Kliento prisijungimas naudojant „Active Directory¶

Compatible Nitrokeys
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Compatible Nitrokeys

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

Ateityje šis rankinis aprūpinimas gali būti automatizuotas naudojant „Windows MiniDriver“.

Būtinosios sąlygos¶

Šiai sąrankai atlikti reikia administracinės prieigos prie kompiuterių, kuriuose veikia „Active Directory Directory Services“ (ADDS) ir „Active Directory Certificate Services“ (ADCS). Kliento kompiuteryje reikalinga tik prieiga prie atitinkamos prisijungimui naudojamos naudotojo paskyros.

Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
- Įdiegtas ir sukonfigūruotas ADDS vaidmuo.
- Įdiegtas ADCS vaidmuo ir sukonfigūruotas Enterprise-CA su šakniniu sertifikatu.
  
  Kiekvienam domeno valdikliui (DC) turi būti išduoti domeno valdiklio, domeno valdiklio autentiškumo nustatymo ir „Kerberos“ autentiškumo nustatymo sertifikatai.
  
  Jei klientai išeina iš įmonės tinklo, įsitikinkite, kad paskelbtus pilnus ir delta atšaukiamų sertifikatų sąrašus (CRL) galima gauti iš išorinių tinklų.
„Windows“ klientas (palaikomos „Windows 10“, 11 versijos Professional ir Enterprise).
- Klientas turi būti „Active Directory“ (AD) domeno narys.
Nitrokey 3 with PIV smart card.

Konfigūruoti prisijungimą naudojant „Active Directory“ (AD) išmaniąja kortele¶

Norint prisijungti prie išmaniosios kortelės, reikia turėti domeno sertifikatų tarnybos (CA) sertifikato šabloną. Šis šablonas apibrėžia naudotojo sertifikatų reikšmes ir apribojimus. Jis naudojamas pasirašyti sertifikato užklausai (CSR) per „Nitrokey“ aprūpinimą.

Norint pasirašyti išmaniosios kortelės prisijungimo sertifikato užklausą, sertifikatų tarnyboje reikia sukurti sertifikato šabloną.
1. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certtmpl.msc ir paspauskite Enter.
2. Detalių lange pasirinkite šabloną Smartcard Logon.
3. Meniu juostoje spustelėkite Veiksmai → Visos užduotys → Dubliuoti šabloną.
4. Nustatykite toliau nurodytus šablono nustatymus pagal minėtą skirtuką.
  Suderinamumas
  
  Išjungti Rodyti atsiradusius pakeitimus
  
  Nustatykite Sertifikatų tarnyba ir Sertifikato gavėjas seniausiems domeno klientams, kurie turi naudoti prisijungimą išmaniąja kortele.
  
  Svarbu
  
  Jei norite naudoti elipsinės kreivės (EC) raktus, jūsų klientai turi būti ne senesni nei „Windows Server 2008“ ir „Windows Vista“.
  
  Bendra
  
  Nustatykite šablono rodomąjį pavadinimą.
  
  Nustatykite Galiojimo laikotarpį ir Atnaujinimo laikotarpį.
  
  Užklausų tvarkymas
  
  Nustatykite parašo ir prisijungimo išmaniąja kortele paskirtį.
  
  Kriptografija
  
  Nustatykite paslaugų teikėjo kategoriją Raktai saugojimo paslaugų teikėjas.
  
  Nustatykite algoritmo pavadinimą ir mažiausią rakto dydį.
  
  Svarbu
  
  Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
  
  Objekto pavadinimas
  
  Užklausoje nustatykite Tiekimas.
5. Patvirtinkite šablono sukūrimą naudodami OK.
Sukūrus sertifikato šabloną, jis turi būti išduotas, kad jį galėtų naudoti klientai.
1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.
2. Naršymo lange išskleiskite Sertifikatų tarnyba (CA) ir eikite į Sertifikatų šablonai.
3. Meniu juostoje spustelėkite Veiksmas → Naujas → Sertifikato šablonas išduoti.
4. Pasirinkite norimą išduoti sertifikato šabloną ir patvirtinkite OK.

„Nitrokey 3“ suteikimas prisijungimui prie „Active Directory“ naudojant išmaniąją kortelę¶

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Įspėjimas

Prieš atlikdami toliau nurodytus veiksmus įsitikinkite, kad „Active Directory“ vartotojo paskyra, kurią norite naudoti prisijungimui prie išmaniosios kortelės, egzistuoja. Jei sertifikato sukūrimo laikas bus ankstesnis už naudotojo paskyros sukūrimo laiką, prisijungti nepavyks.

Sugeneruokite privatų raktą ir įrašykite CSR į failą naudodami toliau pateiktą komandą.
```
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
```
The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.
Pasirašykite CSR su domeno sertifikavimo įstaiga (CA) naudodami toliau pateiktą komandą.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
<template-name> reikšmė yra sertifikato šablono, skirto prisijungimui prie išmaniosios kortelės, pavadinimas. ` <file>` reikšmė yra sertifikato dainavimo prašymo failas.
Įrašykite pasirašytą sertifikatą į „Nitrokey“ naudodami toliau pateiktą komandą.
```
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
```
<file> reikšmė yra sertifikato failas.
Atvaizduokite sertifikatą su „Active Directory“ vartotojo paskyra. Sertifikatų atvaizdavimą sukurkite naudodami toliau pateiktą komandą.
```
nitropy nk3 piv --experimental get-windows-auth-mapping
```
Choose one of the offered certificate mappings.

