1 / 22

Logon en Windows XP con Tarjetas y Certificados CERES

Logon en Windows XP con Tarjetas y Certificados CERES. Oscar Anaya Antonio Vila Microsoft Ibérica. Agenda. Antecedentes Descripción del Problema Objetivos y Alcance Descripción de la Solución Requisitos de la Plataforma Instalación y Despliegue Personalización a Través de Políticas

cheyenne
Download Presentation

Logon en Windows XP con Tarjetas y Certificados CERES

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica

  2. Agenda • Antecedentes • Descripción del Problema • Objetivos y Alcance • Descripción de la Solución • Requisitos de la Plataforma • Instalación y Despliegue • Personalización a Través de Políticas • Demostración

  3. Antecedentes • Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de mejorar la integración de los productos de ambas organizaciones. • Como objetivos adicionales de este acuerdo se establecen: • La transferencia de conocimiento al personal de la FNMT-RCM • El soporte técnico preferencial a los clientes de la FNMT-RCM • La realización conjunta de actividades de marketing y difusión.

  4. Antecedentes (II) • Los sistemas operativos de la familia Windows, las aplicaciones de productividad Office y resto de productos soportan el estándar de certificación x509v3. • Hoy en día es posible realizar de forma nativa las siguientes tareas: • Firma y cifrado de correo • Firma de documentos Office • Autentificación y firma en aplicaciones web • Comunicaciones seguras SSL e IPSec • Cifrado de ficheros • Inicio de sesión • La autoridad de certificación CERES se basa en el mismo estándar de certificación

  5. Descripción del Problema • El inicio de sesión mediante tarjeta CERES requiere una adaptación: • El inicio de sesión requiere relacionar el certificado con la cuenta del usuario • Windows 2000, 2003 y XP implementan esta relación mediante el usoel uso de una extensión del certificado • Los certificados CERES emitidos hasta la fecha no incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión. • La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la configuración por defecto • Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para adaptarse a las necesidades específicas.

  6. Objetivos y alcance • Permitir a los usuarios de organismos públicos y privados iniciar sesión en sus PCs contra un Directorio Corporativo mediante el uso del conjunto formado por tarjeta y certificado digital CERES como mecanismo alternativo al uso del tradicional usuario y contraseña.

  7. Descripción de la Solución • Microsoft ha desarrollado un conjunto de módulos que modifican el comportamiento estándar de Windows XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de usuario usuario mediante el uso del Directorio Activo. • Se almacena el certificado del usuario y su DNI en el Directorio Activo • El proceso de inicio de sesión accede al Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y comprobar la validez de su certificado

  8. Descripción de la Solución (II) Esquema de la Solución Red corporativa Directorio Activo Solicitud del PIN del usuario Ficheros e impresoras Aplicaciones web Otras Aplicaciones Acceso transparente Proxy corporativo Bases de datos Etc…

  9. Descripción de la Solución (III) Funcionalidades Adicionales del Producto • Muestra durante el logon el certificado con el que se está intentando iniciar la sesión en Windows.   • Proveedor de revocación basado en consultas LDAP Internet/intranet. • Los clientes que se suscriban a este servicio podrán consultar online contra FNMT o contra una réplica, el estado de un certificado • Proveedor de revocación basado en cliente OCSP.

  10. Requisitos Plataforma Requisitos de Cliente • Sistema Operativo: • Windows XP Professional Inglés • Windows XP Professional Español • La maquina cliente debe pertenecer a un dominio Windows 2000 o 2003. • CSP de la FNMT

  11. Requisitos Plataforma Requisitos de Servidor • Sistema Operativo: • Windows 2000 Server • Windows 2000 Advanced Server • Windows 2003 Standard Edition • Windows 2003 Enterprise Edition • Debe instalarse en los controladores de dominio

  12. Instalación y DespliegueExtensión del Esquema del Directorio Activo • Es necesario extender el esquema del Directorio Activo añadiendo el atributo “fnmt-DNI” para almacenar el DNI del usuario en su cuenta • Esta tarea la realiza la utilidad ForestPrep: • Solo es necesario ejecutarla una vez. • La ejecución tiene que hacerse en una maquina que sea DC del dominio del Directorio Activo • Solo es necesario para la Instalación de la Parte Servidora de la Aplicación. • El orden es indiferente, Setup Servidor y ejecución de ForestPrep o viceversa.

  13. Instalación y Despliegue (III) Instalación parte Servidora • Instalación en Controladores de Dominio: • Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. • Durante el proceso de instalación se introduce la configuración de consulta de CRLs (LDAP y/o OCSP) • Es necesario reiniciar el equipo para que los cambios realizados sean efectivos • Es posible realizar este proceso de forma desatendida si no es necesario configurar la conexión OCSP • El usuario que inicia la instalación debe pertenecer al grupo de administradores de dominio

  14. Instalación y Despliegue (II) Instalación parte Cliente • Instalación en Cliente • Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. • Es necesario reiniciar el equipo para que los cambios realizados sean efectivos • Es posible realizar este proceso de forma desatendida • El usuario que inicia la instalación debe disponer de permisos de administración local de la maquina

  15. Instalación y Despliegue (IV)Alternativas de Despliegue para el cliente • La solución se basa en Directorio Activo por lo que estarán disponibles directamente las siguientes estrategias de distribución: • Políticas • 834487 How to install Microsoft TechNet products by using Group Policy • 305293 Description of the Windows XP Professional Fast Logon Optimization • Logon Scripts • Otros productos de despliegue y actualización de software (SMS, etc.)

  16. Instalación y Despliegue (V) “Enrollment” de usuarios • En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario y la parte pública de su certificado • Se incluyen ejemplos de asociación de certificados a cuentas: • Script VBS • Web de “auto-enrollment”

  17. Personalización a Través de Políticas • Son aplicables las políticas estándar de Windows, incluidas las aplicables a logon con Smartcard • Ejemplos: • Obligar logon con Smartcard • Comportamiento al extraer la tarjeta • Bloqueo de la estación de trabajo • Cierre de sesión

  18. Demostración Equipamiento y Preparación • Un equipo portátil que emulará un puesto de usuario y un servidor controlador de dominio • Previamente el administrador deberá: • Instalar la solución en estos equipos • Habilitar el inicio de sesión con tarjeta para los usuarios seleccionados

  19. Demostración (II) Escenarios • Asociación del certificado a una cuenta de usuario del Directorio Activo • El usuario inicia sesión utilizando su tarjeta CERES • Se comprobará que puede acceder a los recursos de la red sin necesidad de volver a identificarse • Accederá a una carpeta compartida en el servidor que le identificará de forma automática • El usuario bloqueará la sesión para abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERES

  20. Demostración

  21. Otros Proyectos • Nuevo root de CERES en IE • Nuevas versiones del “Logon con CERES” • Posible extensión a Windows 2000 • Desarrollo de CardModule (antiguo CSP) para la próxima versión de Windows, Longhorn. • Posibilidad de inclusión CSP de forma nativa en el sistema operativo • Análisis de las diferentes opciones de migración del logon con CERES a Longhorn

  22. Muchas gracias

More Related