Wiadomości
Tokeny USB a logowanie się do domeny pod W2k3
17 października 2007 13:33,
Patryk Królikowski
Kupiłem ostatnio kilka tokenów USB, za pomocą których chciałbym móc logować się do domeny pracującej pod kontrolą Microsoft Windows 2003. W niedalekiej przyszłości będę chciał zwiększyć ilość tokenów, ale najpierw muszę przeprowadzić testy. Co i jak muszę zrobić żeby uruchomić tą funkcjonalność?
W przypadku, kiedy w firmie funkcjonuje już środowisko domenowe najprościej wskazany cel osiągnąć poprzez zainstalowanie i skonfigurowanie usługi Microsoft CA czyli Urzędu Certyfikacji. Jest on o tyle wdzięcznym narzędziem, że nie wymaga zakupu dodatkowych licencji, a poza tym umożliwia sterowanie procesem umieszczania certyfikatów na tokenach za pośrednictwem webowego interfejsu zarządzania.
Usługa IIS
Oprogramowanie Microsoft CA jest dostępne "z pudełka" w systemie Microsoft Windows Server 2003. Do jego poprawnego funkcjonowania niezbędne jest zainstalowanie usługi IIS na serwerze, gdzie zostanie postawione Microsoft CA. Ta czynność trwa zaledwie kilka minut. Jeżeli z jakiegoś powodu nie można od razu zainstalować IIS-a można to zrobić po instalacji CA z tym, że konieczne będzie wówczas ręczne zarejestrowanie katalogu wirtualnego w IIS-ie (polecenie certutil -vroot).
Urząd Certyfikacji
Kiedy IIS zacznie działań można przystąpić do instalacji CA (Start -> Panel sterowania -> Dodaj Usuń programy -> Dodaj/Usuń składniki systemu Windows -> Usługi certyfikatów. Ważne jest, że po zainstalowaniu CA nie można zmieniać członkowstwa w domenie ani nazwy serwera. Podczas instalacji CA należy wybrać jako typ urzędu certyfikacji "Główny urząd certyfikacji przedsiębiorstwa", nadać mu nazwę, wskazać lokalizację bazy certyfikatów. Pod koniec procesu instalacji powinniśmy się zgodzić na zatrzymanie IIS-a oraz włączenie ASP (Active Server Pages). Na tym etapie mamy uruchomioną usługę urzędu certyfikacji.
Szablony
Kolejna sprawa, to zainstalowanie odpowiednich szablonów, w oparciu o które będą mogły zostać wygenerowane odpowiednie certyfikaty. Szablony certyfikatów uruchamiane są z poziomu przystawki "certtmpl.msc". W przypadku, kiedy certyfikaty na tokenach USB mają być wykorzystywane do logowania w domenie Windows, można wykorzystać dwa szablony: "Logowanie kartą inteligentną" lub "Użytkownik karty smartcard". W przypadku tego pierwszego możliwe będzie jedynie zalogowanie do domeny; drugi oprócz logowania oferuje możliwość podpisywania poczty elektronicznej. Potrzebny jest jeszcze jeden szablon - "Agent Rejestrowania", który służy do tworzenia certyfikatów przez administratora na tzw. stacji rejestrowania w imieniu innych użytkowników. Każdy z tych szablonów przed zainstalowaniem musi zostać odpowiednio zmodyfikowany pod kątem uprawnień dostępu (zakładka "Zabezpieczenia"). W przypadku "Logowania kartą inteligentną" oraz "Użytkownika karty smartcard" należy wskazać użytkowników lub grupy, którzy będą mieli prawo korzystania z szablonów (w kolumnie "Zezwól" zaznacz "Odczyt" oraz "Rejestrowanie"). Te same prawa należy w szablonie "Agent rejestrowania" przyznać użytkownikowi, który będzie odpowiedzialny za występowanie o certyfikaty w imieniu użytkowników i umieszczanie ich na tokenie USB. Kolejnym krokiem jest zainstalowanie tak zmodyfikowanych szablonów (z poziomu przystawki "Urząd Certyfikacji" -> "Nazwa CA" -> "Szablony certyfikatów" -> Nowy -> Nowy szablon do wystawienia).
Stacja rejestrowania
Mając przygotowane wszystkie szablony można przystąpić do stworzenia stacji rejestrowania. Tą może być dowolny komputer z systemem Windows XP Pro/2003 z zainstalowanymi sterownikami oraz oprogramowaniem do obsługi tokenu USB. Konieczne jest też wystąpienie z jej poziomu o certyfikat agenta rejestrowania. Czynność ta wykonywana jest z przystawki "Certyfikaty" dla konkretnego użytkownika do konsoli MMC (w konsoli MMC: Plik -> Dodaj/Usuń przystawkę). Mając uruchomioną przystawkę generujemy żądanie wystawienia certyfikatu (okno Certyfikaty -> Bieżący użytkownik -> Osobisty -> menu Akcja -> Wszystkie zadania -> Żądaj nowego certyfikatu -> Agent Rejestrowania). Jeżeli wszystko przebiegło zgodnie z planem nowy certyfikat powinien być widoczny w oknie certyfikatów osobistych. Stacja rejestrowania jest już gotowa.
Certyfikacje na tokenie USB
Teraz możemy przystąpić do wygenerowania certyfikatu dla każdego z użytkowników, a następnie umieścić go automatycznie na tokenie USB. Czynność tę wykonujemy z poziomu interfejsu WWW na stacji rejestrowania (http://"nazwa lub adres serwera z zainstalowanym CA"/certsrv). Tutaj postępujemy w następujący sposób. Z menu wybieramy "Żądanie certyfikatu" -> "Możesz przesłać zaawansowane żądanie certyfikatu" -> "Zażądaj certyfikatu dla karty inteligentnej w imieniu innego użytkownika korzystając ze stacji rejestrowania certyfikatów kart inteligentnych". Teraz wystarczy tylko wybrać odpowiednie parametry np.
