Kliendi sisselogimine Active Directoryga¶

Compatible Nitrokeys
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Compatible Nitrokeys

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

Tulevikus võib seda käsitsi määramist automatiseerida Windows MiniDriveri abil.

Eeltingimused¶

Seadistamine nõuab administraatori juurdepääsu masinatele, millel töötavad Active Directory Directory Directory Services (ADDS) ja Active Directory Certificate Services (ADCS). Kliendimasinas on vaja ainult juurdepääsu vastavale kasutajakontole, mida kasutatakse sisselogimiseks.

Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
- ADDS roll paigaldatud ja konfigureeritud.
- ADCS roll paigaldatud ja Enterprise-CA koos juursertifikaadiga konfigureeritud.
  
  Igale domeenikontrollerile (DC) peab olema väljastatud domeenikontroller, domeenikontrollerite autentimise ja Kerberos Authentication sertifikaat.
  
  Kui teil on kliente, kes lahkuvad ettevõtte võrgust, veenduge, et avaldatud sertifikaatide täielikud ja delta tühistamisnimekirjad (CRL) on välisvõrkudest leitavad.
Windows klient (toetatud versioonid on Windows 10, 11 väljaannetes Professional ja Enterprise)
- Klient peab olema Active Directory (AD) domeeni liige.
Nitrokey 3 with PIV smart card.

Nutikaardi sisselogimise konfigureerimine Active Directory (AD) kasutamiseks¶

Nutikaardiga sisselogimine nõuab domeeni sertifitseerimisasutuse (CA) sertifikaadi malli. See mall määratleb kasutajate sertifikaatide väärtused ja piirangud. Seda kasutatakse sertifikaaditaotluse (CSR) allkirjastamiseks Nitrokey’i määramise ajal.

Nutikaardiga sisselogimise sertifikaaditaotluse allkirjastamine eeldab sertifikaadi malli loomist sertifitseerimisasutuses.
1. Kirjutage käsurealt, PowerShellist või Run’ist certtmpl.msc ja vajutage Enter.
2. Valige detailide paneelil mall Smartcard Logon.
3. Klõpsake menüüribal Actions → All Tasks → Duplicate Template.
4. Seadistage malli alljärgnevad seaded vastavalt nimetatud vahekaardile.
  Ühilduvus
  
  Deaktiveeri Näita saadud muudatusi
  
  Määrake Sertifitseerimisasutus ja Sertifikaadi saaja domeeni vanimatele klientidele, kes peaksid kasutama kiipkaardiga sisselogimist.
  
  Tähtis
  
  Kui soovite kasutada Elliptic Curve (EC) võtmeid, ei tohi teie kliendid olla vanemad kui Windows Server 2008 ja Windows Vista.
  
  Üldine
  
  Määrake malli kuvamisnimi.
  
  Määrake Kehtivusaeg ja Pikendusperiood.
  
  Taotluse käsitlemine
  
  Määrake eesmärk Allkiri ja kiipkaardiga sisselogimine.
  
  Krüptograafia
  
  Määrake teenusepakkuja kategooria Key Storage Provider.
  
  Määrake algoritmi nimi ja võtme minimaalne suurus.
  
  Tähtis
  
  Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
  
  Teema nimi
  
  Määrake Supply taotluses.
5. Kinnitage malli loomine lingiga OK.
Pärast sertifikaadi malli loomist tuleb see välja anda, et kliendid saaksid seda kasutada.
1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.
2. Avardage navigatsioonipaanis sertifitseerimisasutus (CA) ja navigeerige aadressile Certificate Templates.
3. Klõpsake menüüribal Action → New → Certificate Template to Issue.
4. Valige väljaantav sertifikaadi mall ja kinnitage OK.

Nitrokey 3 seadistamine kiipkaardiga sisselogimiseks Active Directoryga¶

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Hoiatus

Enne alljärgnevate sammude järgimist veenduge, et Active Directory kasutajakonto, mida soovite kasutada kiipkaardiga sisselogimiseks, on olemas. Sertifikaadi loomise aeg enne kasutajakonto loomise aega viib ebaõnnestunud sisselogimisele.

Looge privaatne võti ja kirjutage CSR faili alljärgneva käsuga.
```
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
```
The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.
Allkirjastage CSR domeeni sertifitseerimisasutusega (CA) alljärgneva käsuga.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
<template-name> on nutikaardi sisselogimise sertifikaadi malli nimi. Väärtus <file> on sertifikaadi laulmise taotluse fail.
Kirjutage allkirjastatud sertifikaat Nitrokey’sse alljärgneva käsuga.
```
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
```
<file> väärtus on sertifikaadifail.
Seostage sertifikaat Active Directory kasutajakontoga. Looge sertifikaadi kaardistused alljärgneva käsuga.
```
nitropy nk3 piv --experimental get-windows-auth-mapping
```
Choose one of the offered certificate mappings.

