• Szukaj:

    Łączenie uwierzytelniania karty YubiKey (CCID) z usługami certyfikatów MS AD (AD CS)

    1. Strona główna  - Centrum pomocy - Artykuł  - 
    2. Łączenie uwierzytelniania karty YubiKey (CCID) z usługami certyfikatów MS AD (AD CS)
    Jak możemy pomóc?
    Spis treści
    <Wszystkie tematy
    druk

    Łączenie uwierzytelniania karty YubiKey (CCID) z usługami certyfikatów MS AD (AD CS)

    Appterix ułatwia tworzenie i wdrażanie certyfikatów uwierzytelniania kart inteligentnych. Administratorzy mogą łatwo wykorzystać zasady rejestracji, aby zezwolić użytkownikom na samodzielne tworzenie certyfikatów z usług certyfikatów MS Active Directory, na przykład do uwierzytelniania systemu Windows, i przechowywanie ich w kluczach YubiKeys.

    Etap rejestracji uwierzytelniania opartego na certyfikacie (ZBA) umożliwia zażądanie i uzyskanie certyfikatu PKI od Active Directory Certificate Services (AD CS) w celu umożliwienia bezpiecznego logowania przy użyciu klucza YubiKey.
    Przed dodaniem kroku ZBA do rejestracji YubiKey upewnij się, że środowisko Active Directory jest skonfigurowane z obsługą ZBA.
    Zaleca się, aby proces ten wykonał wykwalifikowany administrator domeny.
    Jeśli podczas instalacji lub wdrażania napotkasz jakiekolwiek problemy, zapoznaj się z sekcją Uwierzytelnianie oparte na certyfikatach: często zadawane pytania i rozwiązywanie problemów.

    Zgodność z YubiKey

    • Seria YubiKey 5 FIPS
    • YubiKey FIPS (seria 4)
    • Seria YubiKey 5
    • Seria YubiKey 4
    • YubiKey C Bio – edycja wieloprotokołowa
    • YubiKey Bio – edycja wieloprotokołowa
    • YubiKey NEO
    • YubiKey NEO-n

    Wymagania

    Przed włączeniem uwierzytelniania opartego na certyfikatach dla użytkowników poprzez rejestrację należy upewnić się, że:

    1. Usługi domenowe Active Directory (AD DS) są instalowane w celu tworzenia i zarządzania domeną Active Directory.
      Instrukcje instalacji można znaleźć pod adresem Instalowanie usług AD DS.
    2. Każde urządzenie klienckie wyznaczone do uwierzytelniania na podstawie certyfikatu dołączyło do domeny.
    3. Usługi certyfikatów Active Directory (AD CS) są instalowane w celu umożliwienia wydawania certyfikatów. W razie potrzeby można zainstalować wiele instancji AD CS.
      Instrukcje instalacji można znaleźć pod adresem Instalowanie usług AD CS.
    4. W odpowiedniej organizacji utworzono i skonfigurowano źródło importu AD do synchronizacji użytkowników. Instrukcje dotyczące tworzenia i konfigurowania źródła importu można znaleźć na stronie Utwórz źródło importu.
    5. Usługa synchronizacji usługi AD jest instalowana na wymaganym serwerze Windows i połączona z właściwym źródłem importu usługi AD dla Twojej organizacji.
      Zobaczyć Instalowanie usługi AD Syncjeśli usługa nie została jeszcze zainstalowana.

    Włącz uwierzytelnianie oparte na certyfikatach poprzez rejestrację

    Po potwierdzeniu połączenia między serwerem platformy EM a usługą Active Directory i wszystkich Wymagania zostały spełnione, możesz włączyć uwierzytelnianie oparte na certyfikacie dla wybranych użytkowników i/lub grup poprzez rejestrację YubiKey.

    Jak dodać krok do rejestracji YubiKey

    1. W interfejsie użytkownika Appterix Management przejdź do Zarządzanie kluczami YubiKey > Rekrutacja.
    2. Klicken Sie auf Dodaj zapis.
    3. Wybierz krok Reset PIV aby mieć pewność, że wszystkie istniejące klucze lub certyfikaty w kluczu YubiKey zostaną usunięte.   
      -LUB-
      Wybierz krok Wejście PIV Aby zweryfikować dane uwierzytelniające PIV podczas rejestracji bez usuwania danych. Kroki wprowadzania i resetowania PIV wykluczają się wzajemnie — w konfiguracji można uwzględnić tylko jeden z nich.
    4. Wybierz Uwierzytelnianie oparte na certyfikatach od.
    5. Kliknij krok, aby edytować jego ustawienia.
      Okno dialogowe Edytuj krok rejestracji wydaje.
    6. Kliknij strzałkę rozwijaną obok Otwór, a następnie wybierz żądany slot.
    7. Opcja Die Generowanie klucza na YubiKey Opcja ta jest domyślnie włączona. W razie potrzeby należy ją wyłączyć. Włączenie tej opcji jest zalecane dla zwiększenia bezpieczeństwa. Po jej wyłączeniu generowanie klucza odbywa się poza kluczem YubiKey, co zwiększa ryzyko jego złamania.
    8. Klicken Sie auf Zamknąć.
    9. (Opcjonalnie) W razie potrzeby wykonaj dodatkowe kroki w procesie rejestracji YubiKey.
    10. Przypisz użytkowników, wybierz preferowaną metodę rejestracji i włącz lub wyłącz automatyczną rejestrację.

