Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica.
-
Upload
graciela-cazares -
Category
Documents
-
view
10 -
download
4
Transcript of Logon en Windows XP con Tarjetas y Certificados CERES Oscar Anaya Antonio Vila Microsoft Ibérica.
Logon en Windows XP Logon en Windows XP con Tarjetas y con Tarjetas y Certificados CERESCertificados CERES
Oscar Anaya Oscar Anaya Antonio VilaAntonio VilaMicrosoft IbéricaMicrosoft Ibérica
AgendaAgenda
AntecedentesAntecedentes Descripción del ProblemaDescripción del Problema Objetivos y AlcanceObjetivos y Alcance Descripción de la SoluciónDescripción de la Solución Requisitos de la PlataformaRequisitos de la Plataforma Instalación y DespliegueInstalación y Despliegue Personalización a Través de PolíticasPersonalización a Través de Políticas DemostraciónDemostración
AntecedentesAntecedentes
Acuerdo conjunto entre FNMT-RCM y Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de Microsoft con el objetivo principal de mejorar la integración de los productos de mejorar la integración de los productos de ambas organizaciones.ambas organizaciones.
Como objetivos adicionales de este acuerdo Como objetivos adicionales de este acuerdo se establecen:se establecen: La transferencia de conocimiento al personal de La transferencia de conocimiento al personal de
la FNMT-RCMla FNMT-RCM El soporte técnico preferencial a los clientes de El soporte técnico preferencial a los clientes de
la FNMT-RCMla FNMT-RCM La realización conjunta de actividades de La realización conjunta de actividades de
marketing y difusión.marketing y difusión.
Antecedentes (II)Antecedentes (II) Los sistemas operativos de la familia Los sistemas operativos de la familia
Windows, las aplicaciones de productividad Windows, las aplicaciones de productividad Office y resto de productos soportan el Office y resto de productos soportan el estándar de certificación x509v3.estándar de certificación x509v3.
Hoy en día es posible realizar de forma Hoy en día es posible realizar de forma nativa las siguientes tareas:nativa las siguientes tareas: Firma y cifrado de correo Firma y cifrado de correo Firma de documentos OfficeFirma de documentos Office Autentificación y firma en aplicaciones webAutentificación y firma en aplicaciones web Comunicaciones seguras SSL e IPSecComunicaciones seguras SSL e IPSec Cifrado de ficherosCifrado de ficheros Inicio de sesiónInicio de sesión
La autoridad de certificación CERES se basa La autoridad de certificación CERES se basa en el mismo estándar de certificaciónen el mismo estándar de certificación
Descripción del ProblemaDescripción del Problema El inicio de sesión mediante tarjeta CERES requiere El inicio de sesión mediante tarjeta CERES requiere
una adaptación:una adaptación: El inicio de sesión requiere relacionar el certificado con la El inicio de sesión requiere relacionar el certificado con la
cuenta del usuariocuenta del usuario Windows 2000, 2003 y XP implementan esta relación Windows 2000, 2003 y XP implementan esta relación
mediante el usomediante el uso el uso de una extensión del certificadoel uso de una extensión del certificado Los certificados CERES emitidos hasta la fecha no Los certificados CERES emitidos hasta la fecha no
incorporan dicha extensión y dado que se tratan de incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión.el personal se cuestiona su inclusión.
La información incluida en los puntos de distribución de La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la el sistema pueda acceder a las listas de revocación en la configuración por defectoconfiguración por defecto
Microsoft en base al acuerdo firmado con la FNMT tras Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para modificación del comportamiento de Windows para adaptarse a las necesidades específicas. adaptarse a las necesidades específicas.
Objetivos y alcanceObjetivos y alcance
Permitir a los usuarios de Permitir a los usuarios de organismos públicos y privados organismos públicos y privados iniciar sesión en sus PCs contra iniciar sesión en sus PCs contra un Directorio Corporativo un Directorio Corporativo mediante el uso del conjunto mediante el uso del conjunto formado por tarjeta y certificado formado por tarjeta y certificado digital CERES como mecanismo digital CERES como mecanismo alternativo al uso del tradicional alternativo al uso del tradicional usuario y contraseña.usuario y contraseña.
