Rozwiązania natychmiastowe : zobacz na stronie:
Instalowanie certyfikatu użytkownika
Eksportowanie certyfikatu
Instalowanie certyfikatu jednostki certyfikującej (CA)
Konfigurowanie Active Directory, aby można było przypisywać nazwy główne użytkownika (User Principal Name -— UPN)
Konfigurowanie Active Directory, aby stosować odwzorowanie różnowartościowe (one-to-one mapping)
Konfigurowanie usługi Internet Information Server (IIS), aby stosować przyporządkowanie jeden-do-jednego (one-to-one mapping)
Konfigurowanie Active Directory, aby stosować przyporządkowanie wiele-do-jednego (many-to-one mapping)
Konfigurowanie usługi Internet Information Server (IIS) , aby stosować przyporządkowanie wiele-do-jednego (many-to-one mapping)
Testowanie przypisania (mapping)
System operacyjny Windows 2000, dzięki uniwersalnemu modelowi administrowania, umożliwia zarządzanie kontami użytkowników na wiele sposobów. W systemach przedsiębiorstw, gdzie występuje stosunkowo niewiele zagrożeń, model konto użytkownika/-hasło (user account/-password) sprawdza się bardzo dobrze. Jednak sytuacja zmienia się w przypadku Internetu, który jest środowiskiem wrogim i ataki z zastosowaniem identyfikatora użytkownika oraz hasła (user ID/ password attacks) stanowią poważny problem. Przypisywanie certyfikatów (certificate mapping) umożliwia rozwiązanie tego problemu za pomocą technologii klucza publicznego, ponieważ klucze te są lepszym zabezpieczeniem niż systemy korzystające z haseł.
W systemie Windows 2000 można przypisywać (map) certyfikat z kluczem publicznym, wydany użytkownikowi, do konta tego użytkownika. Certyfikat ten może być następnie używany z usługą Internet Information Server (IIS), więc aplikacje serwera do uwierzytelniania użytkownika stosują technologię klucza publicznego (pPublic Kkey tTechnology — PKT). Wynik jest ten taki sam, co jak w przypadku podawania identyfikatora użytkownika (user ID) i hasła, ale proces jest bardziej bezpieczniejszy.
Wraz z rozbudową systemu i zwiększeniem stopnia rozproszenia, z setkami tysięcy użytkowników, scentralizowany nadzór nad hasłami staje się coraz trudnyiejszy. Z drugiej strony, certyfikaty z kluczem publicznym mogą być szeroko stosowane, mogą być wydawane przez różne instytucje i weryfikowane bez konieczności odwoływania się do centralnej bazy danych. Jednak istniejące obecnie systemy operacyjne i narzędzia administracyjne dotyczą tylko kont, a nie certyfikatów. Rozwiązaniem jest utworzenie skojarzenia (przypisania -— mapping), pomiędzy certyfikatem a kontem użytkownika. Umożliwia to systemowi operacyjnemu używanie kont, podczas gdy duże systemy i użytkownicy korzystają z certyfikatów.
W modelu tym użytkownik przedstawia certyfikat, a system sprawdza Odwzorowanie (Mapping) aby określić, na które konto użytkownika zostanie zalogowany. Nie należy tego mylić z logowaniem się za pomocą kart elektronicznych (smart card logons), w tym przypadku również odwzorowuje się certyfikaty w sposób niejawny. Przyporządkowanie certyfikatu użytkownikowi systemu Windows 2000 może być wykonane za pomocą usług katalogowych Active Directory lub Internet Information Server (IIS). Usługa Internet Information Server IIS korzysta z certyfikatu do uwierzytelnienia użytkownika.
Rozwiązana pokrewne : zobacz na stronie:
Stosowanie zabezpieczeń systemu Windows 2000 z kluczem publicznym
Logowanie się za pomocą kart elektronicznych (smart card)
Certyfikat może być przyporządkowany do konta użytkownika na dwa sposoby:
· dDo jednego konta użytkownika przypisany jest jeden certyfikat — (przyporządkowanie jeden-do-jednego) — (one-to-one mapping),.
· dDo jednego konta użytkownika przypisanych jest wiele certyfikatów — (przyporządkowanie wiele-do-jednego) — (many-to-one mapping).
