• Sök:

    Ansluta YubiKey-kortautentisering (CCID) till MS AD-certifikattjänster (AD CS)

    1. HEM  - Hjälpcenter - Artikel  - 
    2. Ansluta YubiKey-kortautentisering (CCID) till MS AD-certifikattjänster (AD CS)
    Hur kan vi hjälpa till?
    INNEHÅLLSFÖRTECKNING
    < Alla ämnen
    tryckning

    Ansluta YubiKey-kortautentisering (CCID) till MS AD-certifikattjänster (AD CS)

    Appterix underlättar skapandet och driftsättningen av SmartCard-autentiseringscertifikat. Administratörer kan enkelt använda en registreringspolicy för att tillåta användare att själva skapa certifikat från sina MS Active Directory-certifikattjänster, till exempel för Windows-autentisering, och lagra dem på YubiKeys.

    Registreringssteget för certifikatbaserad autentisering (ZBA) låter dig begära och hämta ett PKI-certifikat från Active Directory Certificate Services (AD CS) för att möjliggöra säker inloggning med en YubiKey.
    Innan du lägger till ZBA-steget i YubiKey-registreringen, se till att din Active Directory-miljö är konfigurerad med ZBA-stöd.
    Det rekommenderas att denna process utförs av en kvalificerad domänadministratör.
    Om du stöter på några problem under installationen eller implementeringen, vänligen se avsnittet Certifikatbaserad autentisering: Vanliga frågor och felsökning.

    YubiKey-kompatibilitet

    • YubiKey 5 FIPS-serien
    • YubiKey FIPS (4-serien)
    • YubiKey 5-serien
    • YubiKey 4-serien
    • YubiKey C Bio – Multiprotokollutgåva
    • YubiKey Bio – Multiprotokollutgåva
    • YubiKey NEO
    • YubiKey NEO-n

    Förutsättningar

    Innan du aktiverar certifikatbaserad autentisering för användare via registrering, se till att:

    1. Active Directory Domain Services (AD DS) installeras för att skapa och hantera Active Directory-domänen.
      Installationsanvisningar finns på Installera AD DS.
    2. Alla klientenheter som är avsedda för certifikatbaserad autentisering har anslutits till domänen.
    3. Active Directory Certificate Services (AD CS) är installerat för att möjliggöra certifikatutfärdande. Flera instanser av AD CS kan installeras vid behov.
      Installationsanvisningar finns på Installera AD CS.
    4. En AD-importkälla har skapats och konfigurerats inom respektive organisation för användarsynkronisering. Instruktioner för att skapa och konfigurera en importkälla finns på Skapa en importkälla.
    5. AD-synkroniseringstjänsten är installerad på den Windows-server som krävs och ansluten till rätt AD-importkälla för din organisation.
      se Installera AD Sync-tjänstenom tjänsten inte redan är installerad.

    Aktivera certifikatbaserad autentisering via registrering

    När anslutningen mellan EM Platform Server och Active Directory har bekräftats och alla Förutsättningar har uppfyllts kan du aktivera certifikatbaserad autentisering för utvalda användare och/eller grupper via YubiKey-registrering.

    Hur man lägger till steget i YubiKey-registreringen

    1. I Appterix hanteringsgränssnitt, navigera till YubiKey-hantering > inskrivning.
    2. Klicka på Lägg till registrering.
    3. Välj steget PIV-återställning för att säkerställa att alla befintliga nycklar eller certifikat på YubiKey tas bort.   
      -ELLER-
      Välj steget PIV-ingång för att verifiera PIV-inloggningsuppgifter under registrering utan att radera några data. Stegen för PIV-inmatning och PIV-återställning utesluter varandra – endast en av dem får inkluderas i en konfiguration.
    4. Välj Certifikatbaserad autentisering från.
    5. Klicka på steget för att redigera dess inställningar.
      Dialogrutan Redigera registreringssteg visas.
    6. Klicka på rullgardinsmenyn bredvid Spåroch välj sedan önskad plats.
    7. Alternativet Nyckelgenerering på YubiKey är aktiverat som standard. Inaktivera det om det behövs. Det rekommenderas att aktivera det här alternativet för förbättrad säkerhet. Om det är inaktiverat sker nyckelgenerering utanför YubiKey, vilket ökar risken för att den privata nyckeln komprometteras.
    8. Klicka på Stänga.
    9. (Valfritt) Lägg till ytterligare steg till denna YubiKey-registrering om det behövs.
    10. Tilldela användare, välj önskad registreringsmetod och aktivera eller inaktivera automatisk registrering.