Usługa IIS
Oprogramowanie Microsoft CA jest dostępne "z pudełka" w systemie Microsoft Windows Server 2003. Do jego poprawnego funkcjonowania niezbędne jest zainstalowanie usługi IIS na serwerze, gdzie zostanie postawione Microsoft CA. Ta czynność trwa zaledwie kilka minut. Jeżeli z jakiegoś powodu nie można od razu zainstalować IIS-a można to zrobić po instalacji CA z tym, że konieczne będzie wówczas ręczne zarejestrowanie katalogu wirtualnego w IIS-ie (polecenie certutil -vroot).
Urząd Certyfikacji
Kiedy IIS zacznie działań można przystąpić do instalacji CA (Start -> Panel sterowania -> Dodaj Usuń programy -> Dodaj/Usuń składniki systemu Windows -> Usługi certyfikatów. Ważne jest, że po zainstalowaniu CA nie można zmieniać członkowstwa w domenie ani nazwy serwera. Podczas instalacji CA należy wybrać jako typ urzędu certyfikacji "Główny urząd certyfikacji przedsiębiorstwa", nadać mu nazwę, wskazać lokalizację bazy certyfikatów. Pod koniec procesu instalacji powinniśmy się zgodzić na zatrzymanie IIS-a oraz włączenie ASP (Active Server Pages). Na tym etapie mamy uruchomioną usługę urzędu certyfikacji.
Szablony
Kolejna sprawa, to zainstalowanie odpowiednich szablonów, w oparciu o które będą mogły zostać wygenerowane odpowiednie certyfikaty. Szablony certyfikatów uruchamiane są z poziomu przystawki "certtmpl.msc". W przypadku, kiedy certyfikaty na tokenach USB mają być wykorzystywane do logowania w domenie Windows, można wykorzystać dwa szablony: "Logowanie kartą inteligentną" lub "Użytkownik karty smartcard". W przypadku tego pierwszego możliwe będzie jedynie zalogowanie do domeny; drugi oprócz logowania oferuje możliwość podpisywania poczty elektronicznej. Potrzebny jest jeszcze jeden szablon - "Agent Rejestrowania", który służy do tworzenia certyfikatów przez administratora na tzw. stacji rejestrowania w imieniu innych użytkowników. Każdy z tych szablonów przed zainstalowaniem musi zostać odpowiednio zmodyfikowany pod kątem uprawnień dostępu (zakładka "Zabezpieczenia"). W przypadku "Logowania kartą inteligentną" oraz "Użytkownika karty smartcard" należy wskazać użytkowników lub grupy, którzy będą mieli prawo korzystania z szablonów (w kolumnie "Zezwól" zaznacz "Odczyt" oraz "Rejestrowanie"). Te same prawa należy w szablonie "Agent rejestrowania" przyznać użytkownikowi, który będzie odpowiedzialny za występowanie o certyfikaty w imieniu użytkowników i umieszczanie ich na tokenie USB. Kolejnym krokiem jest zainstalowanie tak zmodyfikowanych szablonów (z poziomu przystawki "Urząd Certyfikacji" -> "Nazwa CA" -> "Szablony certyfikatów" -> Nowy -> Nowy szablon do wystawienia).
Stacja rejestrowania
Mając przygotowane wszystkie szablony można przystąpić do stworzenia stacji rejestrowania. Tą może być dowolny komputer z systemem Windows XP Pro/2003 z zainstalowanymi sterownikami oraz oprogramowaniem do obsługi tokenu USB. Konieczne jest też wystąpienie z jej poziomu o certyfikat agenta rejestrowania. Czynność ta wykonywana jest z przystawki "Certyfikaty" dla konkretnego użytkownika do konsoli MMC (w konsoli MMC: Plik -> Dodaj/Usuń przystawkę). Mając uruchomioną przystawkę generujemy żądanie wystawienia certyfikatu (okno Certyfikaty -> Bieżący użytkownik -> Osobisty -> menu Akcja -> Wszystkie zadania -> Żądaj nowego certyfikatu -> Agent Rejestrowania). Jeżeli wszystko przebiegło zgodnie z planem nowy certyfikat powinien być widoczny w oknie certyfikatów osobistych. Stacja rejestrowania jest już gotowa.
Certyfikacje na tokenie USB
Teraz możemy przystąpić do wygenerowania certyfikatu dla każdego z użytkowników, a następnie umieścić go automatycznie na tokenie USB. Czynność tę wykonujemy z poziomu interfejsu WWW na stacji rejestrowania (http://"nazwa lub adres serwera z zainstalowanym CA"/certsrv). Tutaj postępujemy w następujący sposób. Z menu wybieramy "Żądanie certyfikatu" -> "Możesz przesłać zaawansowane żądanie certyfikatu" -> "Zażądaj certyfikatu dla karty inteligentnej w imieniu innego użytkownika korzystając ze stacji rejestrowania certyfikatów kart inteligentnych". Teraz wystarczy tylko wybrać odpowiednie parametry np.
Komentarze (2)
NesZu czy mógłbyś podać maila do siebie? chciałbym zapytać Cię o tego agenta rejestrowania. mój e-mail davidoff1983@poczta.fm
Szkoda ze nie miałem możliwości poczytania o tych wskazowkach w 2006 roku :) i musiałem sam sie zmagać , ale przynajmniej teraz wiem jak jest z tym agentem rejestrowania i jak sie go tworzy ( bo z tym miałem wtedy jakis problem). POLECAM!
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...