Czasami, jeżeli zachodzi potrzeba usprawnienia logowania do Windows w danej organizacji, możemy zastosować kartę inteligentną. Rozwiązanie to zapewnia bezpieczeństwo dostępu do danych, ponieważ do zalogowania wymagana jest fizyczna karta inteligentna. Logowanie kartą inteligentną jest też szybsze niż wpisywanie hasła. W niniejszy poradniku pokażę konfigurację karty inteligentnej w Active Directory.
I Konfiguracja serwera
Przed rozpoczęciem konfiguracji wymagane jest zainstalowanie roli Active Directory.
Jeśli rola Active Directory już jest zainstalowana, to trzeba zainstalować rolę Usługi Certyfikatów Active Directory. Przy instalacji tej roli należy zainstalować następujące usługi ról:
- Urząd Certyfikacji:
- Obiekt odpowiadający w trybie online
- Rejestracja w sieci web dla urzędu certyfikacji
Po zainstalowaniu należy wykonać konfigurację po wdrożeniu. Wykonujemy ją do wszystkich poprzednio zainstalowanych ról. Można zastosować domyślne ustawienia proponowane przez system.
Następnie należy doinstalować dwie kolejne usługi roli Usługi Certyfikatów Active Directory:
- Usługa sieci web uzyskiwania informacji na temat certyfikatu
- Usługa sieci web uzyskiwania informacji na temat zasad rejestracji certyfikatu
Potem należy otworzyć konsole mmc i otwieramy następujące przystawki:
- Certyfication Authority – Urząd certyfikacji (Lokalny)
- Certyfikaty
- Menedżer internetowych usług informacyjnych (IIS)
Później w urzędzie certyfikacji musimy utworzyć następujące szablony certyfikatów:
- Agent rejestracji
- Logowanie karta inteligentną.
Aby to zrobić wchodzimy do urzędu certyfikacji i przechodzimy do Szablonów certyfikatów, na którym wybieramy z menu kontekstowego Nowy – Szablon certyfikatu do wystawienia. Wybieramy szablon i zatwierdzamy.
Gdy mamy już te szablony można przejść do certyfikatów i utworzyć certyfikat agenta żądania. Aby to zrobić przechodzimy do przystawki certyfikaty i w certyfikatach osobistych z menu kontekstowego wybieramy Wszystkie zadania – żądaj nowego certyfikatu.
Z szablonów certyfikatów wybieramy Agent Rejestracji. Następnie rejestrujemy certyfikat.
Jeszcze musimy przygotować certyfikat dla SSL, aby można generować certyfikaty online. W tym celu przechodzimy do przystawki Menedżer Internetowych Usług Informacyjnych. Następnie wybieramy certyfikaty serwera.
Później wybieramy Utwórz certyfikat domeny.
Wpisujemy wymagane dane:
Wybieramy urząd certyfikacji online oraz podajemy przyjazna nazwę.
Potem przechodzimy na default Web Site i wybieramy edytuj powiązania
Potem dodajemy nowe powiązanie witryny. Wybieramy typ https, odpowiedni certyfikat i zatwierdzamy.
II. Instalacja urządzeń do logowania za pomocą karty inteligentnej na serwerze lub na komputerze klienckim
Najpierw należy włożyć do napędu płytę ze sterownikami do czytnika kart inteligentnych. Sterowniki te musimy zainstalować ręcznie. W tym celu przechodzimy do menedżera urządzeń – następnie do czytnika kart inteligentnych. Tam z menu kontekstowego wybieramy Aktualizuj sterowniki.
Następnie wybieramy – Przeglądaj mój komputer w poszukiwaniu oprogramowania sterownika.
Potem należy wybrać – Pozwól mi wybrać z listy sterowników urządzeń na moim Komputerze
Następnie wybieramy: Z dysku
Następnie należy przejść na płytce przez następujące foldery: Drivers – Windows – 64 BITS_Driver_for_Win_XP_Vista_Win7_2003_2008_2008R2
Potem wybieramy znajdujący się w tym folderze plik GKUPRO2B.inf, zatwierdzamy i kończymy instalację.
Potem należy zainstalować program IDProtect_Client, który służy do zarządzania kartą inteligentną. Jest on dostępny w dwóch wersjach językowych: polskiej i angielskiej i posiada bogatą dokumentację w języku angielskim. Jeżeli instalujemy program w systemie 64-bitowym to wybieramy setupx64.exe, a w przypadku 32-itowego setup.exe.
Po zainstalowaniu programu musimy zainstalować sterownik do karty inteligentnej.
Znajduje się on w ścieżce instalacyjnej programu:
C:\Program Files (x86)\Athena\IDProtect Client
Wchodzimy ponownie w manager urządzeń i wkładamy kartę do czytnika.
Następnie należy wybrać z menu kontekstowego: Dodaj starszy sprzęt, gdyż karty tej nie widać w managerze urządzeń.
Wybieramy wyszukaj i zainstaluj automatycznie nowy sprzęt.
Potem wybieramy z list: Karty inteligentne
Następnie pojawiają się nam trzy znalezione sterowniki. Należy zainstalować IDProtect Minidriver.
Po ukończeniu tej części konfiguracji zalecany jest restart systemu.
III. Konfiguracja karty i wygenerowanie certyfikatu użytkownika
Za nim przystąpimy do generowania certyfikatu należy sprawdzić czy karta została spersonalizowana i zainicjowana. W tym celu należy uruchomić program IDProtect Manager, którego ikonka znajduje się w zasobniku systemowym obok zegara.
W tym przypadku widzimy, że karta jest spersonalizowana. Jeżeli jednak karta nie jest spersonalizowana, to należy sformatować kartę za pomocą narzędzia IDProtect Format. Program ten znajdziemy w C:\Program Files (x86)\Athena\IDProtect Client\Utils.
Aby sformatować kartę należy wybrać przycisk Formatuj.
Po wybraniu należy wprowadzić PIN administratora. Dla Profilu – ASE Default domyślny pin to: 00000000.
Po kilkunastu sekundach karta zostaje sformatowana i zainicjowana, więc możemy przejść do generowania certyfikatu.
Aby to zrobić wybieramy mmc i dodajemy przystawkę certyfikaty.
Przechodzimy do certyfikatów osobistych i z menu kontekstowego wybieramy; Operacje Zaawansowane – Zarejestruj w imieniu
Wybieramy certyfikat podpisywania
Następnie wybieramy szablon logowanie kartą inteligentną i przechodzimy do właściwości.
Wybieramy dostawcę użytkownika ASECard Crypto CSP (Szyfrowanie) i zatwierdzamy.
Następnie wybieramy użytkownika, który będzie się logował za pomocą tej karty. I rejestrujemy certyfikat.
Potem musimy podać pin użytkownika. Domyślny Pin to: 11111111. Po zaakceptowaniu karta jest gotowa i możemy się już logować.