    YubiKey-registreringen har konfigurerats.

    Nästa steg: Certifikatregistrering med Appterix Agent

    Användare som har fått denna registrering kommer nu att se bakom respektive YubiKey i YubiKeys knappen Starta registrering Genom att slutföra registreringen, Appterix Agent skapar certifikatbegäran, som skickar den till Appterix Server / EM Platform Server och vidarebefordrar den till din AD CS via EgoMind AD Sync Service.

    Efter att certifikatet har skapats skickas det tillbaka till Appterix Agent och direkt till YubiKey i Plats 9a (kortautentisering) Dessutom ställs nödvändiga registerposter in på Windows-klienten så att du kan auktoriseras med hjälp av certifikatet och YubiKey PIN (PIV) nästa gång du loggar in i Windows.

    Certifikatbaserad autentisering: Vanliga frågor och felsökning

    Den här artikeln innehåller svar på vanliga frågor (FAQ) om att konfigurera och implementera ZBA. För att hitta svaren på dina frågor, tryck på Ctrl + Fför att öppna sökfunktionen och ange sedan motsvarande sökord i sökfältet.

    F1: När behöver jag generera nya autentiseringsuppgifter för AD-synkroniseringstjänsten?

    AStandardinloggningsuppgifterna är endast giltiga om AD Sync-tjänsten installerades med hjälp av Appterix installationsguide – den här metoden installerar tjänsten på samma server som Appterix och EM Platform Server och ansluter den automatiskt till standardimportkällan under rotorganisationen.
    Om AD-synkroniseringstjänsten har installerats manuellt på en separat server eller ska användas i en icke-rotorganisation måste nya autentiseringsuppgifter genereras för motsvarande importkälla och AD-synkroniseringstjänsten. omkonfigurerad vara.

    Så här konfigurerar du om anslutningen mellan EM Platform Server och AD-synkroniseringstjänsten

    1. Navigera till följande sökväg för att öppna kontrollpanelen för EM AD Sync-tjänsten:
      C:\Program\EgoMind\EMADSyncService\Utils
    2. Springa EMADSyncService.ControlPanel.exe som administratör.
    3. Fylla i Serveranslutning obligatoriska fält:
      • Ange i fältet Server URL Ange servernamnet i följande format:
        • För installationer på plats: https:// /administration
        • För användare av den molnbaserade lösningen: https://administration.appterix.eu
    4. Klicka på Ansök (ansöka) för att spara ändringarna.

    F2: Varför misslyckas eller startar inte synkroniseringen?

    A: Detta beror vanligtvis på konfigurations- eller anslutningsproblem.

    Rekommenderade tester:

    • Kontrollera att kontolösenordet är korrekt angett i AD-importkonfigurationen.
      Observera att efter en lösenordsändring i AD måste den även uppdateras i AD-importkonfigurationen.
    • Kontrollera om AD-domänkontrollanten är nåbar och svarar på ping-förfrågningar.
    • Se till att inga brandväggsregler blockerar kommunikationen mellan AD Sync-tjänsten och domänkontrollanten.
    • Se till att AD Sync-tjänsten är ansluten till den avsedda importkällan i rätt organisation.

    F3: Varför saknas certifikatmallarna i CA:n?

    A: De saknade certifikatmallarna kan bero på auktoriseringsproblem eller felaktig konfiguration.