Descripción de la SoluciónDescripción de la Solución Microsoft ha desarrollado un conjunto Microsoft ha desarrollado un conjunto
de módulos que modifican el de módulos que modifican el comportamiento estándar de Windows comportamiento estándar de Windows XP y Directorio Activo, que permiten XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de relacionar el certificado y la cuenta de usuario usuario mediante el uso del usuario usuario mediante el uso del Directorio Activo.Directorio Activo. Se almacena el certificado del usuario y Se almacena el certificado del usuario y
su DNI en el Directorio Activosu DNI en el Directorio Activo El proceso de inicio de sesión accede al El proceso de inicio de sesión accede al
Directorio Activo para averiguar la cuenta Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y del usuario que presenta el certificado y comprobar la validez de su certificadocomprobar la validez de su certificado
Directorio Activo
Descripción de la Solución (II) Descripción de la Solución (II) Esquema de la SoluciónEsquema de la Solución
Red corporativa
Solicitud Solicitud del PIN del del PIN del
usuariousuarioFicheros e impresoras
Aplicaciones webOtras Aplicaciones
Proxy corporativoBases de datosEtc…
Acceso transparente
Descripción de la Solución (III) Descripción de la Solución (III) Funcionalidades Adicionales del ProductoFuncionalidades Adicionales del Producto
Muestra durante el logon el certificado Muestra durante el logon el certificado con el que se está intentando iniciar la con el que se está intentando iniciar la sesión en Windows. sesión en Windows.
Proveedor de revocación basado en Proveedor de revocación basado en consultas LDAP Internet/intranet. consultas LDAP Internet/intranet. Los clientes que se suscriban a este Los clientes que se suscriban a este
servicio podrán consultar online contra servicio podrán consultar online contra FNMT o contra una réplica, el estado de FNMT o contra una réplica, el estado de un certificadoun certificado
Proveedor de revocación basado en Proveedor de revocación basado en cliente OCSP.cliente OCSP.
Requisitos Plataforma Requisitos Plataforma Requisitos de ClienteRequisitos de Cliente
Sistema Operativo:Sistema Operativo: Windows XP Professional InglésWindows XP Professional Inglés Windows XP Professional EspañolWindows XP Professional Español
La maquina cliente debe pertenecer a La maquina cliente debe pertenecer a un dominio Windows 2000 o 2003.un dominio Windows 2000 o 2003.
CSP de la FNMTCSP de la FNMT
Requisitos Plataforma Requisitos Plataforma Requisitos de ServidorRequisitos de Servidor
Sistema Operativo:Sistema Operativo: Windows 2000 Server Windows 2000 Server Windows 2000 Advanced ServerWindows 2000 Advanced Server Windows 2003 Standard EditionWindows 2003 Standard Edition Windows 2003 Enterprise EditionWindows 2003 Enterprise Edition
Debe instalarse en los controladores Debe instalarse en los controladores de dominiode dominio
Instalación y DespliegueInstalación y DespliegueExtensión del Esquema del Directorio ActivoExtensión del Esquema del Directorio Activo
Es necesario extender el esquema del Es necesario extender el esquema del Directorio Activo añadiendo el atributo Directorio Activo añadiendo el atributo “fnmt-DNI” para almacenar el DNI del “fnmt-DNI” para almacenar el DNI del usuario en su cuentausuario en su cuenta
Esta tarea la realiza la utilidad Esta tarea la realiza la utilidad ForestPrep:ForestPrep: Solo es necesario ejecutarla una vez.Solo es necesario ejecutarla una vez. La ejecución tiene que hacerse en una maquina que sea La ejecución tiene que hacerse en una maquina que sea
DC del dominio del Directorio ActivoDC del dominio del Directorio Activo Solo es necesario para la Instalación de la Parte Servidora Solo es necesario para la Instalación de la Parte Servidora
de la Aplicación.de la Aplicación. El orden es indiferente, Setup Servidor y ejecución de El orden es indiferente, Setup Servidor y ejecución de
ForestPrep o viceversa.ForestPrep o viceversa.
