5 554
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245: ]</ref>
== Organisaatio Eli Kerberos- tiketin voisi saada varmennekortilla tunnistautumalla ja sairaanhoitohenkilöstön kortit ==käyttää palvelua joka ei varmenteita suoraan tue.
'''Active Directory''' on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollistalisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan. Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, tietyin rajoituksin ja muutoksinmutta samat periaatteet pätevät soveltuvin osin. Guidelines for enabling smart card logon with third-party certification authorities<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245:] ''kala''</ref>
== Kansalaisen henkilökortti ==
Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.
Vaatimukset kansalaisen henkilökortille<ref name='kb281245'>''The CRL Distribution Point (CDP) location (where CRL is the Certification Revocation List) must be populated, online, and available. For example:[1]CRL Distribution Point
Distribution Point Name:
Full Name:
Subject = Distinguished name of user. This field is a mandatory extension, but the population of this field is optional.''</ref>
* toimivan sulkulistapalvelun ([[CDP]]) sijainti* varmenteen kenttä ''Key Usage = Digital Signature''*varmenteen laajennos ([[EKU]], enhanced key usage) kentät:** Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus* * '''Smart Card Logon ''' (1.3.6.1.4.1.311.20.2.2)* varmenteen kenttä ''Subject Alternative Name = Other Name: Principal Name= ('''UPN''')''* varmenteen kenttä ''Subject = Distinguished name of user'' Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia. === Esimerkki Openssl.conf asetuksista === <pre class="code">??????</pre> [[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille. == Organisaatio - ja terveydenhuollon kortit == Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita. * [https://www.theseus.fi/bitstream/handle/10024/102234/ADTerveydenhuoltoFINAL.pdf?sequence=1 theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla]
== Open Source käyttöjärjestelmät ==
Microsoft AD on Kerberos [[SSO]] ja [[LDAP]]-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy ''krb5-pkinit'' työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.
* http://web.mit.edu/kerberos/www/
== Katso myös ==
* [[Henkilökortti]]
* [[Tekniikka/Samba Active Directory]]
* [[My Smart Logon]]
== Aiheesta muualla ==
* [https://support.microsoft.com/en-us/kb/281245 Guidelines for enabling smart card logon with third-party certification authorities]
* [http://www.ietf.org/rfc/rfc4556.txt ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)]
<references/>
[[Luokka:Tekniikka|A]]