Patarimas

„Microsoft“ rekomenduoja naudoti X509IssuerSerialNumber atvaizdavimą.

Įrašykite pasirinktą atvaizdavimą į „Active Directory“ vartotojo objekto altSecurityIdentities atributą. Šiai operacijai atlikti galite naudoti „Active Directory Users and Computers“ programą arba „PowerShell“.
1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.
2. In the menu bar click View → Advanced Features.
3. Pasirinkite atitinkamą naudotojo objektą.
4. In the menu bar click Action → Properties.
5. Atidarykite skirtuką Atributų redaktorius.
6. Pasirinkite atributą altSecurityIdentities.
7. Click on Edit.
8. Insert the certificate mapping in the text field and click Add.
9. Pakeitimą pritaikykite spustelėdami OK.
1. Atidarykite „PowerShell“.
2. Pridėkite reikšmę su Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}, pakeisdami <sAMAccountName> vartotojo prisijungimo vardo reikšme, o <certificate-mapping> - pirmiau pasirinktu sertifikato atvaizdavimu.
Svarbu

Jei sertifikato atvaizdavimas nustatytas neteisingai, bandydami prisijungti gausite klaidos pranešimą Logon screen message: Your credentials could not be verified.. Be to, „Windows“ sistemos įvykių žurnale matysite toliau pateiktą įvykio pranešimą.

Source
```
Kerberos-Key-Distribution-Center
```
Message
```
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
```

Atšaukti prisijungimą prie „Active Directory“ (AD) naudojant išmaniąją kortelę¶

Išduoti naudotojų prisijungimo sertifikatai yra įtraukti į „Active Directory Certificate Services“ (ADCS) sąrašą. ADCS sistemoje sertifikatus galima atšaukti, todėl jie įtraukiami į sukonfigūruotą sertifikatų atšaukimo sąrašą (CRL). To reikia praradus arba sugadinus „Nitrokey“ raktą.

Svarbu

Rekomenduojama niekada nepalikti nenaudojamų naudotojo sertifikatų jų neatšaukus.

Pastaba

Sertifikatą galima laikinai atšaukti, nurodant priežastį Sertifikato sustabdymas. Šis atšaukimas gali būti atšauktas, todėl jis nėra nuolatinis.

Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.
Naršymo lange išskleiskite sertifikatų instituciją (CA) ir eikite į Išduoti sertifikatai.
Išsamios informacijos lange pasirinkite naudotojo sertifikatą, kurį norite atšaukti.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Atšaukti sertifikatą.
Nurodykite atšaukimo priežastį, datą ir laiką ir patvirtinkite Yes.
Naršymo lange eikite į Atšaukti sertifikatai.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Publikuoti.
Pasirinkite atšaukimo sąrašą, kurį norite paskelbti, ir patvirtinkite OK.

Pastaba

Kiekvieno prisijungimo su išmaniąja kortele bandymo metu „Windows“ patikrina, ar išmaniosios kortelės pateiktas sertifikatas nėra įtrauktas į sertifikatų atšaukimo sąrašą (CRL). Jei sertifikatas randamas CRL, prisijungimas neleidžiamas. Kiekviename CRL yra galiojimo laikas, kad jie nustotų galioti. Sistema „Windows“ talpina surinktus CRL į talpyklą ir atnaujina juos, jei CRL netrukus nustos galioti. Taigi atšaukimas nėra momentinis ir priklauso nuo kliento turimo CRL galiojimo pabaigos.

Naudotojo lustinės kortelės sertifikato importavimas į asmeninę sertifikatų saugyklą¶

„Nitrokey“ saugomą naudotojo sertifikatą galima importuoti į naudotojo asmeninę sertifikatų saugyklą. Tam tikrais atvejais tai yra būtina procedūra.

Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.
Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.
Naršymo lange išskleiskite Asmeninė raktų saugykla ir eikite į Sertifikatai.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Importuoti.
Vykdykite importo vedlio nurodymus ir pateikite naudotojo sertifikato failą, kai bus paprašyta.
Baigę importą, patikrinkite importuoto sertifikato išsamią informaciją lange. Jei „Nitrokey“ yra prijungtas, sertifikato savybėse turėtų būti rodomas pranešimas You have a private key that corresponds to this certificate (Jūs turite privatų raktą, atitinkantį šį sertifikatą)., nurodantis, kad „Nitrokey“ esantį privatų raktą galima identifikuoti.

Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.
Atidarykite „PowerShell“.
Import the certificate with Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>, replacing <file> with the certificate file path.
After the import completed check for the certificate with Get-ChildItem Cert:\CurrentUser\My.