Autentifikācija Windows darbstacijās ar eid viedkarti Konfigurācijas rokasgrāmata Konfigurācija atbilst Windows Server 2012 R2 un Windows Server 2008 R2 domēna kontroleriem ar atbilstošu Aktīvās Direktorijas (AD) domēna funcionālo līmeni un Windows darbstacijām ar Windows 7 vai Windows 10 operētājsistēmu. Versija1.0
Dokumenta pārvaldības informācija 01 Dokumenta atsauce Autentifikācija Windows darbstacijās ar eid viedkarti 02 Dokumenta tips Konfigurācijas rokasgrāmata 03 Drošības klasifikācija Publisks 04 Kopsavilkums Konfigurācija atbilst Windows Server 2012 R2 un Windows Server 2008 R2 domēna kontroleriem ar atbilstošu Aktīvās Direktorijas (AD) domēna funcionālo līmeni un Windows darbstacijām ar Windows 7 vai Windows 10 operētājsistēmu. 05 Dokumenta pārvaldība Dokumenta autors Izmaiņu kontrole Izplatīšanas kontrole LVRTC LVRTC LVRTC 06 Izmaiņu vēsture Versija Datums Kopsavilkums 19/12/2018 07 Atsauces https://support.microsoft.com/en-us/help/295663/how-to-import-third-party-certification-authority-ca -certificates-into 08 Atbalsts LVRTC nenodrošina atbalstu klientu infrastruktūras un tīkla konfigurācijas jautājumos. 1
Satura radītājs Dokumenta pārvaldības informācija 1 Savietojamība 3 Priekšnosacījumi 3 Domēna kontrolieris 3 Darba stacijās 3 Izmantotie saīsinājumi 4 Konfigurācija 5 Saknes sertifikātu uzstādīšana 5 Vispārīga GPO konfigurācija 6 Lietotāju kontu konfigurācija 7 Konfigurācijas atkļūdošana 9 Autentifikācija lietotāja darbstacijā ar eid 10 2
Savietojamība Konfigurācija atbilst Windows Server 2012 R2 un Windows Server 2008 R2 domēna kontroleriem ar atbilstošu Aktīvās Direktorijas (AD) domēna funcionālo līmeni un Windows darbstacijām ar Windows 7 vai Windows 10 operētājsistēmu. Domēna kontroleriem ar Windows Server 2016 vajadzētu būt savietojamiem ar norādīto konfigurāciju, tā kā sertifikācijas servisi šajā OS neatšķiras no Windows Server 2012 R2, bet šī konfigurācija nav testēta. Konfigurācija nav savietojama ar Windows XP un vecākām Windows operētājsistēmām atšķirīgas Smart Card (SC) servisa arhitektūras dēļ. Konfigurācija teorētiski ir savietojama ar Windows Vista, bet šīs izpētes ietvaros tas nav testēts, tā kā Microsoft ir pārtraucis Vista tehnisko atbalstu 2017. gadā. Priekšnosacījumi Domēna kontrolieris Uzinstalēts Windows 2012 R2 vai Windows 2008 R2 serveris ar uzinstalētiem un sakonfigurētiem sekojošiem servisiem: - Active Directory Certificate Services - nepieciešams uzstādīt lai varētu sakonfigurēt Enterprise CA. Šis serviss var tikt instalēts uz atsevišķa servera domēnā, kas nav domēna kontroleris. - Active Directory Domain Services - nepieciešams lai uzstādītu AD uz domēna kontrolera. - Enterprise CA jābūt sakonfigurētam - nepieciešams lai izveidotu NTAuth konfigurācijas glabātuvi AD konfigurācijas (Configuration) konteinerā AD forest (domēnu kopas) līmenī. CA tips var būt gan Root CA ( self-signed ) gan Subordinate CA un parakstīšanai ieteicams izmantot SHA256 hash algoritmu drošības apsvērumu dēļ. - Domēna kontrolieriem (DC) jābūt izsniegtiem sertifikātiem ar EKU Client