Przypisywanie nazw głównych użytkowników (User Principal Name -— UPN) jest specjalnym przypadkiem odwzorowania różnowartościowego (one-to-one mapping), którego można dokonać za pomocą usług katalogowych Active Directory. Jednostki certyfikujące przedsiębiorstwa (enterprise CA) umieszczają w każdym certyfikacie pozycję o nazwie Nnazwa Główna Użytkownika (User Principal Name), która wygląda podobnie jak adres e-mail. Nazwa UPN jest niepowtarzalna w domenie systemu Windows 2000 i stosowana jest do znajdowania konta użytkownika w Active Directory. Przyporządkowanie nazw głównych użytkowników (UPN) w systemie Windows 2000 dokonywane jest w sposób niejawny i służy do logowania się za pomocą kart elektronicznych (smart cards).
Odwzorowanie jeden-do-jednego (one-to-one mapping) polega na przypisaniu pojedynczego certyfikatu użytkownika do jednego konta użytkownika. Przyjmijmy, na przykładp., że firma chce udostępnić pracownikom stronę sieci Web, aby umożliwić im korzystanie z dokumentów firmowych oraz przesyłanie sprawozdań tygodniowych. Strona ta ma być dostępna przez Internet i musi być zabezpieczona. Firma może wydać certyfikat każdemu pracownikowi za pomocą swoich służb certyfikujących lub korzystając z zatwierdzonych jednostek certyfikujących. Kontom użytkowników systemu Windows 2000 przyporządkowywane są certyfikaty użytkowników. Pracownik może potem łączyć się z daną stroną sieci Web, korzystając z protokołu Secure Sockets Layer (SSL) po przedstawiając przedstawieniu swóojego certyfikatu.
Przyporządkowanie wiele-do-jednego (many-to-one mapping) polega na przypisaniu wielu certyfikatów do jednego konta użytkownika. Przyjmijmy, że korzystamy z usług agencji pośrednictwa pracy, ponieważ nasza firma chce zatrudnić pracowników w niepełnym wymiarze godzin. Personelowi tej agencji należy udostępnić stronę sieci Web, na której zamieszczono bieżące wakaty, i do której poza tym mają dostęp tylko pracownicy firmy. Agencja ma własną jednostkę certyfikującą (CA), która wydaje certyfikaty jej pracownikom.
Po zainstalowaniu certyfikatu głównego jednostki certyfikującej (CA) agencji jako zaufanego certyfikatu głównego (trusted root) w przedsiębiorstwie można ustanowić zasadę, aby wszystkie certyfikaty wydane przez daną jednostkę certyfikującą (CA) były przypisywane do jednego konta w systemie Windows 2000. Następnie można ustanowić odpowiednie prawa dostępu tak, by z danego konta można było uzyskać dostęp do strony sieci Web. Kiedy kandydaci do zatrudnienia na pracowników łączą się z serwerem agencji i przedstawiają swoje certyfikaty, są oni przypisywani do tego samego konta użytkownika i w ten sposób mają dostęp do danej firmowej strony sieci Web. Nie mają jednak dostępu do innych stron, ponieważ dla danego konta nie ustawiono takiego prawa. Agencja może wydawać certyfikaty i zarządzać użytkownikami bez konieczności interwencji ze strony administratora w przedsiębiorstwie.
Przyporządkowywanie certyfikatów (certificate mapping) wykonuje się, korzystając z usługi Internet Information Server (IIS) lub usług katalogowych Active Directory.
Podczas przyporządkowywania (mapping) certyfikatu, usługa IIS porównuje go z listą reguł przechowywaną w metabazie (metabase). Usługa Internet Information Server znajduje regułę, która pasuje do wskazywanego konta systemu Windows 2000. Odwzorowywanie dokonywane przez tę usługę IIS jest konfigurowane dla każdego serwera sieci Web i korzysta się z niego, kiedy potrzeba niewielu odwzorowań lub różnych odwzorowań dla każdego z serwera sieci Web. Częściej korzysta się z odwzorowania za pomocą usług Active Directory, ponieważ wymaga ono mniej działań administracyjnych.
Kiedy odwzorowanie dokonywane jest przez usługi katalogowe Active Directory, usługa Internet Information Server (IIS) otrzymuje certyfikat użytkownika i przekazuje go do Active Directory, które przypisują certyfikat do konta użytkownika. Odwzorowywanie dokonywane przez usługi katalogowe Active Directory stosuje się, jeśli odwzorowania kont są takie same na wszystkich serwerach IIS. Administrowanie jest uproszczone, ponieważ odwzorowywanie (mapping) dokonywane jest tylko w jednym miejscu.
