La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica.

Presentaciones similares


Presentación del tema: "Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica."— Transcripción de la presentación:

1 Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica

2 Agenda Antecedentes Antecedentes Descripción del Problema Descripción del Problema Objetivos y Alcance Objetivos y Alcance Descripción de la Solución Descripción de la Solución Requisitos de la Plataforma Requisitos de la Plataforma Instalación y Despliegue Instalación y Despliegue Personalización a Través de Políticas Personalización a Través de Políticas Demostración Demostración

3 Antecedentes Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de mejorar la integración de los productos de ambas organizaciones. Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de mejorar la integración de los productos de ambas organizaciones. Como objetivos adicionales de este acuerdo se establecen: Como objetivos adicionales de este acuerdo se establecen: La transferencia de conocimiento al personal de la FNMT-RCM La transferencia de conocimiento al personal de la FNMT-RCM El soporte técnico preferencial a los clientes de la FNMT-RCM El soporte técnico preferencial a los clientes de la FNMT-RCM La realización conjunta de actividades de marketing y difusión. La realización conjunta de actividades de marketing y difusión.

4 Antecedentes (II) Los sistemas operativos de la familia Windows, las aplicaciones de productividad Office y resto de productos soportan el estándar de certificación x509v3. Los sistemas operativos de la familia Windows, las aplicaciones de productividad Office y resto de productos soportan el estándar de certificación x509v3. Hoy en día es posible realizar de forma nativa las siguientes tareas: Hoy en día es posible realizar de forma nativa las siguientes tareas: Firma y cifrado de correo Firma y cifrado de correo Firma de documentos Office Firma de documentos Office Autentificación y firma en aplicaciones web Autentificación y firma en aplicaciones web Comunicaciones seguras SSL e IPSec Comunicaciones seguras SSL e IPSec Cifrado de ficheros Cifrado de ficheros Inicio de sesión Inicio de sesión La autoridad de certificación CERES se basa en el mismo estándar de certificación La autoridad de certificación CERES se basa en el mismo estándar de certificación

5 Descripción del Problema El inicio de sesión mediante tarjeta CERES requiere una adaptación: El inicio de sesión mediante tarjeta CERES requiere una adaptación: El inicio de sesión requiere relacionar el certificado con la cuenta del usuario El inicio de sesión requiere relacionar el certificado con la cuenta del usuario Windows 2000, 2003 y XP implementan esta relación mediante el uso el uso de una extensión del certificado Windows 2000, 2003 y XP implementan esta relación mediante el uso el uso de una extensión del certificado Los certificados CERES emitidos hasta la fecha no incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión. Los certificados CERES emitidos hasta la fecha no incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión. La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la configuración por defecto La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la configuración por defecto Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para adaptarse a las necesidades específicas. Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para adaptarse a las necesidades específicas.

6 Objetivos y alcance Permitir a los usuarios de organismos públicos y privados iniciar sesión en sus PCs contra un Directorio Corporativo mediante el uso del conjunto formado por tarjeta y certificado digital CERES como mecanismo alternativo al uso del tradicional usuario y contraseña. Permitir a los usuarios de organismos públicos y privados iniciar sesión en sus PCs contra un Directorio Corporativo mediante el uso del conjunto formado por tarjeta y certificado digital CERES como mecanismo alternativo al uso del tradicional usuario y contraseña.

7 Descripción de la Solución Microsoft ha desarrollado un conjunto de módulos que modifican el comportamiento estándar de Windows XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de usuario usuario mediante el uso del Directorio Activo. Microsoft ha desarrollado un conjunto de módulos que modifican el comportamiento estándar de Windows XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de usuario usuario mediante el uso del Directorio Activo. Se almacena el certificado del usuario y su DNI en el Directorio Activo Se almacena el certificado del usuario y su DNI en el Directorio Activo El proceso de inicio de sesión accede al Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y comprobar la validez de su certificado El proceso de inicio de sesión accede al Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y comprobar la validez de su certificado

8 Directorio Activo Descripción de la Solución (II) Esquema de la Solución Red corporativa Solicitud del PIN del usuario Ficheros e impresoras Aplicaciones web Otras Aplicaciones Proxy corporativo Bases de datos Etc… Acceso transparente

9 Descripción de la Solución (III) Funcionalidades Adicionales del Producto Muestra durante el logon el certificado con el que se está intentando iniciar la sesión en Windows. Muestra durante el logon el certificado con el que se está intentando iniciar la sesión en Windows. Proveedor de revocación basado en consultas LDAP Internet/intranet. Proveedor de revocación basado en consultas LDAP Internet/intranet. Los clientes que se suscriban a este servicio podrán consultar online contra FNMT o contra una réplica, el estado de un certificado Los clientes que se suscriban a este servicio podrán consultar online contra FNMT o contra una réplica, el estado de un certificado Proveedor de revocación basado en cliente OCSP. Proveedor de revocación basado en cliente OCSP.

