Ero sivun ”Tekniikka/Active Directory” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
 
(12 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
'''Active Directory''' on Microsoftin toimialueen pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista, tietyin rajoituksin ja muutoksin.
+
'''Active Directory''' on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.
 +
 
 +
Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.
  
 
Guidelines for enabling smart card logon with third-party certification authorities<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245:] ''kala''</ref>
 
Guidelines for enabling smart card logon with third-party certification authorities<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245:] ''kala''</ref>
Rivi 26: Rivi 28:
 
* varmenteen laajennos ([[EKU]], enhanced key usage) kentät:
 
* varmenteen laajennos ([[EKU]], enhanced key usage) kentät:
 
** Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
 
** Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
** Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
+
** '''Smart Card Logon''' (1.3.6.1.4.1.311.20.2.2)
* varmenteen kenttä ''Subject Alternative Name = Other Name: Principal Name= (UPN)''
+
* varmenteen kenttä ''Subject Alternative Name = Other Name: Principal Name= ('''UPN''')''
 
* varmenteen kenttä ''Subject = Distinguished name of user''
 
* varmenteen kenttä ''Subject = Distinguished name of user''
  
 
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
 
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
  
== Organisaatio - ja sairaanhoitohenkilöstön kortit ==
+
=== Esimerkki Openssl.conf asetuksista ===
 +
 
 +
<pre class="code">
 +
???
 +
???
 +
</pre>
 +
 
 +
 
 +
[[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.
 +
 
 +
== Organisaatio - ja terveydenhuollon kortit ==
 +
 
 +
Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.
  
 
* [https://www.theseus.fi/bitstream/handle/10024/102234/ADTerveydenhuoltoFINAL.pdf?sequence=1 theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla]
 
* [https://www.theseus.fi/bitstream/handle/10024/102234/ADTerveydenhuoltoFINAL.pdf?sequence=1 theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla]
 +
 +
 +
== Open Source käyttöjärjestelmät ==
 +
Microsoft AD on Kerberos [[SSO]] ja [[LDAP]]-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy ''krb5-pkinit'' työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.
 +
 +
Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue.
 +
 +
* http://web.mit.edu/kerberos/www/
  
 
== Katso myös ==
 
== Katso myös ==
 +
* [[Henkilökortti]]
 +
* [[Tekniikka/Samba Active Directory]]
 
* [[My Smart Logon]]
 
* [[My Smart Logon]]
  
Rivi 46: Rivi 70:
 
<references/>
 
<references/>
  
[[Luokka:Tekniikka]]
+
[[Luokka:Tekniikka|A]]

Nykyinen versio 3. syyskuuta 2017 kello 13.31

Active Directory on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.

Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.

Guidelines for enabling smart card logon with third-party certification authorities[1]

Kansalaisen henkilökortti

Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.

Vaatimukset kansalaisen henkilökortille[1]

  • toimivan sulkulistapalvelun (CDP) sijainti
  • varmenteen kenttä Key Usage = Digital Signature
  • varmenteen laajennos (EKU, enhanced key usage) kentät:
    • Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
    • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • varmenteen kenttä Subject Alternative Name = Other Name: Principal Name= (UPN)
  • varmenteen kenttä Subject = Distinguished name of user

Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.

Esimerkki Openssl.conf asetuksista

???
???


Tekniikka/Henkilökortti sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.

Organisaatio - ja terveydenhuollon kortit

Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.


Open Source käyttöjärjestelmät

Microsoft AD on Kerberos SSO ja LDAP-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy krb5-pkinit työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.

Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue.

Katso myös

Aiheesta muualla

Lähteet

  1. 1,0 1,1 microsoft.com KB 281245: kala Viittausvirhe: Virheellinen <ref>-elementti; nimi ”kb281245” on määritetty usean kerran eri sisällöillä