Prijava odjemalca z imenikom Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV application of a Nitrokey 3 for smartcard logon with Active Directory. It is available as of firmware version 1.8 and higher.

V prihodnosti bo to ročno zagotavljanje mogoče avtomatizirati z mini gonilnikom Windows.

Predpogoji

Nastavitev zahteva upraviteljski dostop do računalnikov, v katerih sta nameščeni storitvi ADDS (Active Directory Directory Directory Services) in ADCS (Active Directory Certificate Services). V odjemalskem računalniku je potreben samo dostop do ustreznega uporabniškega računa, ki se uporablja za prijavo.

  • strežnik Windows (podprte različice so Windows Server 2016, 2019, 2022 v vseh izdajah)

    • Vloga ADDS je nameščena in konfigurirana.

    • Vloga ADCS je nameščena in Enterprise-CA s konfiguriranim korenskim potrdilom.

      • Vsak domenski krmilnik (DC) mora imeti izdano potrdilo Domain Controller, Domain Controller Authentication in Kerberos Authentication.

      • Če odjemalci zapustijo omrežje podjetja, poskrbite, da je objavljene popolne in delta sezname preklicanih potrdil (CRL) mogoče pridobiti iz zunanjih omrežij.

  • Odjemalec Windows (podprte različice so Windows 10, 11 v izdajah Professional in Enterprise)

    • Odjemalec mora biti član domene Active Directory (AD).

  • Nitrokey 3 z aplikacijo PIV.

Konfiguracija prijave s pametno kartico za uporabo z imenikom Active Directory (AD)

Prijava s pametno kartico zahteva predlogo potrdila v organu za potrjevanje (CA) domene. Ta predloga določa vrednosti in omejitve uporabniških potrdil. Uporablja se za podpisovanje zahtevka za potrdilo (CSR) med zagotavljanjem ključa Nitrokey.

  1. Za podpisovanje zahtevka za potrdilo za prijavo s pametno kartico je treba v overitelju ustvariti predlogo potrdila.

    1. V ukazno vrstico, PowerShell ali Zaženi vnesite certtmpl.msc in pritisnite Enter.

    2. V podoknu s podrobnostmi izberite predlogo Smartcard Logon.

    3. V menijski vrstici kliknite Dejavnosti → Vsa opravila → Podvoji predlogo.

    4. V predlogi nastavite spodnje nastavitve v skladu z navedenim zavihkom.

      Združljivost

      • Onemogoči Prikaži nastale spremembe

      • Nastavite Certificate Authority in Certificate recipient na najstarejše odjemalce v domeni, ki naj bi uporabljali prijavo s pametno kartico.

        Pomembno

        Če želite uporabljati ključe eliptične krivulje (EC), odjemalci ne smejo biti starejši od sistemov Windows Server 2008 in Windows Vista.

      Splošno

      • Nastavite prikazno ime predloge **** .

      • Nastavite Obdobje veljavnosti in Obdobje podaljšanja.

      Obravnava zahtevkov

      • Nastavite namen Podpis in prijava s pametno kartico.

      Kriptografija

      • Nastavite kategorijo ponudnika Ponudnik shranjevanja ključev.

      • Nastavite ime algoritma in najmanjšo velikost ključa.

        Pomembno

        Microsoft priporoča uporabo algoritma RSA z dolžino ključa 2048 Bit. Če se odločite za uporabo ključev eliptične krivulje (EC), morate v odjemalskih računalnikih izvesti dodatne spremembe.

      Ime predmeta

      • Nastavite Dobava v zahtevku.

    5. Ustvarjanje predloge potrdite s OK.

  2. Po ustvarjanju predloge potrdila je treba predlogo izdati, da jo bodo lahko uporabljali odjemalci.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. V navigacijskem podoknu razširite overitelja potrdil (CA) in pojdite na Predloge potrdil.

    3. V menijski vrstici kliknite Action → New → Certificate Template to Issue.

    4. Izberite predlogo potrdila, ki jo želite izdati, in potrdite s OK.

Zagotovitev Nitrokey 3 za prijavo s pametno kartico z imenikom Active Directory

Za prijavo s pametno kartico je treba zagotoviti ključ Nitrokey za uporabnika v imeniku Active Directory. Ta vsebuje zasebni ključ in zahtevo za izdajo potrdila (CSR). Potrdilo se nato zapiše v ključ Nitrokey.