    Rekommenderade kontroller:

    1. Se till att certifieringsutfärdarens korrekta namn (CA-namn) anges i AD-importkonfigurationen.
      Exempel: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA
      För mer information, se avsnittet Hur hittar jag namnet på certifikatutfärdaren (CA)?.
    2. Se till att det korrekta Server-URL anges i AD-importkonfigurationen:
      • För LDAPSAnge det fullständigt kvalificerade domännamnet (FQDN) för den katalogtjänst du ansluter till.
        Exempel: WIN-FEKLLGO3TDA.demo-egomind.local
      • För LDAPDu kan också använda serverns IP-adress.
    3. Kontrollera användarkontot (användarnamn) i AD-importkonfigurationen.
      När du konfigurerar AD-import är det viktigt att använda ett konto med lämpliga behörigheter för att aktivera certifikatutfärdande via AD CS.
      • Om användning av ett domänadministratörskonto är tillåtet: Se till att ett domänadministratörskonto anges i AD-importkonfigurationen i följande format:
        \
      • Om användningen av ett domänadministratörskonto är begränsad: Konfigurera Du är verktyget Kontrollpanelen för EM AD-synkroniseringstjänstenatt utfärda certifikat med ett konto som inte är administratör.

    Innan du konfigurerar kontrollpanelen för EM AD Sync-tjänsten, uppdatera användarnamn i AD-importkonfigurationen för att ange icke-administratörskontot. Använd följande format:
    \

    Så här konfigurerar du kontrollpanelen för EM AD Sync-tjänsten för användare som inte är administratörer

    1. Navigera till följande sökväg för att öppna kontrollpanelen för EM AD Sync-tjänsten:
      C:\Program\EgoMind\EMADSyncService\Utils
    2. Springa EMADSyncService.ControlPanel.exe som administratör.
    3. Fylla i AD CS Connect obligatoriska fält:
      1. Ange i fältet Användarnamn (användarnamn) ange namnet på en icke-administratörsanvändare i följande format:

        Se till att användarnamnet som anges här matchar namnet som anges i AD-importkonfigurationen. Observera de olika formaten för att undvika felkonfigurationer:
        • I AD-importkonfigurationen, använd formatet:
          \
        • Här anger du endast användarnamnet utan domänprefixet.
      2. Ange i fältet Domain Name (domän namn) ange domännamnet.
      3. Ange i fältet CA-namn (ZS-namn) certifieringsmyndighetens namn.
        För mer information, se avsnittet Hur hittar jag namnet på certifikatutfärdaren (CA)?.
    4. Klicka på Ansök (ansöka) för att spara ändringarna.

    F4: Hur hittar jag namnet på certifikatutfärdaren (CA)?

    AAtt ange rätt CA-namn är avgörande för att certifikat ska kunna utfärdas.

    Om endast en certifikatutfärdare används i din miljö kan du använda fältet för certifikatutfärdarnamn (CA-namn) tomt — systemet kommer att upptäcka det automatiskt.

    Så här hittar du CA-namnet:

    1. Öppna prompt som administratör på ZS-servern.
    2. Kör följande kommando:
      certutil-dump
    3. Leta efter fältet som börjar med Konfig Detta visar CA-namnet i önskat format.
      Exempel: Konfiguration: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA

    F5: Var hittar jag loggarna för AD Sync-tjänsten?

    AOm du stöter på problem under installationen eller synkroniseringen kan du visa AD-synkroniseringstjänstens loggar för att diagnostisera problemet.

    Standardplats för lagring av logg:

    C:\Programfiler\EgoMind\EMADSyncService\Loggar

    Skicka vid behov relevanta loggfiler till supportteamet för vidare felanalys och hjälp.

    I Kontakta support:

    • Bifoga relevanta loggfiler
    • Inkludera detaljerade felmeddelanden
    • Beskriv stegen som ledde till problemet

     

    Publicerad
    uppdaterad
    VonAppterix