Instalación y Despliegue (III) Instalación y Despliegue (III) Instalación parte ServidoraInstalación parte Servidora
Instalación en Controladores de Dominio:Instalación en Controladores de Dominio: Ejecución del fichero Ejecución del fichero Setup.exeSetup.exe y seguir las y seguir las
indicaciones del Asistente. indicaciones del Asistente. Durante el proceso de instalación se introduce la Durante el proceso de instalación se introduce la
configuración de consulta de CRLs (LDAP y/o configuración de consulta de CRLs (LDAP y/o OCSP)OCSP)
Es necesario reiniciar el equipo para que los Es necesario reiniciar el equipo para que los cambios realizados sean efectivoscambios realizados sean efectivos
Es posible realizar este proceso de forma Es posible realizar este proceso de forma desatendida si no es necesario configurar la desatendida si no es necesario configurar la conexión OCSPconexión OCSP
El usuario que inicia la instalación debe El usuario que inicia la instalación debe pertenecer al grupo de administradores de pertenecer al grupo de administradores de dominiodominio
Instalación y Despliegue (II) Instalación y Despliegue (II) Instalación parte ClienteInstalación parte Cliente
Instalación en ClienteInstalación en Cliente Ejecución del fichero Ejecución del fichero Setup.exeSetup.exe y seguir y seguir
las indicaciones del Asistente. las indicaciones del Asistente. Es necesario reiniciar el equipo para que Es necesario reiniciar el equipo para que
los cambios realizados sean efectivoslos cambios realizados sean efectivos
Es posible realizar este proceso de Es posible realizar este proceso de forma desatendidaforma desatendida
El usuario que inicia la instalación El usuario que inicia la instalación debe disponer de permisos de debe disponer de permisos de administración local de la maquinaadministración local de la maquina
Instalación y Despliegue (IV)Instalación y Despliegue (IV) Alternativas de Despliegue para el clienteAlternativas de Despliegue para el cliente
La solución se basa en Directorio La solución se basa en Directorio Activo por lo que estarán disponibles Activo por lo que estarán disponibles directamente las siguientes estrategias directamente las siguientes estrategias de distribución:de distribución: PolíticasPolíticas
834487 How to install Microsoft TechNet 834487 How to install Microsoft TechNet products by using Group Policyproducts by using Group Policy
305293 Description of the Windows XP 305293 Description of the Windows XP Professional Fast Logon OptimizationProfessional Fast Logon Optimization
Logon ScriptsLogon Scripts Otros productos de despliegue y Otros productos de despliegue y
actualización de software (SMS, etc.)actualización de software (SMS, etc.)
Instalación y Despliegue (V) Instalación y Despliegue (V) “Enrollment” de usuarios“Enrollment” de usuarios
En la cuenta de Directorio Activo del En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario deben incluirse el DNI del usuario y la parte pública de su usuario y la parte pública de su certificadocertificado
Se incluyen ejemplos de asociación de Se incluyen ejemplos de asociación de certificados a cuentas:certificados a cuentas: Script VBSScript VBS Web de “auto-enrollment”Web de “auto-enrollment”
Personalización a Través de PolíticasPersonalización a Través de Políticas
Son aplicables las políticas estándar Son aplicables las políticas estándar de Windows, incluidas las aplicables a de Windows, incluidas las aplicables a logon con Smartcardlogon con Smartcard
Ejemplos:Ejemplos: Obligar logon con SmartcardObligar logon con Smartcard Comportamiento al extraer la tarjetaComportamiento al extraer la tarjeta
Bloqueo de la estación de trabajoBloqueo de la estación de trabajo Cierre de sesiónCierre de sesión
Demostración Demostración Equipamiento y PreparaciónEquipamiento y Preparación
Un equipo portátil que emulará un Un equipo portátil que emulará un puesto de usuario y un servidor puesto de usuario y un servidor controlador de dominio controlador de dominio
Previamente el administrador deberá:Previamente el administrador deberá: Instalar la solución en estos equipos Instalar la solución en estos equipos Habilitar el inicio de sesión con tarjeta Habilitar el inicio de sesión con tarjeta
para los usuarios seleccionadospara los usuarios seleccionados
Demostración (II) Demostración (II) EscenariosEscenarios Asociación del certificado a una cuenta de Asociación del certificado a una cuenta de
usuario del Directorio Activousuario del Directorio Activo El usuario inicia sesión utilizando su tarjeta El usuario inicia sesión utilizando su tarjeta
CERESCERES Se comprobará que puede acceder a los Se comprobará que puede acceder a los
recursos de la red sin necesidad de volver a recursos de la red sin necesidad de volver a identificarseidentificarse
Accederá a una carpeta compartida en el Accederá a una carpeta compartida en el servidor que le identificará de forma automáticaservidor que le identificará de forma automática
El usuario bloqueará la sesión para El usuario bloqueará la sesión para abandonar su puesto y la recuperará abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERESvolviendo a introducir la tarjeta CERES
DemostraciónDemostración
Otros ProyectosOtros Proyectos Nuevo root de CERES en IENuevo root de CERES en IE Nuevas versiones del “Logon Nuevas versiones del “Logon
con CERES”con CERES” Posible extensión a Windows Posible extensión a Windows
20002000 Desarrollo de CardModule Desarrollo de CardModule
(antiguo CSP) para la próxima (antiguo CSP) para la próxima versión de Windows, versión de Windows, Longhorn. Longhorn.
Posibilidad de inclusión CSP Posibilidad de inclusión CSP de forma nativa en el sistema de forma nativa en el sistema operativooperativo
Análisis de las diferentes Análisis de las diferentes opciones de migración del opciones de migración del logon con CERES a Longhornlogon con CERES a Longhorn
Muchas graciasMuchas gracias