Opozorilo

Pred izvajanjem spodnjih korakov se prepričajte, da uporabniški račun Active Directory, ki ga želite uporabiti za prijavo s pametno kartico, obstaja. Če je čas ustvarjanja potrdila pred časom ustvarjanja uporabniškega računa, prijava ne bo uspešna.

Pomembno

Če aplikacija PIV na ključu Nitrokey še ni bila uporabljena, najprej izvedite inicializacijo s nitropy nk3 piv init.

  1. Ustvarite zasebni ključ in zapišite CSR v datoteko s spodnjim ukazom.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>

    Vrednost <algorithm> je uporabljeni algoritem z njegovo dolžino ključa, npr. rsa2048. Vrednosti <subject-name> in <subject-alternative-name> običajno ustrezata atributu commonName in userPrincipalName uporabniškega računa Active Directory.

  2. CSR podpišite pri overitelju potrdil (CA) domene s spodnjim ukazom.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>

    Vrednost <template-name> je ime predloge potrdila za prijavo s pametno kartico. Vrednost <file> je datoteka z zahtevo za izdajo potrdila.

  3. Podpisano potrdilo zapišite v Nitrokey s spodnjim ukazom.

    nitropy nk3 piv write-certificate --format PEM --path <file>

    Vrednost <file> je datoteka s potrdilom.

Preklic prijave s pametno kartico za uporabo z imenikom Active Directory (AD)

Izdana potrdila za prijavo uporabnikov so navedena v storitvi ADCS (Active Directory Certificate Services). V sistemu ADCS je mogoče potrdila preklicati, s čimer se dodajo na konfigurirani seznam preklicanih potrdil (CRL). To je potrebno v primeru izgubljenega ali poškodovanega ključa Nitrokey.

Pomembno

Priporočljivo je, da nikoli ne puščate neuporabljenih uporabniških potrdil, ne da bi jih preklicali.

Opomba

Potrdilo je mogoče začasno preklicati z razlogom Certificate Hold. Ta preklic je mogoče preklicati in zato ni trajen.

  1. V ukazno vrstico, PowerShell ali Zaženi vnesite certsrv.msc in pritisnite Enter.

  2. V navigacijskem podoknu razširite overitelja potrdil (CA) in pojdite na Izdana potrdila.

  3. V podoknu s podrobnostmi izberite potrdilo uporabnika, ki ga želite preklicati.

  4. V menijski vrstici kliknite Action → All Tasks → Revoke Certificate.

  5. Navedite razlog za preklic, datum in čas ter potrdite s Yes.

  6. V navigacijskem podoknu pojdite na Preklicana potrdila.

  7. V menijski vrstici kliknite Action → All Tasks → Publish.

  8. Izberite seznam preklicev, ki ga želite objaviti, in potrdite s OK.

Opomba

Med vsakim poskusom prijave s pametno kartico sistem Windows preveri, ali je potrdilo, ki ga predstavlja pametna kartica, uvrščeno na seznam preklicanih potrdil (CRL). Če je potrdilo na seznamu CRL, je prijava zavrnjena. Vsak seznam CRL vsebuje veljavnost, zaradi katere preneha veljati. Windows poiskane CRL shrani v predpomnilnik in jih posodobi, če CRL kmalu poteče. Zato preklic ni takojšen in je odvisen od poteka veljavnosti CRL, ki ga ima odjemalec.

Uvoz potrdila uporabniške pametne kartice v osebno shrambo potrdil

Uporabniško potrdilo, ki je shranjeno v ključu Nitrokey, lahko uvozite v uporabnikovo osebno shrambo potrdil. V nekaterih primerih je to potreben postopek.

  1. Prepričajte se, da ste prijavljeni v uporabniški račun, ki mu ustreza certifikat.

  2. V ukazno vrstico, PowerShell ali Zaženi vnesite certsrv.msc in pritisnite Enter.

  3. V navigacijskem podoknu razširite shrambo ključev Personal in pojdite na Certificates.

  4. V menijski vrstici kliknite Action → All Tasks → Import.

  5. Sledite čarovniku za uvoz in na zahtevo predložite datoteko s potrdilom uporabnika.

  6. Po končanem uvozu preverite podokno s podrobnostmi za uvoženo potrdilo. Če je Nitrokey povezan, bi moralo biti v lastnostih potrdila prikazano sporočilo You have a private key that corresponds to this certificate., ki nakazuje, da je bilo mogoče identificirati zasebni na Nitrokeyu.