3 piv --experimental get-windows-auth-mapping
Choose one of the offered certificate mappings.
Javaslat
A Microsoft a
X509IssuerSerialNumber
leképezés használatát ajánlja.Írja a kiválasztott hozzárendelést az Active Directory felhasználói objektum
altSecurityIdentities
attribútumába. Ehhez a művelethez használhatja a Active Directory-felhasználók és számítógépek alkalmazást vagy a PowerShellt.From the Command Line, PowerShell, or Run, type
dsa.msc
and press Enter.In the menu bar click View → Advanced Features.
Válassza ki a megfelelő felhasználói objektumot.
In the menu bar click Action → Properties.
Nyissa meg a Attribútumszerkesztő lapot.
Válassza ki a
altSecurityIdentities
attribútumot.Click on Edit.
Insert the certificate mapping in the text field and click Add.
Alkalmazza a módosítást a OK gombra kattintva.
Nyissa meg a PowerShellt.
Adja hozzá az értéket a
Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}
címmel, a<sAMAccountName>
címet a felhasználó bejelentkezési nevének értékével, a<certificate-mapping>
címet pedig a fentiekben kiválasztott tanúsítvány-leképezéssel helyettesítve.
Fontos
Ha a tanúsítvány hozzárendelése nem megfelelően van beállítva, akkor a bejelentkezéskor a
Logon screen message: Your credentials could not be verified.
hibaüzenetet kapja. Ezenkívül a Windows rendszer eseménynaplójában az alábbi eseményüzenet jelenik meg.Source
Kerberos-Key-Distribution-Center
Message
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
Az Active Directory (AD) használatához szükséges intelligens kártyás bejelentkezés visszavonása¶
A kiadott felhasználói bejelentkezési tanúsítványok az Active Directory tanúsítványszolgáltatások (ADCS) listáján szerepelnek. Az ADCS-ből a tanúsítványokat vissza lehet vonni, ami hozzáadja azokat a konfigurált tanúsítvány-visszavonási listához (CRL). Erre akkor van szükség, ha a Nitrokey elveszett vagy elromlott.
Fontos
Erősen ajánlott, hogy soha ne hagyja használaton kívüli felhasználói tanúsítványokat visszavonás nélkül.
Megjegyzés
Lehetőség van a tanúsítvány ideiglenes visszavonására a Certificate Hold címen. Ez a visszavonás visszaállítható, tehát nem végleges.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certsrv.msc
parancsot, és nyomja meg az Entert.A navigációs ablaktáblán bontsa ki a hitelesítésszolgáltatót, és navigáljon a Kiállított tanúsítványok menüpontra.
A részleteket tartalmazó ablaktáblán jelölje ki a visszavonandó felhasználói tanúsítványt.
A menüsorban kattintson a Action → All Tasks → Revoke Certificate menüpontra.
Adja meg a visszavonás okát, dátumát és időpontját, és erősítse meg a Yes címmel.
A navigációs ablaktáblán navigáljon a Visszavont tanúsítványok menüpontra.
A menüsorban kattintson a Action → All Tasks → Publish menüpontra.
Válassza ki a közzétenni kívánt visszavonási listát, és erősítse meg a OK címmel.
Megjegyzés
A Windows minden egyes intelligens kártyás bejelentkezési kísérlet során ellenőrzi, hogy az intelligens kártya által bemutatott tanúsítvány szerepel-e a tanúsítvány-visszavonási listán (CRL). Ha a tanúsítvány szerepel a CRL-ben, a bejelentkezést megtagadja. Minden CRL tartalmaz egy érvényességi időt, hogy lejárjon. A Windows gyorsítótárba helyezi a lekérdezett CRL-t, és frissíti azokat, ha a CRL hamarosan lejár. Ezért a visszavonás nem azonnali, és az ügyfél birtokában lévő CRL lejáratától függ.
Felhasználói intelligens kártyás tanúsítvány importálása a személyes tanúsítványtárolóba¶
A Nitrokey-n tárolt felhasználói tanúsítvány importálható a felhasználó személyes tanúsítványtárolójába. Bizonyos helyzetekben ez egy szükséges eljárás.
Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certsrv.msc
parancsot, és nyomja meg az Entert.A navigációs ablaktáblán bontsa ki a Személyes kulcstárolót, és navigáljon a Tanúsítványok pontra.
A menüsorban kattintson a Action → All Tasks → Import menüpontra.
Kövesse az importáló varázslót, és kérésre adja meg a felhasználói tanúsítványfájlt.
Az importálás befejezése után ellenőrizze az importált tanúsítványt a részleteket tartalmazó ablaktáblán. Ha a Nitrokey csatlakoztatva van, a tanúsítvány tulajdonságai között a A tanúsítványnak megfelelő magánkulccsal rendelkezik. üzenetnek kell jeleznie, hogy a Nitrokey magánkulcsa azonosítható.
Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
Nyissa meg a PowerShellt.
Import the certificate with
Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>
, replacing<file>
with the certificate file path.After the import completed check for the certificate with
Get-ChildItem Cert:\CurrentUser\My
.