Odwzorowanie jest dokonywane przez Active Directory na dwa sposoby:
· Aadministrator przyporządkowuje certyfikat bezpośrednio do konta użytkownika. Certyfikat ten może być uzyskany z dowolnego źródła, przy założeniu, że jednostka certyfikująca (CA) jest zaufana dla uwierzytelniania klienta (client authentication),.
· Sstosuje się odwzorowanie nazw głównych użytkowników (UPNs). Certyfikat wydany przez jednostkę certyfikującą przedsiębiorstwa (enterprise CA) zawsze zawiera nazwę główną użytkownika (UPN). Dla każdego certyfikatu przekazanego do Active Directory, który ma być odwzorowany, najpierw sprawdza się odwzorowanie nazwy głównej użytkownika (User Principal Name). Odwzorowywanie dokonywane jest przez administratora tylko wtedy, gdy niemożliwe jest odwzorowanie nazwy głównej użytkownika (UPN).
Uwaga: Odwzorowywanie nazw głównych użytkownika (UPN) jest możliwe, jeśli certyfikat zawiera nazwę główną użytkownika (UPN), domena jest częścią struktury hierarchicznej Active Directory i jednostka certyfikująca (CA), która wydała dany certyfikat, jest obdarzona zaufaniem w zakresie umieszczania nazw głównych użytkownika (UPN) w certyfikatach. Jeśli którykolwiek z wymienionych wyżej warunków nie jest spełniony, w katalogu poszukiwane jest przyporządkowanie dokonane przez administratora.
Pierwszym etapem odwzorowywania (mapping) certyfikatu jest zalogowanie się na konto administratora i zainstalowanie certyfikatu użytkownika. Jeśli ma być dokonane odwzorowanie nazw głównych użytkownika (UPN), certyfikat powinien zostać uzyskany od jednostki certyfikującej przedsiębiorstwa (enterprise CA) z danej domeny. W przypadku innych metod odwzorowywania (mapping) certyfikat powinien zostać uzyskany od jednostki certyfikującej (CA), która nie należy do przedsiębiorstwa. Gwarantuje to, że nie dojdzie do odwzorowania nazwy głównej użytkownika (UPN), gdykiedy to certyfikat jest odwzorowywany bezpośrednio do konta użytkownika.
Jeśli certyfikaty uzyskuje się od Serwera Certyfikatów (CCertificate SServer) firmy Microsoft, to kontroler domeny w danej lokalizacji musi być skonfigurowany jako jednostka certyfikująca (CA). Jej kKonfigurowanie jednostki certyfikującej (CA) i potwierdzanie ustawień strony sieci Web opisano w rozdziale 7.
Rozwiązania pokrewne : zobacz na stronie:
Konfigurowanie jednostki certyfikującej
Żądanie certyfikatu można wysłać na dwa sposoby:
· Kkorzystając z programu Internet Explorer do połączenia się z stroną rejestrowania sieci Web (Web enrollment page),.
· Kkorzystając z modułu dodatkowego (snap-in) Certyfikaty (CCertificates) konsoli MMC do wysłania żądania certyfikatu od Usługi Certyfikatów (CCertificate SServices) firmy Microsoft.
Firma Microsoft zaleca stosowanie pierwszej z wyżej wymienionych metod, którą poniżej tutaj zastosowanoopisano. Jeśli uzyskano już certyfikat, postępując zgodnie z procedurami opisanymi w rozdziale 7., można pominąć poniższą procedurę.
Poniżej zamieszczono proceduraę wysyłania żądania certyfikatu za pomocą Strony Rejestrowania (Enrollment Page) wymaga, aby:
1. Uruchomić przeglądarkę i połączyć się ze stroną o adresie http://ServerName/CertSrv, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA server) w danej domenie. Pojawi się ekran powitalny Usługi Certyfikatów Firmy Microsoft (Microsoft CCertificate SServices).
2. Wybraćierz opcję Żądanie Certyfikatu (RRequest a Certificate). NaciśnNacisnąć ij przycisk Dalej (NNext).
3. Wybierzać opcję Żądanie Certyfikatu Użytkownika (UUser Certificate Request) i w polu listy zaznaczyć pozycję Certyfikat Użytkownika (UUser CCertificate). Naciśnij przycisk Dalej (Next).
4. W przypadku połączenia z autonomiczną jednostką certyfikującą (Sstandalone CA) pojawi się strona Certyfikat Użytkownika -— IInformacja Identyfikacyjna (UUser C...
lukaszwalda