    Rejestracja YubiKey została pomyślnie skonfigurowana.

    Następne kroki: Rejestracja certyfikatu za pomocą agenta Appterix

    Użytkownicy, którym udostępniono tę rejestrację, zobaczą teraz za odpowiednim kluczem YubiKey Klucze Yubi przycisk Rozpocznij zapisy Po zakończeniu rejestracji, Agent Appterix tworzy żądanie certyfikatu, które następnie jest przekazywane do serwera Appterix Server/EM Platform Server i do serwera AD CS za pośrednictwem usługi EgoMind AD Sync Service.

    Po utworzeniu certyfikatu jest on odsyłany do agenta Appterix i bezpośrednio na klucz YubiKey. Gniazdo 9a (uwierzytelnianie kartą) Co więcej, niezbędne wpisy rejestru są ustawiane na kliencie Windows, dzięki czemu przy następnym logowaniu do systemu Windows można uzyskać autoryzację za pomocą certyfikatu i kodu PIN YubiKey (PIV).

    Uwierzytelnianie oparte na certyfikatach: często zadawane pytania i rozwiązywanie problemów

    W tym artykule znajdują się odpowiedzi na często zadawane pytania (FAQ) dotyczące konfiguracji i wdrażania ZBA. Aby znaleźć odpowiedzi na swoje pytania, naciśnij Ctrl + Faby otworzyć funkcję wyszukiwania, a następnie wpisz odpowiednie słowo kluczowe w polu wyszukiwania.

    P1: Kiedy muszę wygenerować nowe dane uwierzytelniające dla usługi synchronizacji AD?

    A: Domyślne dane uwierzytelniające są ważne tylko wtedy, gdy usługa AD Sync została zainstalowana przy użyciu kreatora instalacji Appterix — ta metoda instaluje usługę na tym samym serwerze co Appterix i EM Platform Server i automatycznie łączy ją z domyślnym źródłem importu w organizacji głównej.
    Jeśli usługa synchronizacji usługi AD została ręcznie zainstalowana na osobnym serwerze lub ma być używana w organizacji innej niż główna, należy wygenerować nowe dane uwierzytelniające dla odpowiedniego źródła importu i usługi synchronizacji usługi AD ponownie skonfigurowany być.

    Jak ponownie skonfigurować połączenie między serwerem platformy EM a usługą synchronizacji AD

    1. Aby otworzyć Panel sterowania usługi EM AD Sync, przejdź do następującej ścieżki:
      C:\Pliki programów\EgoMind\EMADSyncService\Utils
    2. Ołów EMADSyncService.ControlPanel.exe jako administrator.
    3. Wpisać Połączenie z serwerem wymagane pola:
      • Wpisz w polu Adres serwera Wprowadź nazwę serwera w następującym formacie:
        • W przypadku instalacji lokalnych: https:// /administracja
        • Dla użytkowników rozwiązania w chmurze: https://administration.appterix.eu
    4. Klicken Sie auf Aplikuj (zastosować) aby zapisać zmiany.

    P2: Dlaczego synchronizacja się nie udaje lub nie rozpoczyna?

    A: Zwykle jest to spowodowane problemami z konfiguracją lub połączeniem.

    Zalecane testy:

    • Sprawdź, czy hasło konta jest poprawnie określone w konfiguracji importu AD.
      Należy pamiętać, że po zmianie hasła w usłudze AD należy je również odpowiednio zaktualizować w konfiguracji importu usługi AD.
    • Sprawdź, czy kontroler domeny AD jest dostępny i odpowiada na żądania ping.
    • Upewnij się, że żadna reguła zapory nie blokuje komunikacji między usługą AD Sync a kontrolerem domeny.
    • Upewnij się, że usługa AD Sync jest połączona z docelowym źródłem importu w odpowiedniej organizacji.

    P3: Dlaczego w urzędzie certyfikacji brakuje szablonów certyfikatów?

    A: Brak szablonów certyfikatów może być spowodowany problemami z autoryzacją lub nieprawidłową konfiguracją.

