Prijava odjemalca z imenikom Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

V prihodnosti bo to ročno zagotavljanje mogoče avtomatizirati z mini gonilnikom Windows.

Predpogoji

Nastavitev zahteva upraviteljski dostop do računalnikov, v katerih sta nameščeni storitvi ADDS (Active Directory Directory Directory Services) in ADCS (Active Directory Certificate Services). V odjemalskem računalniku je potreben samo dostop do ustreznega uporabniškega računa, ki se uporablja za prijavo.

  • Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
    • Vloga ADDS je nameščena in konfigurirana.

    • Vloga ADCS je nameščena in Enterprise-CA s konfiguriranim korenskim potrdilom.
      • Vsak domenski krmilnik (DC) mora imeti izdano potrdilo Domain Controller, Domain Controller Authentication in Kerberos Authentication.

      • Če odjemalci zapustijo omrežje podjetja, poskrbite, da je objavljene popolne in delta sezname preklicanih potrdil (CRL) mogoče pridobiti iz zunanjih omrežij.

  • Odjemalec Windows (podprte različice so Windows 10, 11 v izdajah Professional in Enterprise)
    • Odjemalec mora biti član domene Active Directory (AD).

  • Nitrokey 3 with PIV smart card.

Konfiguracija prijave s pametno kartico za uporabo z imenikom Active Directory (AD)

Prijava s pametno kartico zahteva predlogo potrdila v organu za potrjevanje (CA) domene. Ta predloga določa vrednosti in omejitve uporabniških potrdil. Uporablja se za podpisovanje zahtevka za potrdilo (CSR) med zagotavljanjem ključa Nitrokey.

  1. Za podpisovanje zahtevka za potrdilo za prijavo s pametno kartico je treba v overitelju ustvariti predlogo potrdila.

    1. V ukazno vrstico, PowerShell ali Zaženi vnesite certtmpl.msc in pritisnite Enter.

    2. V podoknu s podrobnostmi izberite predlogo Smartcard Logon.

    3. V menijski vrstici kliknite Dejavnosti → Vsa opravila → Podvoji predlogo.

    4. V predlogi nastavite spodnje nastavitve v skladu z navedenim zavihkom.

      Združljivost
      • Onemogoči Prikaži nastale spremembe

      • Nastavite Certificate Authority in Certificate recipient na najstarejše odjemalce v domeni, ki naj bi uporabljali prijavo s pametno kartico.

        Pomembno

        Če želite uporabljati ključe eliptične krivulje (EC), odjemalci ne smejo biti starejši od sistemov Windows Server 2008 in Windows Vista.

      Splošno
      • Nastavite prikazno ime predloge **** .

      • Nastavite Obdobje veljavnosti in Obdobje podaljšanja.

      Obravnava zahtevkov
      • Nastavite namen Podpis in prijava s pametno kartico.

      Kriptografija
      • Nastavite kategorijo ponudnika Ponudnik shranjevanja ključev.

      • Nastavite ime algoritma in najmanjšo velikost ključa.

        Pomembno

        Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.

      Ime predmeta
      • Nastavite Dobava v zahtevku.

    5. Ustvarjanje predloge potrdite s OK.

  2. Po ustvarjanju predloge potrdila je treba predlogo izdati, da jo bodo lahko uporabljali odjemalci.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. V navigacijskem podoknu razširite overitelja potrdil (CA) in pojdite na Predloge potrdil.

    3. V menijski vrstici kliknite Action → New → Certificate Template to Issue.

    4. Izberite predlogo potrdila, ki jo želite izdati, in potrdite s OK.

Zagotovitev Nitrokey 3 za prijavo s pametno kartico z imenikom Active Directory

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Opozorilo

Pred izvajanjem spodnjih korakov se prepričajte, da uporabniški račun Active Directory, ki ga želite uporabiti za prijavo s pametno kartico, obstaja. Če je čas ustvarjanja potrdila pred časom ustvarjanja uporabniškega računa, prijava ne bo uspešna.

  1. Ustvarite zasebni ključ in zapišite CSR v datoteko s spodnjim ukazom.

    nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
    

    The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.

  2. CSR podpišite pri overitelju potrdil (CA) domene s spodnjim ukazom.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Vrednost <template-name> je ime predloge potrdila za prijavo s pametno kartico. Vrednost <file> je datoteka z zahtevo za izdajo potrdila.

  3. Podpisano potrdilo zapišite v Nitrokey s spodnjim ukazom.

    nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
    

    Vrednost <file> je datoteka s potrdilom.

