220 likes | 481 Views
Logon en Windows XP con Tarjetas y Certificados CERES. Oscar Anaya Antonio Vila Microsoft Ibérica. Agenda. Antecedentes Descripción del Problema Objetivos y Alcance Descripción de la Solución Requisitos de la Plataforma Instalación y Despliegue Personalización a Través de Políticas
E N D
Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica
Agenda • Antecedentes • Descripción del Problema • Objetivos y Alcance • Descripción de la Solución • Requisitos de la Plataforma • Instalación y Despliegue • Personalización a Través de Políticas • Demostración
Antecedentes • Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de mejorar la integración de los productos de ambas organizaciones. • Como objetivos adicionales de este acuerdo se establecen: • La transferencia de conocimiento al personal de la FNMT-RCM • El soporte técnico preferencial a los clientes de la FNMT-RCM • La realización conjunta de actividades de marketing y difusión.
Antecedentes (II) • Los sistemas operativos de la familia Windows, las aplicaciones de productividad Office y resto de productos soportan el estándar de certificación x509v3. • Hoy en día es posible realizar de forma nativa las siguientes tareas: • Firma y cifrado de correo • Firma de documentos Office • Autentificación y firma en aplicaciones web • Comunicaciones seguras SSL e IPSec • Cifrado de ficheros • Inicio de sesión • La autoridad de certificación CERES se basa en el mismo estándar de certificación
Descripción del Problema • El inicio de sesión mediante tarjeta CERES requiere una adaptación: • El inicio de sesión requiere relacionar el certificado con la cuenta del usuario • Windows 2000, 2003 y XP implementan esta relación mediante el usoel uso de una extensión del certificado • Los certificados CERES emitidos hasta la fecha no incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión. • La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la configuración por defecto • Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para adaptarse a las necesidades específicas.
Objetivos y alcance • Permitir a los usuarios de organismos públicos y privados iniciar sesión en sus PCs contra un Directorio Corporativo mediante el uso del conjunto formado por tarjeta y certificado digital CERES como mecanismo alternativo al uso del tradicional usuario y contraseña.
Descripción de la Solución • Microsoft ha desarrollado un conjunto de módulos que modifican el comportamiento estándar de Windows XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de usuario usuario mediante el uso del Directorio Activo. • Se almacena el certificado del usuario y su DNI en el Directorio Activo • El proceso de inicio de sesión accede al Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y comprobar la validez de su certificado
Descripción de la Solución (II) Esquema de la Solución Red corporativa Directorio Activo Solicitud del PIN del usuario Ficheros e impresoras Aplicaciones web Otras Aplicaciones Acceso transparente Proxy corporativo Bases de datos Etc…
Descripción de la Solución (III) Funcionalidades Adicionales del Producto • Muestra durante el logon el certificado con el que se está intentando iniciar la sesión en Windows. • Proveedor de revocación basado en consultas LDAP Internet/intranet. • Los clientes que se suscriban a este servicio podrán consultar online contra FNMT o contra una réplica, el estado de un certificado • Proveedor de revocación basado en cliente OCSP.
Requisitos Plataforma Requisitos de Cliente • Sistema Operativo: • Windows XP Professional Inglés • Windows XP Professional Español • La maquina cliente debe pertenecer a un dominio Windows 2000 o 2003. • CSP de la FNMT
Requisitos Plataforma Requisitos de Servidor • Sistema Operativo: • Windows 2000 Server • Windows 2000 Advanced Server • Windows 2003 Standard Edition • Windows 2003 Enterprise Edition • Debe instalarse en los controladores de dominio
Instalación y DespliegueExtensión del Esquema del Directorio Activo • Es necesario extender el esquema del Directorio Activo añadiendo el atributo “fnmt-DNI” para almacenar el DNI del usuario en su cuenta • Esta tarea la realiza la utilidad ForestPrep: • Solo es necesario ejecutarla una vez. • La ejecución tiene que hacerse en una maquina que sea DC del dominio del Directorio Activo • Solo es necesario para la Instalación de la Parte Servidora de la Aplicación. • El orden es indiferente, Setup Servidor y ejecución de ForestPrep o viceversa.
Instalación y Despliegue (III) Instalación parte Servidora • Instalación en Controladores de Dominio: • Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. • Durante el proceso de instalación se introduce la configuración de consulta de CRLs (LDAP y/o OCSP) • Es necesario reiniciar el equipo para que los cambios realizados sean efectivos • Es posible realizar este proceso de forma desatendida si no es necesario configurar la conexión OCSP • El usuario que inicia la instalación debe pertenecer al grupo de administradores de dominio
Instalación y Despliegue (II) Instalación parte Cliente • Instalación en Cliente • Ejecución del fichero Setup.exe y seguir las indicaciones del Asistente. • Es necesario reiniciar el equipo para que los cambios realizados sean efectivos • Es posible realizar este proceso de forma desatendida • El usuario que inicia la instalación debe disponer de permisos de administración local de la maquina
Instalación y Despliegue (IV)Alternativas de Despliegue para el cliente • La solución se basa en Directorio Activo por lo que estarán disponibles directamente las siguientes estrategias de distribución: • Políticas • 834487 How to install Microsoft TechNet products by using Group Policy • 305293 Description of the Windows XP Professional Fast Logon Optimization • Logon Scripts • Otros productos de despliegue y actualización de software (SMS, etc.)
Instalación y Despliegue (V) “Enrollment” de usuarios • En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario y la parte pública de su certificado • Se incluyen ejemplos de asociación de certificados a cuentas: • Script VBS • Web de “auto-enrollment”
Personalización a Través de Políticas • Son aplicables las políticas estándar de Windows, incluidas las aplicables a logon con Smartcard • Ejemplos: • Obligar logon con Smartcard • Comportamiento al extraer la tarjeta • Bloqueo de la estación de trabajo • Cierre de sesión
Demostración Equipamiento y Preparación • Un equipo portátil que emulará un puesto de usuario y un servidor controlador de dominio • Previamente el administrador deberá: • Instalar la solución en estos equipos • Habilitar el inicio de sesión con tarjeta para los usuarios seleccionados
Demostración (II) Escenarios • Asociación del certificado a una cuenta de usuario del Directorio Activo • El usuario inicia sesión utilizando su tarjeta CERES • Se comprobará que puede acceder a los recursos de la red sin necesidad de volver a identificarse • Accederá a una carpeta compartida en el servidor que le identificará de forma automática • El usuario bloqueará la sesión para abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERES
Otros Proyectos • Nuevo root de CERES en IE • Nuevas versiones del “Logon con CERES” • Posible extensión a Windows 2000 • Desarrollo de CardModule (antiguo CSP) para la próxima versión de Windows, Longhorn. • Posibilidad de inclusión CSP de forma nativa en el sistema operativo • Análisis de las diferentes opciones de migración del logon con CERES a Longhorn