Ero sivun ”Tekniikka/Active Directory” versioiden välillä
| (17 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
| − | '''Active Directory''' | + | '''Active Directory''' on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan. |
| + | |||
| + | Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin. | ||
| + | |||
| + | Guidelines for enabling smart card logon with third-party certification authorities<ref name='kb281245'>[https://support.microsoft.com/en-us/kb/281245 microsoft.com KB 281245:] ''kala''</ref> | ||
== Kansalaisen henkilökortti == | == Kansalaisen henkilökortti == | ||
| − | Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat kentät | + | Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu. |
| + | |||
| + | Vaatimukset kansalaisen henkilökortille<ref name='kb281245'> ''The CRL Distribution Point (CDP) location (where CRL is the Certification Revocation List) must be populated, online, and available. For example:[1]CRL Distribution Point | ||
| + | Distribution Point Name: | ||
| + | Full Name: | ||
| + | URL=http://server1.name.com/CertEnroll/caname.crl | ||
| + | Key Usage = Digital Signature | ||
| + | Basic Constraints [Subject Type=End Entity, Path Length Constraint=None] (Optional) | ||
| + | Enhanced Key Usage = | ||
| + | Client Authentication (1.3.6.1.5.5.7.3.2) | ||
| + | (The client authentication OID) is only required if a certificate is used for SSL authentication.) | ||
| + | Smart Card Logon (1.3.6.1.4.1.311.20.2.2) | ||
| + | Subject Alternative Name = Other Name: Principal Name= (UPN). For example: | ||
| + | UPN = user1@name.com | ||
| + | The UPN OtherName OID is : "1.3.6.1.4.1.311.20.2.3" | ||
| + | The UPN OtherName value: Must be ASN1-encoded UTF8 string | ||
| + | Subject = Distinguished name of user. This field is a mandatory extension, but the population of this field is optional.''</ref> | ||
| + | |||
| + | * toimivan sulkulistapalvelun ([[CDP]]) sijainti | ||
| + | * varmenteen kenttä ''Key Usage = Digital Signature'' | ||
| + | * varmenteen laajennos ([[EKU]], enhanced key usage) kentät: | ||
| + | ** Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus | ||
| + | ** '''Smart Card Logon''' (1.3.6.1.4.1.311.20.2.2) | ||
| + | * varmenteen kenttä ''Subject Alternative Name = Other Name: Principal Name= ('''UPN''')'' | ||
| + | * varmenteen kenttä ''Subject = Distinguished name of user'' | ||
| + | |||
| + | Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia. | ||
| + | |||
| + | === Esimerkki Openssl.conf asetuksista === | ||
| + | |||
| + | <pre class="code"> | ||
| + | ??? | ||
| + | ??? | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | [[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille. | ||
| + | |||
| + | == Organisaatio - ja terveydenhuollon kortit == | ||
| + | |||
| + | Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita. | ||
| + | |||
| + | * [https://www.theseus.fi/bitstream/handle/10024/102234/ADTerveydenhuoltoFINAL.pdf?sequence=1 theseus.fi Active Directory -toimialueelle kirjautuminen terveydenhuollon toimikortilla] | ||
| + | |||
| + | |||
| + | == Open Source käyttöjärjestelmät == | ||
| + | Microsoft AD on Kerberos [[SSO]] ja [[LDAP]]-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy ''krb5-pkinit'' työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki. | ||
| + | |||
| + | Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue. | ||
| + | |||
| + | * http://web.mit.edu/kerberos/www/ | ||
== Katso myös == | == Katso myös == | ||
| + | * [[Henkilökortti]] | ||
| + | * [[Tekniikka/Samba Active Directory]] | ||
* [[My Smart Logon]] | * [[My Smart Logon]] | ||
| − | |||
== Aiheesta muualla == | == Aiheesta muualla == | ||
| + | * [https://support.microsoft.com/en-us/kb/281245 Guidelines for enabling smart card logon with third-party certification authorities] | ||
* [http://www.ietf.org/rfc/rfc4556.txt ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)] | * [http://www.ietf.org/rfc/rfc4556.txt ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)] | ||
| − | [[Luokka:Tekniikka]] | + | == Lähteet == |
| + | <references/> | ||
| + | |||
| + | [[Luokka:Tekniikka|A]] | ||
Nykyinen versio 3. syyskuuta 2017 kello 13.31
Active Directory on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.
Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.
Guidelines for enabling smart card logon with third-party certification authorities[1]
Sisällysluettelo
Kansalaisen henkilökortti
Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.
Vaatimukset kansalaisen henkilökortille[1]
- toimivan sulkulistapalvelun (CDP) sijainti
- varmenteen kenttä Key Usage = Digital Signature
- varmenteen laajennos (EKU, enhanced key usage) kentät:
- Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
- Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
- varmenteen kenttä Subject Alternative Name = Other Name: Principal Name= (UPN)
- varmenteen kenttä Subject = Distinguished name of user
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
Esimerkki Openssl.conf asetuksista
??? ???
Tekniikka/Henkilökortti sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.
Organisaatio - ja terveydenhuollon kortit
Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.
Open Source käyttöjärjestelmät
Microsoft AD on Kerberos SSO ja LDAP-hakemistopalvelin. Linux jakeluissa on toimiva MIT:n Kerberos-toteutus ja siihen löytyy krb5-pkinit työkalut joissa pitäisi olla PKCS11 asiakaspään varmenteiden tuki.
Eli Kerberos-tiketin voisi saada varmennekortilla tunnistautumalla ja käyttää palvelua joka ei varmenteita suoraan tue.
Katso myös
Aiheesta muualla
- Guidelines for enabling smart card logon with third-party certification authorities
- ietf.org rfc4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
Lähteet
- ↑ 1,0 1,1 microsoft.com KB 281245: kala Viittausvirhe: Virheellinen
<ref>-elementti; nimi ”kb281245” on määritetty usean kerran eri sisällöillä