Authentication, Server Authentication, Smart Card Logon un KDC Authentication (DC Local computer / Personal Certificates konteinerī) no nokonfigurētā Enterprise CA. Minētie EKU var tikt iekļauti arī vienā sertifikātā. - Pieejams interneta tīkla pieslēgums Darba stacijās - Pievienota domēnam un pieejams savienojums ar DC; - Tiek izmantota lokāla interaktīva pieteikšanās; - Pieejams interneta pieslēgums; - Pievienotas karšu lasītājs un uzinstalēts attiecīgā karšu lasītāja draiveris; - Uzinstalēti eid kartes draiveri ( eid-lv middleware ), pieejama eid karte; - Smartcard Credential Provider {8FD7E19C-3BF7-489B-A72C-846AB3678C96} jābūt ieslēgtam (ir ieslēgts pēc noklusējuma). 3
Izmantotie saīsinājumi Saīsinājums AD PKI CA AD CS EKU SCP GPO SAN SC SHA1 SKI DC CRL Skaidrojums Active Directory - Windows server komponente, kas nodrošina centralizētu darbstaciju un lietotāju pārvaldību. Private Key Infrastructure - lomu un politiku kopums kas ļauj veidot, izplatīt un pārvaldīt digitālos sertifikātus. Certification Authority - Sertifikātu izsniedzējs Active Directory Certification Services - Windows Server rīku kopums, kas ļauj veidot savu vai paplašināt eksistējošu PKI infrastruktūru Enhanced Key Usage - sertifikāta paplašinājums, kas ļauj norādīt mērķus kam sertifikāts paredzēts. Windows komponents, kas nodrošina pieteikšanās skatā sertifikātu uzskaitījumu un PIN koda ievades lauku. Group Policy Object - aktīvās direktorijas grupu politikas objekts ko iespējams rediģēt ar Group Policy Management Editor konsoli. Subject Alternate Name - sertifikāta paplašinājums kas ietver alternatīvos sertifikāta subjekta identifikātorus. Smart Card - viedkarte, kas satur vienu vai vairākus tā turētājam izsniegtus sertifikātus Secure Hash Algorithm 1 - hash algroritms Subject Key Identifier - sertifikāta paplašinājums, kas ļauj precīzi identificēt sertifikātu, sertifikāta hash vērtība. Domain Controller - AD serveris, kas nodrošina informācijas uzturēšanu par darbstacijām un lietotājiem. Certificate Revocation List - CA uzturēts saraksts ar sertifikātiem, kas vairs nav derīgi. 4
Konfigurācija Saknes sertifikātu uzstādīšana Uzstāda saknes sertifikātus jaunā un vecā parauga karšu sertifikātu izsniedzējiem uz DC un darba stacijām 1. Lejupielādē saknes sertifikātus: a. Vecā parauga kartēm http://www.eme.lv/aia/e-me%20ssi%20(rca).crt b. Jaunā parauga kartēm http://www.eparaksts.lv/cert/eparaksts_root_ca.crt 2. Grupu politikas (GPO) pārvaldības konsolē (Group Policy Management Editor) atver sadaļu: Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policy 3. Pievieno lejupielādētos sertifikātus Trusted Root Certification Authorities Piezīme! Darba stacijās grupu politika atjaunojas asinhroni, ielādēt izmaiņas nepieciešams izpildīt komandu gpupdate 1. Pievieno saknes sertifikātus NTAuthCA AD konfigurācijai. Vienkāršāk to izdarīt ar certutil komandu: certutil -dspublish -f.\e-me%20ssi%20(rca).crt NTAuthCA certutil -dspublish -f.\eparaksts_root_ca.crt NTAuthCA 5
