Klienta pieteikšanās ar Active Directory¶

Compatible Nitrokeys
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Compatible Nitrokeys

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

Nākotnē šo manuālo nodrošināšanu var automatizēt, izmantojot Windows MiniDriver.

Priekšnosacījumi¶

Iestatīšanai ir nepieciešama administratīvā piekļuve datoriem, kuros darbojas Active Directory Directory Directory Services (ADDS) un Active Directory Certificate Services (ADCS). Klienta datorā ir nepieciešama tikai piekļuve attiecīgajam lietotāja kontam, kas tiek izmantots pieteikšanai.

Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
- ADDS loma ir instalēta un konfigurēta.
- Uzstādīta ADCS loma un konfigurēts Enterprise-CA ar saknes sertifikātu.
  
  Katram domēna kontrolierim (DC) ir jābūt izsniegtam domēna kontroliera, domēna kontroliera autentifikācijas un Kerberos autentifikācijas sertifikātam.
  
  Ja klienti atstāj uzņēmuma tīklu, pārliecinieties, ka publicētie pilnie un delta sertifikātu atsaukšanas saraksti (CRL) ir iegūstami no ārējiem tīkliem.
Windows klients (atbalstītās versijas ir Windows 10, 11 izdevumos Professional un Enterprise).
- Klientam jābūt Active Directory (AD) domēna dalībniekam.
Nitrokey 3 with PIV smart card.

Konfigurēt viedkaršu pieteikšanos lietošanai kopā ar Active Directory (AD)¶

Viedkartes pieteikšanai ir nepieciešams domēna sertifikātu iestādes (CA) sertifikāta veidni. Šis šablons nosaka lietotāja sertifikātu vērtības un ierobežojumus. To izmanto, lai parakstītu sertifikāta pieprasījumu (CSR) Nitrokey nodrošināšanas laikā.

Sertifikāta pieprasījuma parakstīšanai, lai pieteiktos ar viedkarti, sertifikātu iestādē ir jāizveido sertifikāta veidne.
1. Komandrindē, PowerShell vai Run ievadiet certtmpl.msc un nospiediet Enter.
2. Detalizētajā logā atlasiet veidni Smartcard Logon.
3. Izvēlnes joslā noklikšķiniet uz Darbības → Visi uzdevumi → Dublēt veidni.
4. Iestatiet tālāk norādītos šablona iestatījumus saskaņā ar minēto cilni.
  Savietojamība
  
  Atslēgt Parādīt radušās izmaiņas
  
  Iestatiet Sertifikātu iestāde un Sertifikāta saņēmējs vecākajiem klientiem domēnā, kuriem paredzēts izmantot viedkaršu pieteikšanos.
  
  Svarīgi
  
  Ja vēlaties izmantot elipses līknes (EC) atslēgas, jūsu klienti nedrīkst būt vecāki par Windows Server 2008 un Windows Vista.
  
  Vispārīgi
  
  Iestatiet Šablona attēla nosaukumu.
  
  Iestatiet Derīguma periods un Atjaunošanas periods.
  
  Pieprasījumu apstrāde
  
  Iestatiet paraksta un viedkartes pieteikšanās mērķi.
  
  Kriptogrāfija
  
  Iestatiet pakalpojumu sniedzēja kategoriju Atslēgu glabāšanas pakalpojumu sniedzējs.
  
  Iestatiet algoritma nosaukumu un minimālo atslēgas lielumu.
  
  Svarīgi
  
  Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
  
  Priekšmeta nosaukums
  
  Iestatiet Supply pieprasījumā.
5. Šablona izveidi apstipriniet ar OK.
Pēc sertifikāta veidnes izveides tā jāizsniedz, lai klienti varētu to izmantot.
1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.
2. Navigācijas panelī izvērsiet sertifikātu iestādi (CA) un dodieties uz Sertifikātu veidnes.
3. Izvēlnes joslā noklikšķiniet uz Darbība → Jauns → Izsniegt sertifikāta veidni.
4. Izvēlieties sertifikāta veidni, kuru vēlaties izsniegt, un apstipriniet to ar OK.

Nitrokey 3 nodrošināšana pieteikšanās ar viedkarti, izmantojot Active Directory¶

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Brīdinājums

Pirms izpildiet tālāk aprakstītās darbības, pārliecinieties, ka pastāv Active Directory lietotāja konts, kuru vēlaties izmantot viedkaršu pieteikšanai. Ja sertifikāta izveides laiks ir agrāk par lietotāja konta izveides laiku, pieteikšanās neizdosies.

Izveidojiet privāto atslēgu un ierakstiet CSR failā, izmantojot tālāk norādīto komandu.
```
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
```
The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.
Parakstiet CSR ar domēna sertifikātu iestādi (CA), izmantojot tālāk norādīto komandu.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
Vērtība <template-name> ir viedkartes pieteikšanās sertifikāta veidnes nosaukums. Vērtība <file> ir sertifikāta dziedāšanas pieprasījuma fails.
Ierakstiet parakstīto sertifikātu uz Nitrokey, izmantojot tālāk norādīto komandu.
```
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
```
<file> vērtība ir sertifikāta fails.
Kartējiet sertifikātu ar Active Directory lietotāja kontu. Izveidojiet sertifikātu kartēšanu, izmantojot tālāk norādīto komandu.
```
nitropy nk3 piv --experimental get-windows-auth-mapping
```
Choose one of the offered certificate mappings.