Nõuanne

Microsoft soovitab kasutada X509IssuerSerialNumber kaardistust.

Kirjutage valitud kaardistus Active Directory kasutajaobjekti atribuuti altSecurityIdentities. Selle toimingu jaoks võib kasutada Active Directory Users and Computers rakendust või PowerShelli.
1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.
2. In the menu bar click View → Advanced Features.
3. Valige vastav kasutajaobjekt.
4. In the menu bar click Action → Properties.
5. Avage vahekaart Atribuutide redaktor.
6. Valige atribuut altSecurityIdentities.
7. Click on Edit.
8. Insert the certificate mapping in the text field and click Add.
9. Rakendage muudatus klõpsuga OK.
1. Avage PowerShell.
2. Lisage väärtus Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}, asendades <sAMAccountName> kasutaja sisselogimise nime väärtusega ja <certificate-mapping> eespool valitud sertifikaadi kaardistusega.
Tähtis

Kui sertifikaadi kaardistamist ei ole õigesti määratud, saate sisselogimise katsel veateate Logon screen message: Your credentials could not be verified.. Lisaks näete Windowsi süsteemisündmuste logis allpool olevat sündmusteadet.

Source
```
Kerberos-Key-Distribution-Center
```
Message
```
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
```

Active Directory’ga (AD) kasutatava kiipkaardi sisselogimise tühistamine¶

Väljastatud kasutajate sisselogimise sertifikaadid on loetletud Active Directory sertifikaatide teenustes (ADCS). ADCSist saab sertifikaate tühistada, mis lisab need konfigureeritud sertifikaatide tühistamise nimekirja (CRL). See on vajalik Nitrokey kadumise või katkemise korral.

Tähtis

On tungivalt soovitatav mitte kunagi jätta kasutamata kasutajasertifikaate ilma neid tühistamata.

Märkus

Sertifikaati on võimalik ajutiselt tühistada põhjendusega Certificate Hold. Seda tühistamist saab tagasi võtta ja see ei ole seega püsiv.

Kirjutage käsurealt, PowerShellist või Run’ist certsrv.msc ja vajutage Enter.
Avardage navigatsioonipaanis sertifitseerimisasutus (CA) ja navigeerige aadressile Väljaantud sertifikaadid.
Valige detailide paneelil kasutajasertifikaat, mille soovite tühistada.
Klõpsake menüüribal Action → All Tasks → Revoke Certificate.
Määrake tühistamise põhjus, kuupäev ja kellaaeg ning kinnitage Jah.
Navigatsioonipaanis navigeeri aadressile Tagasivõetud sertifikaadid.
Klõpsake menüüribal Tegevus → Kõik ülesanded → Avalda.
Valige tühistamisnimekiri, mida soovite avaldada, ja kinnitage OK.

Märkus

Windows kontrollib iga kiipkaardiga sisselogimise katse ajal, kas kiipkaardil esitatud sertifikaat on kantud sertifikaatide tühistamisnimekirja (CRL). Kui sertifikaat leitakse CRL-is, keeldutakse sisselogimisest. Iga CRL sisaldab kehtivusaega, et need aeguksid. Windows salvestab välja otsitud CRL-i vahemällu ja uuendab neid, kui CRL-i kehtivusaeg hakkab lõppema. Seega ei ole tühistamine kohene ja sõltub kliendi CRLi kehtivusaja lõppemisest.

Kasutaja kiipkaardi sertifikaadi importimine isiklikku sertifikaadipanka¶

Nitrokey’s salvestatud kasutajasertifikaadi saab importida kasutaja isiklikku sertifikaadipanka. Teatud olukordades on see vajalik protseduur.

Veenduge, et olete sisse logitud kasutajakontole, millele sertifikaat vastab.
Kirjutage käsurealt, PowerShellist või Run’ist certsrv.msc ja vajutage Enter.
Avardage navigatsioonipaanis Personal võtmehoidla ja navigeerige aadressile Sertifikaadid.
Klõpsake menüüribal Action → All Tasks → Import.
Järgige importimisviisikut ja esitage kasutaja sertifikaadi fail, kui seda nõutakse.
Pärast impordi lõpetamist kontrollige imporditud sertifikaadi detailide paanil. Kui Nitrokey on ühendatud, peaks sertifikaadi omadustes ilmuma teade Teil on sellele sertifikaadile vastav privaatvõti., mis näitab, et Nitrokey privaatvõti on võimalik tuvastada.

Veenduge, et olete sisse logitud kasutajakontole, millele sertifikaat vastab.
Avage PowerShell.
Import the certificate with Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>, replacing <file> with the certificate file path.
After the import completed check for the certificate with Get-ChildItem Cert:\CurrentUser\My.