Vairāk informācijas: https://support.microsoft.com/en-us/help/295663/how-to-import-third-party-certification-authority-ca -certificates-into Vispārīga GPO konfigurācija 1. Sadaļa Computer configuration / Administrative Templates / Windows Components / Smart card Piezīme! Jāieslēdz Allow certificates with no extended key usage certificate attribute tā kā eid autentifikācijas sertifikātā EKU Smart Card authentication nav minēts. 2. Ja tiek izmantoti vairāki AD vienā AD forest un lietotājvārdi viena forest ietvaros nav unikāli, iespējams ieslēgt arī Allow user name hint GPO opciju, kas ļaus lietotājam ievadīt savu AD domēnu un lietotājvārdu, lai varētu precīzi identificēt lietotāju forest ievaros. 6
Lietotāju kontu konfigurācija Konfigurē lietotāja kontus, kas izmantos SC autentifikāciju. Tā kā eid kartes sertifikātā nav SAN lauka ar AD lietotājvārdu (UPN) ir nepieciešams veikt asociāciju starp sertifikātu un atbilstošo AD lietotāju. Ir virkne atribūtu pēc kuriem iespējams to konfigurēt. Lauks sertifikātā altsecurityidentities vērtība Subject and Issuer fields X509:<I>C=LV,O=VAS Latvijas Valsts radio un televīzijas centrs,2.5.4.97=ntrlv-40003011203,cn =LV eid ICA 2017<S>C=LV,CN=NAME SURNAME,SN=SURNAME,GN=NAME,S ERIALNUMBER=PNOLV-123123-11111 Subject DN X509:<S>C=LV,CN=NAME SURNAME,SN=SURNAME,GN=NAME,S ERIALNUMBER=PNOLV-123123-11111 Issuer, and Serial Number X509:<I>C=LV,O=VAS Latvijas Valsts radio un televīzijas centrs,2.5.4.97=ntrlv-40003011203,cn =LV eid ICA 2017<SR>32000000000003bde810 SHA1 Hash X509:<SHA1-PUKEY>ed913fa41377dbfb 8eac2bc6fcae71ecd4a974fd Subject Key Identifier X509:<SKI>ddde2ca4b86db8a908b95c6c bcc8bb1ac7a09a41 Tabula 1. altsecurityidentities formatēšana Vairāk informācijas: a) https://blogs.msdn.microsoft.com/spatdsg/2010/06/18/howto-map-a-user-to-a-certifi cate-via-all-the-methods-available-in-the-altsecurityidentities-attribute/ b) https://docs.microsoft.com/en-us/windows/desktop/adschema/a-altsecurityidentities 7
Šajā gadījumā izmantosim Subject Key Identifier (SKI) lauku no sertifikāta, tā kā nav jānodrošina specifiskais kodējums kā tas ir citos gadījumos. Šeit redzams ka Subject Key Identifier vērtība ir 16F2F6ED2BE3D351482C6428B94CDA887A1F919E, attiecīgi pēc tabulas nr. 1 nozimē ka vajadzīgā atribūta altsecurityidentities vērtība būs: X509:<SKI> 16F2F6ED2BE3D351482C6428B94CDA887A1F919E Piezīme! Līdzīgu principu var izmantot pārējiem tabulā minētajiem unikālajiem sertifikāta atribūtiem. Lai atribūtu nopublicētu AD to pievieno ar Attribute Editor sadaļā attiecīgam sertifikāta īpašnieka lietotājam kā jaunu vērtību altsecurityidentities atribūtam Active Directory Users and Computers konsolē: 8
Piezīme! Lai Sadaļa attribute editor tiktu atrādīta, jāieslēdz Advanced features Directory Users and Computers konsolē. Konfigurācijas atkļūdošana 1. Eksportē autentifikācijas sertifikātu no SC un saglabā failā. 2. Pārbauda sertifikāta CRL un saknes sertifikātu konfigurāciju ar komandu. certutil -verify -urlfetch <file.cer> 3. Komandai jāatgriež veiksmīgs rezultāts gan uz darbstacijas, gan uz DC servera. 9
Autentifikācija lietotāja darbstacijā ar eid 10