Ero sivun ”Tekniikka/Active Directory” versioiden välillä

Active Directory on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.

Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.

Guidelines for enabling smart card logon with third-party certification authorities^[1]

Kansalaisen henkilökortti

Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.

Vaatimukset kansalaisen henkilökortille^[1]

• toimivan sulkulistapalvelun (CDP) sijainti
• varmenteen kenttä Key Usage = Digital Signature
• varmenteen laajennos (EKU, enhanced key usage) kentät:
  • Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
  • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
• varmenteen kenttä Subject Alternative Name = Other Name: Principal Name= (UPN)
• varmenteen kenttä Subject = Distinguished name of user

Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.

Organisaatio - ja terveydenhuollon kortit

• theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla

Katso myös

• Henkilökortti
• Tekniikka/Samba Active Directory
• My Smart Logon

Aiheesta muualla

• Guidelines for enabling smart card logon with third-party certification authorities
• ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)

Lähteet