    Zalecane kontrole:

    1. Upewnij się, że nazwa urzędu certyfikacji jest prawidłowa (Nazwa CA) jest określony w konfiguracji importu AD.
      Przykład: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA
      Więcej informacji znajdziesz w sekcji Jak znaleźć nazwę urzędu certyfikacji (CA)?.
    2. Upewnij się, że jest to poprawne Adres URL serwera określone w konfiguracji importu AD:
      • Dla LDAPS:Wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) usługi katalogowej, z którą chcesz się połączyć.
        Przykład: WIN-FEKLLGO3TDA.demo-egomind.local
      • Dla LDAP:Możesz również użyć adresu IP serwera.
    3. Sprawdź konto użytkownika (Nazwa użytkownika) w konfiguracji importu AD.
      Podczas konfigurowania importu usługi AD kluczowe jest użycie konta z odpowiednimi uprawnieniami, aby umożliwić wystawianie certyfikatów za pośrednictwem usługi AD CS.
      • Jeśli dozwolone jest korzystanie z konta administratora domeny: Upewnij się, że konto administratora domeny jest określone w konfiguracji importu usługi AD w następującym formacie:
        \
      • Jeśli korzystanie z konta administratora domeny jest ograniczone: Konfiguruj Ty jesteś narzędziem Panel sterowania usługą EM AD Syncdo wydawania certyfikatów przy użyciu konta innego niż konto administratora.

    Przed skonfigurowaniem Panelu sterowania usługi EM AD Sync należy zaktualizować Nazwa użytkownika W konfiguracji importu AD wprowadź konto użytkownika innego niż administrator. Użyj następującego formatu:
    \

    Jak skonfigurować Panel sterowania usługi EM AD Sync dla użytkowników niebędących administratorami

    1. Aby otworzyć Panel sterowania usługi EM AD Sync, przejdź do następującej ścieżki:
      C:\Pliki programów\EgoMind\EMADSyncService\Utils
    2. Ołów EMADSyncService.ControlPanel.exe jako administrator.
    3. Wpisać Połączenie AD CS wymagane pola:
      1. Wpisz w polu Nazwa Użytkownika (Nazwa użytkownika) wprowadź nazwę dowolnego użytkownika, który nie jest administratorem, w następującym formacie:

        Upewnij się, że nazwa użytkownika wpisana w tym miejscu jest zgodna z nazwą podaną w konfiguracji importu usługi AD. Zwróć uwagę na różne formaty, aby uniknąć błędnych konfiguracji:
        • W konfiguracji importu AD użyj formatu:
          \
        • Tutaj wpisujesz tylko nazwę użytkownika bez prefiksu domeny.
      2. Wpisz w polu Nazwa domeny (Nazwa domeny) wprowadź nazwę domeny.
      3. Wpisz w polu Nazwa CA (Nazwa ZS) nazwa urzędu certyfikacji.
        Więcej informacji znajdziesz w sekcji Jak znaleźć nazwę urzędu certyfikacji (CA)?.
    4. Klicken Sie auf Aplikuj (zastosować) aby zapisać zmiany.

    P4: Jak znaleźć nazwę urzędu certyfikacji (CA)?

    A:Podanie prawidłowej nazwy urzędu certyfikacji jest kluczowe dla pomyślnego wydawania certyfikatów.

    Jeżeli w Twoim środowisku używany jest tylko jeden urząd certyfikacji, możesz użyć pola Nazwa urzędu certyfikacji (Nazwa CA) puste — system wykryje je automatycznie.

    Jak znaleźć nazwę CA:

    1. Otworzyć podpowiedź jako administrator na serwerze ZS.
    2. Uruchom następujące polecenie:
      certutil -zrzut
    3. Poszukaj pola zaczynającego się od Config Wyświetla nazwę urzędu certyfikacji w wymaganym formacie.
      Przykład: Konfiguracja: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA

    P5: Gdzie mogę znaleźć dzienniki usługi AD Sync?

    AJeśli podczas konfiguracji lub synchronizacji wystąpią problemy, można przejrzeć dzienniki usługi synchronizacji AD w celu zdiagnozowania problemu.

    Domyślna lokalizacja przechowywania dziennika:

    C:\Pliki programów\EgoMind\EMADSyncService\Logs

    W razie konieczności prześlij odpowiednie pliki dziennika do zespołu wsparcia w celu dalszej analizy błędów i uzyskania pomocy.

    Kiedy Kontakt z pomocą techniczną:

    • Dołącz odpowiednie pliki dziennika
    • Dołącz szczegółowe komunikaty o błędach
    • Opisz kroki, które doprowadziły do problemu

     

    opublikowany
    zaktualizowane
    ZAppterix