Padoms

Microsoft iesaka izmantot X509IssuerSerialNumber kartēšanu.

Ierakstiet izvēlēto kartēšanu Active Directory lietotāja objekta altSecurityIdentities atribūtā. Šai operācijai var izmantot Active Directory Users and Computers lietojumprogrammu vai PowerShell.
1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.
2. In the menu bar click View → Advanced Features.
3. Atlasiet attiecīgo lietotāja objektu.
4. In the menu bar click Action → Properties.
5. Atveriet cilni Atribūtu redaktors.
6. Atlasiet atribūtu altSecurityIdentities.
7. Click on Edit.
8. Insert the certificate mapping in the text field and click Add.
9. Pielietojiet izmaiņas, noklikšķinot uz OK.
1. Atveriet PowerShell.
2. Pievienojiet vērtību ar Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}, aizstājot <sAMAccountName> ar lietotāja pieteikšanās vārda vērtību un <certificate-mapping> ar iepriekš izvēlēto sertifikāta kartēšanu.
Svarīgi

Ja sertifikāta kartēšana nav pareizi iestatīta, mēģinot pieteikties, tiks parādīts kļūdas ziņojums Logon screen message: Your credentials could not be verified.. Turklāt Windows sistēmas notikumu žurnālā redzēsiet tālāk redzamo notikumu ziņojumu.

Source
```
Kerberos-Key-Distribution-Center
```
Message
```
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
```

Atcelt viedkaršu pieteikšanos izmantošanai kopā ar Active Directory (AD)¶

Izsniegtie lietotāju pieteikšanās sertifikāti ir uzskaitīti Active Directory sertifikātu pakalpojumu (ADCS) sarakstā. Sertifikātus var atsaukt no ADCS, tādējādi tos iekļaujot konfigurētajā sertifikātu atsaukšanas sarakstā (CRL). Tas ir nepieciešams Nitrokey nozaudēšanas vai bojājuma gadījumā.

Svarīgi

Ieteicams nekad neatstāt neizmantotus lietotāja sertifikātus, tos neatsaucot.

Piezīme

Sertifikātu ir iespējams uz laiku atsaukt, norādot iemeslu Sertifikāta apturēšana. Šo atsaukšanu var atsaukt, tāpēc tā nav pastāvīga.

Komandrindē, PowerShell vai Run ievadiet certsrv.msc un nospiediet Enter.
Navigācijas panelī izvērsiet sertifikātu iestādi (CA) un pārejiet uz Izsniegtie sertifikāti.
Detalizētajā logā atlasiet lietotāja sertifikātu, kuru vēlaties atsaukt.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Atcelt sertifikātu.
Norādiet atsaukšanas iemeslu, datumu un laiku un apstipriniet ar Jā.
Navigācijas panelī dodieties uz atsauktie sertifikāti.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Publicēt.
Izvēlieties atsaukšanas sarakstu, kuru vēlaties publicēt, un apstipriniet ar OK.

Piezīme

Katra viedkartes pieteikšanās mēģinājuma laikā Windows pārbauda, vai viedkartes uzrādītais sertifikāts nav iekļauts sertifikātu atsaukšanas sarakstā (CRL). Ja sertifikāts ir atrodams CRL, pieteikšanās tiek atteikta. Katrā CRL ir norādīts derīguma termiņš, līdz kuram tie zaudē spēku. Windows kešatmiņā saglabā iegūtos CRL un atjaunina tos, ja CRL drīz beigsies. Tādējādi atsaukšana nav tūlītēja un ir atkarīga no klientam pieejamā CRL derīguma termiņa beigām.

Lietotāja viedkartes sertifikāta importēšana personīgajā sertifikātu krātuvē¶

Nitrokey glabāto lietotāja sertifikātu var importēt lietotāja personīgajā sertifikātu krātuvē. Noteiktās situācijās tā ir nepieciešama procedūra.

Pārliecinieties, ka esat pieteicies lietotāja kontā, kuram atbilst sertifikāts.
Komandrindē, PowerShell vai Run ievadiet certsrv.msc un nospiediet Enter.
Navigācijas panelī izvērsiet atslēgu krātuvi Personal un dodieties uz Certificates.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Importēt.
Izpildiet importa vedņa norādījumus un pēc pieprasījuma sniedziet lietotāja sertifikāta failu.
Pēc importa pabeigšanas pārbaudiet importētā sertifikāta detalizētu informāciju panelī. Ja Nitrokey ir savienots, sertifikāta īpašībās jāparādās ziņai Jums ir privātā atslēga, kas atbilst šim sertifikātam., norādot, ka Nitrokey privāto var identificēt.

Pārliecinieties, ka esat pieteicies lietotāja kontā, kuram atbilst sertifikāts.
Atveriet PowerShell.
Import the certificate with Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>, replacing <file> with the certificate file path.
After the import completed check for the certificate with Get-ChildItem Cert:\CurrentUser\My.