Your SlideShare is downloading. ×

DNIe en tu Active Directory

5,272

Published on

Charla impartida por Rames Sarwat, de Smart Access, en el evento Asegúr@IT 6, que tuvo lugar el día 18 de Junio de 2009 en Getafe, Madrid.

Charla impartida por Rames Sarwat, de Smart Access, en el evento Asegúr@IT 6, que tuvo lugar el día 18 de Junio de 2009 en Getafe, Madrid.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
5,272
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
65
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. DNIe en tu AD Rames Sarwat rames@smartaccess.es © SMARTACCESS 2009
  • 2. Imaginemos el siguiente escenario…  Una empresa u organismo público con unos cientos de empleados  Los puestos tienen Windows  Directorio Activo instalado  Los usuarios tienen todos una cuenta en AD PUBLIC Página 2
  • 3. ¿ Es perfecto?  Casi, pero : • los usuarios comparten sus contraseñas, • las apuntan • utilizan contraseñas como: password o 1234  Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña. PUBLIC Página 3
  • 4. ¿Que deberíamos hacer?  Implementar un mecanismo más seguro de las contraseñas para que los usuarios accedan a sus puestos y a sus aplicaciones.  Implementar un mecanismo de acceso único a todos los sistemas y aplicaciones (Single Sign-On) PUBLIC Página 4
  • 5. Y, ¿qué opciones tengo?  De menor a mayor nivel de seguridad • Usar sistemas de passwords de un solo uso  OTP : One Time Password • Usar algún sistema biométrico • Usar smartcards con certificados digitales  Todos estos sistemas requieren cierta inversión en hardware y por supuesto en software. PUBLIC Página 5
  • 6. Vale, pero ¿que hago?  No todo el mundo necesita el mayor nivel de seguridad. Depende de lo que protegemos  Las smartcards con certificado nos ayudan a introducir la firma electrónica en la organización.  Además, el DNIe nos puede evitar la adquisición de smartcards y la emisión de certificados digitales. PUBLIC Página 6
  • 7. Logon con smartcard  ¿Lo hemos inventado nosotros? • NO, existe desde hace mas de 9 años. • Con validación con AD existe desde el lanzamiento de Windows 2000.  Necesito: • una smartcard con "driver" (middleware) para Windows que contenga un certificado digital con ciertas características. PUBLIC Página 7
  • 8. ¿Que es eso del middleware?  Es un software asociado a una smartcard o tarjeta criptográfica que contiene: • Un API y driver para aplicaciones Windows, llamado CSP • Otro API para sistemas no Windows, llamado PKCS#11 • Utilidades de gestión de la tarjeta: inicialización, cambio de PIN, desboqueo, carga de certificados, aviso de caducidad, etc.  En las tarjetas comerciales suele tener un coste aparte. En el DNIe y las tarjetas de la FNMT se descarga gartuitamente. PUBLIC Página 8
  • 9. Para hacer logon con el DNIe, ¿qué hace falta?  Que mi sistema operativo sepa comunicarse con el DNIe. Instalación del "driver" (mejor llamado middleware)  Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo  Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet. PUBLIC Página 9
  • 10. Dos posibilidades tecnicas:  Verificación de credencial y envío de usuario/contraseña.  Autenticación mediante firma digital. PUBLIC Página 10
  • 11. Verificación de credenciales y …  Inyección de usuario y contraseña • Un usuario presenta su DNIe y su PIN ante la aplicación • La aplicación recupera el usuario y contraseña guardadas de forma segura • Se envía el usuario y contraseña al sistema.  Ventaja: mayor simplicidad y compatibilidad  Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc. . PUBLIC Página 11
  • 12. Autenticación mediante firma • El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado). • El cliente envía al servidor la firma y la parte pública del certificado • El servidor valida la firma y comprueba que el certificado no ha sido revocado • El servidor requiere de un certificado para autenticarse y cifrar la comunicación • Si todo va bien, el servidor emite un ticket kerberos. • El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización. • El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación. PUBLIC Página 12
  • 13. ¿Cuál utiliza SmartAccess?  Implementamos ambas técnicas en 2 diferentes productos • SmartID Corporate Logon - Autenticación mediante firma • IDOne Professional – Verificación de credenciales y envío de usuario/contraseña  Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.  Cualquier AD sirve. PUBLIC Página 13
  • 14. SmartID Corporate Logon  Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones: • Smartcard - disponer de CSP "driver" • Certificado Digital - cumplir el estandar X509v3 • Lector smartcard - cumplir la especificación PC/SC  No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory  Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.  Se instala en un par de horas. PUBLIC Página 14
  • 15. IDOne Professional  Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.  Arquitectura cliente/servidor  Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD  Menores requisitos técnicos que SmartID Coporate Logon • No necesito certificados de servidor • No requiere certificados en la smartcard  Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.) PUBLIC Página 15
  • 16. Pero tiene más usos…  Autenticación • Acceso al puesto remoto (TS/Citrix/VDI) • Teletrabajo seguro (VPN) • Colaboración con clientes y proveedores (Web)  Mejorar el servicio al público  Navegación segura por Internet  Verificación de la identidad PUBLIC Página 16
  • 17. PUBLIC Página 17
  • 18. Si quieres probarlo…  No te molestamos. Te lo descargas de la web sin compromiso ni registro en: • www.smartaccess.es (Descargas)  Pero si quieres consultarnos algo: • soporte@smartaccess.es • Tlf: 902.907.365 / 915.560.042 PUBLIC Página 18
  • 19. PUBLIC Página 19
  • 20. MUCHAS GRACIAS… Si te ha gustado, o no te ha gustado puedes escribirme y contarmelo. Me gusta mejorar … rames@smartaccess.es PUBLIC Página 20

×