10 Requisitos Plataforma Requisitos de Cliente Sistema Operativo: Sistema Operativo: Windows XP Professional Inglés Windows XP Professional Inglés Windows XP Professional Español Windows XP Professional Español La maquina cliente debe pertenecer a un dominio Windows 2000 o La maquina cliente debe pertenecer a un dominio Windows 2000 o CSP de la FNMT CSP de la FNMT

11 Requisitos Plataforma Requisitos de Servidor Sistema Operativo: Sistema Operativo: Windows 2000 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Advanced Server Windows 2003 Standard Edition Windows 2003 Standard Edition Windows 2003 Enterprise Edition Windows 2003 Enterprise Edition Debe instalarse en los controladores de dominio Debe instalarse en los controladores de dominio

12 Instalación y Despliegue Extensión del Esquema del Directorio Activo Es necesario extender el esquema del Directorio Activo añadiendo el atributo fnmt-DNI para almacenar el DNI del usuario en su cuenta Es necesario extender el esquema del Directorio Activo añadiendo el atributo fnmt-DNI para almacenar el DNI del usuario en su cuenta Esta tarea la realiza la utilidad ForestPrep: Esta tarea la realiza la utilidad ForestPrep: Solo es necesario ejecutarla una vez. Solo es necesario ejecutarla una vez. La ejecución tiene que hacerse en una maquina que sea DC del dominio del Directorio Activo La ejecución tiene que hacerse en una maquina que sea DC del dominio del Directorio Activo Solo es necesario para la Instalación de la Parte Servidora de la Aplicación. Solo es necesario para la Instalación de la Parte Servidora de la Aplicación. El orden es indiferente, Setup Servidor y ejecución de ForestPrep o viceversa. El orden es indiferente, Setup Servidor y ejecución de ForestPrep o viceversa.

13 Instalación y Despliegue (III) Instalación parte Servidora Instalación en Controladores de Dominio: Instalación en Controladores de Dominio: Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Durante el proceso de instalación se introduce la configuración de consulta de CRLs (LDAP y/o OCSP) Durante el proceso de instalación se introduce la configuración de consulta de CRLs (LDAP y/o OCSP) Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es posible realizar este proceso de forma desatendida si no es necesario configurar la conexión OCSP Es posible realizar este proceso de forma desatendida si no es necesario configurar la conexión OCSP El usuario que inicia la instalación debe pertenecer al grupo de administradores de dominio El usuario que inicia la instalación debe pertenecer al grupo de administradores de dominio

14 Instalación y Despliegue (II) Instalación parte Cliente Instalación en Cliente Instalación en Cliente Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es posible realizar este proceso de forma desatendida Es posible realizar este proceso de forma desatendida El usuario que inicia la instalación debe disponer de permisos de administración local de la maquina El usuario que inicia la instalación debe disponer de permisos de administración local de la maquina

15 Instalación y Despliegue (IV) Alternativas de Despliegue para el cliente La solución se basa en Directorio Activo por lo que estarán disponibles directamente las siguientes estrategias de distribución: La solución se basa en Directorio Activo por lo que estarán disponibles directamente las siguientes estrategias de distribución: Políticas Políticas How to install Microsoft TechNet products by using Group Policy How to install Microsoft TechNet products by using Group Policy Description of the Windows XP Professional Fast Logon Optimization Description of the Windows XP Professional Fast Logon Optimization Logon Scripts Logon Scripts Otros productos de despliegue y actualización de software (SMS, etc.) Otros productos de despliegue y actualización de software (SMS, etc.)

16 Instalación y Despliegue (V) Enrollment de usuarios En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario y la parte pública de su certificado En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario y la parte pública de su certificado Se incluyen ejemplos de asociación de certificados a cuentas: Se incluyen ejemplos de asociación de certificados a cuentas: Script VBS Script VBS Web de auto-enrollment Web de auto-enrollment

17 Personalización a Través de Políticas Son aplicables las políticas estándar de Windows, incluidas las aplicables a logon con Smartcard Son aplicables las políticas estándar de Windows, incluidas las aplicables a logon con Smartcard Ejemplos: Ejemplos: Obligar logon con Smartcard Obligar logon con Smartcard Comportamiento al extraer la tarjeta Comportamiento al extraer la tarjeta Bloqueo de la estación de trabajo Bloqueo de la estación de trabajo Cierre de sesión Cierre de sesión

18 Demostración Equipamiento y Preparación Un equipo portátil que emulará un puesto de usuario y un servidor controlador de dominio Un equipo portátil que emulará un puesto de usuario y un servidor controlador de dominio Previamente el administrador deberá: Previamente el administrador deberá: Instalar la solución en estos equipos Instalar la solución en estos equipos Habilitar el inicio de sesión con tarjeta para los usuarios seleccionados Habilitar el inicio de sesión con tarjeta para los usuarios seleccionados

19 Demostración (II) Escenarios Asociación del certificado a una cuenta de usuario del Directorio Activo Asociación del certificado a una cuenta de usuario del Directorio Activo El usuario inicia sesión utilizando su tarjeta CERES El usuario inicia sesión utilizando su tarjeta CERES Se comprobará que puede acceder a los recursos de la red sin necesidad de volver a identificarse Se comprobará que puede acceder a los recursos de la red sin necesidad de volver a identificarse Accederá a una carpeta compartida en el servidor que le identificará de forma automática Accederá a una carpeta compartida en el servidor que le identificará de forma automática El usuario bloqueará la sesión para abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERES El usuario bloqueará la sesión para abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERES

20 Demostración

21 Otros Proyectos Nuevo root de CERES en IE Nuevo root de CERES en IE Nuevas versiones del Logon con CERES Nuevas versiones del Logon con CERES Posible extensión a Windows 2000 Posible extensión a Windows 2000 Desarrollo de CardModule (antiguo CSP) para la próxima versión de Windows, Longhorn. Desarrollo de CardModule (antiguo CSP) para la próxima versión de Windows, Longhorn. Posibilidad de inclusión CSP de forma nativa en el sistema operativo Posibilidad de inclusión CSP de forma nativa en el sistema operativo Análisis de las diferentes opciones de migración del logon con CERES a Longhorn Análisis de las diferentes opciones de migración del logon con CERES a Longhorn

22 Muchas gracias


Descargar ppt "Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica."

Presentaciones similares


Anuncios Google