Для реализации данной задачи понадобится служба сертификации, входящая в состав Windows Server 2003, но не установленная по умолчанию. И, разумеется, драйвера смар-карты (например, eToken).
Установка центра сертификации (необходим инсталляционный диск Windows Server 2003).
Если не установлен IIS, то рекомендуется его установить, сертификатами гораздо удобнее управляь через веб-интерфейс. Пуск -> Панель управления -> Установка и удаление программ -> Установка компонентов Windows -> Сервер приложений -> Службы IIS, поставить галочку напротив пункта Служба WWW. Можно еще добавить поддержку ASP, но мастер все равно об этом попросит при установке центра сертификации.
Далее установить центр сертификации Пуск -> Панель управления -> Установка и удаление программ -> Установка компонентов Windows, поставить галочку напротив пункта Службы сертификации, мастер предупредит о том, что компьютер, на котором установлен центр сертификатов, в будущем нельзя будет переименовать до удаления данной службы. Далее мастер предложит выбрать тип и имя нового центра сертификации. Выбрать тип Корневой ЦС предприятия (предполагается, что данный ЦС будет использоваться в среде Active Directory), нажать Далее.
По завершении установки необходимо добавить несколько шаблонов в оснастке управления центром сертификации Пуск -> Администрирование -> Центр сертификации. В открытом окне должен появиться новый центр сертификации и доступные для него папки. Зайти в Шаблоны сертификатов, кликнуть правой кнопкой, выбрать пункт Создать -> Выдаваемый шаблон сертификата, выбрать Агент подачи заявок. Так же добавить Вход со смарт картой.
Далее необходимо оборудовать компьютер, на котором будут выдаваться смарт-карты. Установить драйвера используемых смарт-карт (собственно это надо сделать на всех компьютерах, на которых будут они использоваться), далее необходимо в броузере разрешить ActiveX в Свойства обозревателя -> Безопасность -> Другой –> "Использование элементов управления ActiveX, не помеченных, как безопасные для использования" установить в Включить.
Теперь необходимо выдать сертификат агента подачи заявок для выдачи запроса от имени другого пользователя: зайти в броузере на страницу управления (http://имя_сервера/certsrv), выбрать Запрос сертификата -> расширенный запрос сертификата -> Создать и выдать запрос к этому ЦС. Изменить Шаблон сертификата на ранее установленный Агент подачи заявок (больше можно ничего не менять) нажать Выдать, после чего будет выдан сертификат и предложено его установить, что и следует сделать.
Теперь можно выдавать пользовательские смарт-карты. Зайти в броузере на страницу управления, выбрать Запрос сертификата -> расширенный запрос сертификата -> "Запросить сертификат для смарт-карты от имени другого пользователя с помощью станции заявок на сертификаты смарт-карт". На данной странице в необходимо убедится, что в Шаблон сертификата установлен Вход со смарт-картой, Центр сертификации соответствует устанвленному, Поставщик услуг криптографии (CSP) соответствует смарт-карте, Сертификат подписи администратора тот, который был только что выдан.
Остается только вставить пустую смарт-карту, выбрать из каталога заявляемого пользователя и нажать Заявка, на что будет предложено ввести PIN смарт-карты и запишется выданный сертификат.
Однако, для входа пользователя по выданному сертификату остался еще один шаг. В оснастке Active Directory - пользователи и компьютеры в свойствах пользователя на закладке Учетная запись в Параметры записи установить птичку Для интерактивного входа в сеть нужна смарт-карта.
Кроме того, иногда бывает, что при загрузке компьютера приглашение вставить сматр-карту может и не появится. И чтобы войти в сеть необходимо достать и заново вставить сматр-карту.
Комментариев нет:
Отправить комментарий