  4. Potrdilo povežite z uporabniškim računom v imeniku Active Directory. Mapiranje potrdil ustvarite s spodnjim ukazom.

    nitropy nk3 piv --experimental get-windows-auth-mapping
    

    Choose one of the offered certificate mappings.

    Nasvet

    Microsoft priporoča uporabo preslikave X509IssuerSerialNumber.

    Izbrano preslikavo zapišite v atribut altSecurityIdentities uporabniškega objekta Active Directory. Za to operacijo lahko uporabite aplikacijo Active Directory Users and Computers ali PowerShell.

    1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.

    2. In the menu bar click View → Advanced Features.

    3. Izberite ustrezen uporabniški predmet.

    4. In the menu bar click Action → Properties.

    5. Odprite zavihek Urejevalnik atributov.

    6. Izberite atribut altSecurityIdentities.

    7. Click on Edit.

    8. Insert the certificate mapping in the text field and click Add.

    9. Spremembo uporabite s klikom na OK.

    Pomembno

    Če preslikava potrdil ni pravilno nastavljena, se ob poskusu prijave prikaže sporočilo o napaki Logon screen message: Your credentials could not be verified.. Poleg tega boste v sistemskem dnevniku dogodkov Windows videli spodnje sporočilo o dogodku.

    Source

    Kerberos-Key-Distribution-Center
    

    Message

    The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
    

Preklic prijave s pametno kartico za uporabo z imenikom Active Directory (AD)

Izdana potrdila za prijavo uporabnikov so navedena v storitvi ADCS (Active Directory Certificate Services). V sistemu ADCS je mogoče potrdila preklicati, s čimer se dodajo na konfigurirani seznam preklicanih potrdil (CRL). To je potrebno v primeru izgubljenega ali poškodovanega ključa Nitrokey.

Pomembno

Priporočljivo je, da nikoli ne puščate neuporabljenih uporabniških potrdil, ne da bi jih preklicali.

Opomba

Potrdilo je mogoče začasno preklicati z razlogom Certificate Hold. Ta preklic je mogoče preklicati in zato ni trajen.

  1. V ukazno vrstico, PowerShell ali Zaženi vnesite certsrv.msc in pritisnite Enter.

  2. V navigacijskem podoknu razširite overitelja potrdil (CA) in pojdite na Izdana potrdila.

  3. V podoknu s podrobnostmi izberite potrdilo uporabnika, ki ga želite preklicati.

  4. V menijski vrstici kliknite Action → All Tasks → Revoke Certificate.

  5. Navedite razlog za preklic, datum in čas ter potrdite s Yes.

  6. V navigacijskem podoknu pojdite na Preklicana potrdila.

  7. V menijski vrstici kliknite Action → All Tasks → Publish.

  8. Izberite seznam preklicev, ki ga želite objaviti, in potrdite s OK.

Opomba

Med vsakim poskusom prijave s pametno kartico sistem Windows preveri, ali je potrdilo, ki ga predstavlja pametna kartica, uvrščeno na seznam preklicanih potrdil (CRL). Če je potrdilo na seznamu CRL, je prijava zavrnjena. Vsak seznam CRL vsebuje veljavnost, zaradi katere preneha veljati. Windows poiskane CRL shrani v predpomnilnik in jih posodobi, če CRL kmalu poteče. Zato preklic ni takojšen in je odvisen od poteka veljavnosti CRL, ki ga ima odjemalec.

Uvoz potrdila uporabniške pametne kartice v osebno shrambo potrdil

Uporabniško potrdilo, ki je shranjeno v ključu Nitrokey, lahko uvozite v uporabnikovo osebno shrambo potrdil. V nekaterih primerih je to potreben postopek.

  1. Prepričajte se, da ste prijavljeni v uporabniški račun, ki mu ustreza certifikat.

  2. V ukazno vrstico, PowerShell ali Zaženi vnesite certsrv.msc in pritisnite Enter.

  3. V navigacijskem podoknu razširite shrambo ključev Personal in pojdite na Certificates.

  4. V menijski vrstici kliknite Action → All Tasks → Import.

  5. Sledite čarovniku za uvoz in na zahtevo predložite datoteko s potrdilom uporabnika.

  6. Po končanem uvozu preverite podokno s podrobnostmi za uvoženo potrdilo. Če je Nitrokey povezan, bi moralo biti v lastnostih potrdila prikazano sporočilo You have a private key that corresponds to this certificate., ki nakazuje, da je bilo mogoče identificirati zasebni na Nitrokeyu.