Ero sivun ”Tekniikka/Active Directory” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
 
(16 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
'''Active Directory''' on Microsoftin toimialueen pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista, tietyin rajoituksin ja muutoksin.
+
'''Active Directory''' on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.
 +
 
 +
Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.
 +
 
 +
Guidelines for enabling smart card logon with third-party certification authorities<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245:] ''kala''</ref>
  
<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245: ]
 
 
== Kansalaisen henkilökortti ==
 
== Kansalaisen henkilökortti ==
 
Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.
 
Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.
  
Vaatimukset kansalaisen henkilökortille<ref name='kb281245'>''The CRL Distribution Point (CDP) location (where CRL is the Certification Revocation List) must be populated, online, and available. For example:
+
Vaatimukset kansalaisen henkilökortille<ref name='kb281245'> ''The CRL Distribution Point (CDP) location (where CRL is the Certification Revocation List) must be populated, online, and available. For example:[1]CRL Distribution Point
[1]CRL Distribution Point
 
 
Distribution Point Name:
 
Distribution Point Name:
 
Full Name:
 
Full Name:
Rivi 20: Rivi 22:
 
The UPN OtherName OID is : "1.3.6.1.4.1.311.20.2.3"
 
The UPN OtherName OID is : "1.3.6.1.4.1.311.20.2.3"
 
The UPN OtherName value: Must be ASN1-encoded UTF8 string
 
The UPN OtherName value: Must be ASN1-encoded UTF8 string
Subject = Distinguished name of user. This field is a mandatory extension, but the population of this field is optional.''
+
Subject = Distinguished name of user. This field is a mandatory extension, but the population of this field is optional.''</ref>
 +
 
 +
* toimivan sulkulistapalvelun ([[CDP]]) sijainti
 +
* varmenteen kenttä ''Key Usage = Digital Signature''
 +
* varmenteen laajennos ([[EKU]], enhanced key usage) kentät:
 +
** Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
 +
** '''Smart Card Logon''' (1.3.6.1.4.1.311.20.2.2)
 +
* varmenteen kenttä ''Subject Alternative Name = Other Name: Principal Name= ('''UPN''')''
 +
* varmenteen kenttä ''Subject = Distinguished name of user''
 +
 
 +
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
 +
 
 +
=== Esimerkki Openssl.conf asetuksista ===
 +
 
 +
<pre class="code">
 +
???
 +
???
 +
</pre>
 +
 
 +
 
 +
[[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.
 +
 
 +
== Organisaatio - ja terveydenhuollon kortit ==
 +
 
 +
Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.
  
*  
+
* [https://www.theseus.fi/bitstream/handle/10024/102234/ADTerveydenhuoltoFINAL.pdf?sequence=1 theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla]
*kentät:
 
* Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
 
* Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
 
  
  
 +
== Open Source käyttöjärjestelmät ==
 +
Microsoft AD on Kerberos [[SSO]] ja [[LDAP]]-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy ''krb5-pkinit'' työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.
  
== Organisaatio - ja sairaanhoitohenkilöstön kortit ==
+
Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue.
  
 +
* http://web.mit.edu/kerberos/www/
  
 
== Katso myös ==
 
== Katso myös ==
 +
* [[Henkilökortti]]
 +
* [[Tekniikka/Samba Active Directory]]
 
* [[My Smart Logon]]
 
* [[My Smart Logon]]
  
 
== Aiheesta muualla ==
 
== Aiheesta muualla ==
 +
* [https://support.microsoft.com/en-us/kb/281245 Guidelines for enabling smart card logon with third-party certification authorities]
 
* [http://www.ietf.org/rfc/rfc4556.txt ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)]
 
* [http://www.ietf.org/rfc/rfc4556.txt ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)]
  
Rivi 41: Rivi 70:
 
<references/>
 
<references/>
  
[[Luokka:Tekniikka]]
+
[[Luokka:Tekniikka|A]]

Nykyinen versio 3. syyskuuta 2017 kello 13.31

Active Directory on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.

Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.

Guidelines for enabling smart card logon with third-party certification authorities[1]

Kansalaisen henkilökortti

Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.

Vaatimukset kansalaisen henkilökortille[1]

  • toimivan sulkulistapalvelun (CDP) sijainti
  • varmenteen kenttä Key Usage = Digital Signature
  • varmenteen laajennos (EKU, enhanced key usage) kentät:
    • Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
    • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • varmenteen kenttä Subject Alternative Name = Other Name: Principal Name= (UPN)
  • varmenteen kenttä Subject = Distinguished name of user

Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.

Esimerkki Openssl.conf asetuksista

???
???


Tekniikka/Henkilökortti sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.

Organisaatio - ja terveydenhuollon kortit

Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.


Open Source käyttöjärjestelmät

Microsoft AD on Kerberos SSO ja LDAP-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy krb5-pkinit työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.

Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue.

Katso myös

Aiheesta muualla

Lähteet

  1. 1,0 1,1 microsoft.com KB 281245: kala Viittausvirhe: Virheellinen <ref>-elementti; nimi ”kb281245” on määritetty usean kerran eri sisällöillä