Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porGraciela Cazares Modificado hace 11 años
1
Logon en Windows XP con Tarjetas y Certificados CERES
Oscar Anaya Antonio Vila Microsoft Ibérica
2
Agenda Antecedentes Descripción del Problema Objetivos y Alcance
Descripción de la Solución Requisitos de la Plataforma Instalación y Despliegue Personalización a Través de Políticas Demostración
3
Antecedentes Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de mejorar la integración de los productos de ambas organizaciones. Como objetivos adicionales de este acuerdo se establecen: La transferencia de conocimiento al personal de la FNMT-RCM El soporte técnico preferencial a los clientes de la FNMT-RCM La realización conjunta de actividades de marketing y difusión.
4
Antecedentes (II) Los sistemas operativos de la familia Windows, las aplicaciones de productividad Office y resto de productos soportan el estándar de certificación x509v3. Hoy en día es posible realizar de forma nativa las siguientes tareas: Firma y cifrado de correo Firma de documentos Office Autentificación y firma en aplicaciones web Comunicaciones seguras SSL e IPSec Cifrado de ficheros Inicio de sesión La autoridad de certificación CERES se basa en el mismo estándar de certificación
5
Descripción del Problema
El inicio de sesión mediante tarjeta CERES requiere una adaptación: El inicio de sesión requiere relacionar el certificado con la cuenta del usuario Windows 2000, 2003 y XP implementan esta relación mediante el uso el uso de una extensión del certificado Los certificados CERES emitidos hasta la fecha no incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión. La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la configuración por defecto Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para adaptarse a las necesidades específicas.
6
Objetivos y alcance Permitir a los usuarios de organismos públicos y privados iniciar sesión en sus PCs contra un Directorio Corporativo mediante el uso del conjunto formado por tarjeta y certificado digital CERES como mecanismo alternativo al uso del tradicional usuario y contraseña.
7
Descripción de la Solución
Microsoft ha desarrollado un conjunto de módulos que modifican el comportamiento estándar de Windows XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de usuario usuario mediante el uso del Directorio Activo. Se almacena el certificado del usuario y su DNI en el Directorio Activo El proceso de inicio de sesión accede al Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y comprobar la validez de su certificado
8
Descripción de la Solución (II) Esquema de la Solución
Red corporativa Directorio Activo Solicitud del PIN del usuario Ficheros e impresoras Aplicaciones web Otras Aplicaciones Acceso transparente Proxy corporativo Bases de datos Etc…
9
Descripción de la Solución (III) Funcionalidades Adicionales del Producto
Muestra durante el logon el certificado con el que se está intentando iniciar la sesión en Windows. Proveedor de revocación basado en consultas LDAP Internet/intranet. Los clientes que se suscriban a este servicio podrán consultar online contra FNMT o contra una réplica, el estado de un certificado Proveedor de revocación basado en cliente OCSP.
10
Requisitos Plataforma Requisitos de Cliente
Sistema Operativo: Windows XP Professional Inglés Windows XP Professional Español La maquina cliente debe pertenecer a un dominio Windows 2000 o 2003. CSP de la FNMT
11
Requisitos Plataforma Requisitos de Servidor
Sistema Operativo: Windows 2000 Server Windows 2000 Advanced Server Windows 2003 Standard Edition Windows 2003 Enterprise Edition Debe instalarse en los controladores de dominio
12
Instalación y Despliegue Extensión del Esquema del Directorio Activo
Es necesario extender el esquema del Directorio Activo añadiendo el atributo “fnmt-DNI” para almacenar el DNI del usuario en su cuenta Esta tarea la realiza la utilidad ForestPrep: Solo es necesario ejecutarla una vez. La ejecución tiene que hacerse en una maquina que sea DC del dominio del Directorio Activo Solo es necesario para la Instalación de la Parte Servidora de la Aplicación. El orden es indiferente, Setup Servidor y ejecución de ForestPrep o viceversa.
13
Instalación y Despliegue (III) Instalación parte Servidora
Instalación en Controladores de Dominio: Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Durante el proceso de instalación se introduce la configuración de consulta de CRLs (LDAP y/o OCSP) Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es posible realizar este proceso de forma desatendida si no es necesario configurar la conexión OCSP El usuario que inicia la instalación debe pertenecer al grupo de administradores de dominio
14
Instalación y Despliegue (II) Instalación parte Cliente
Instalación en Cliente Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. Es necesario reiniciar el equipo para que los cambios realizados sean efectivos Es posible realizar este proceso de forma desatendida El usuario que inicia la instalación debe disponer de permisos de administración local de la maquina
15
Instalación y Despliegue (IV) Alternativas de Despliegue para el cliente
La solución se basa en Directorio Activo por lo que estarán disponibles directamente las siguientes estrategias de distribución: Políticas How to install Microsoft TechNet products by using Group Policy Description of the Windows XP Professional Fast Logon Optimization Logon Scripts Otros productos de despliegue y actualización de software (SMS, etc.)
16
Instalación y Despliegue (V) “Enrollment” de usuarios
En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario y la parte pública de su certificado Se incluyen ejemplos de asociación de certificados a cuentas: Script VBS Web de “auto-enrollment”
17
Personalización a Través de Políticas
Son aplicables las políticas estándar de Windows, incluidas las aplicables a logon con Smartcard Ejemplos: Obligar logon con Smartcard Comportamiento al extraer la tarjeta Bloqueo de la estación de trabajo Cierre de sesión
18
Demostración Equipamiento y Preparación
Un equipo portátil que emulará un puesto de usuario y un servidor controlador de dominio Previamente el administrador deberá: Instalar la solución en estos equipos Habilitar el inicio de sesión con tarjeta para los usuarios seleccionados
19
Demostración (II) Escenarios
Asociación del certificado a una cuenta de usuario del Directorio Activo El usuario inicia sesión utilizando su tarjeta CERES Se comprobará que puede acceder a los recursos de la red sin necesidad de volver a identificarse Accederá a una carpeta compartida en el servidor que le identificará de forma automática El usuario bloqueará la sesión para abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERES
20
Demostración
21
Otros Proyectos Nuevo root de CERES en IE
Nuevas versiones del “Logon con CERES” Posible extensión a Windows 2000 Desarrollo de CardModule (antiguo CSP) para la próxima versión de Windows, Longhorn. Posibilidad de inclusión CSP de forma nativa en el sistema operativo Análisis de las diferentes opciones de migración del logon con CERES a Longhorn
22
Muchas gracias
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.