DNIe en tu Active Directory

DNIe en tu AD Rames Sarwat rames@smartaccess.es © SMARTACCESS 2009

Imaginemos el siguiente escenario…  Una empresa u organismo público con unos cientos de empleados  Los puestos tienen Windows  Directorio Activo instalado  Los usuarios tienen todos una cuenta en AD PUBLIC Página 2

¿ Es perfecto?  Casi, pero : • los usuarios comparten sus contraseñas, • las apuntan • utilizan contraseñas como: password o 1234  Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña. PUBLIC Página 3

¿Que deberíamos hacer?  Implementar un mecanismo más seguro de las contraseñas para que los usuarios accedan a sus puestos y a sus aplicaciones.  Implementar un mecanismo de acceso único a todos los sistemas y aplicaciones (Single Sign-On) PUBLIC Página 4

Y, ¿qué opciones tengo?  De menor a mayor nivel de seguridad • Usar sistemas de passwords de un solo uso  OTP : One Time Password • Usar algún sistema biométrico • Usar smartcards con certificados digitales  Todos estos sistemas requieren cierta inversión en hardware y por supuesto en software. PUBLIC Página 5

Vale, pero ¿que hago?  No todo el mundo necesita el mayor nivel de seguridad. Depende de lo que protegemos  Las smartcards con certificado nos ayudan a introducir la firma electrónica en la organización.  Además, el DNIe nos puede evitar la adquisición de smartcards y la emisión de certificados digitales. PUBLIC Página 6

Logon con smartcard  ¿Lo hemos inventado nosotros? • NO, existe desde hace mas de 9 años. • Con validación con AD existe desde el lanzamiento de Windows 2000.  Necesito: • una smartcard con "driver" (middleware) para Windows que contenga un certificado digital con ciertas características. PUBLIC Página 7

¿Que es eso del middleware?  Es un software asociado a una smartcard o tarjeta criptográfica que contiene: • Un API y driver para aplicaciones Windows, llamado CSP • Otro API para sistemas no Windows, llamado PKCS#11 • Utilidades de gestión de la tarjeta: inicialización, cambio de PIN, desboqueo, carga de certificados, aviso de caducidad, etc.  En las tarjetas comerciales suele tener un coste aparte. En el DNIe y las tarjetas de la FNMT se descarga gartuitamente. PUBLIC Página 8

Para hacer logon con el DNIe, ¿qué hace falta?  Que mi sistema operativo sepa comunicarse con el DNIe. Instalación del "driver" (mejor llamado middleware)  Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo  Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet. PUBLIC Página 9

Dos posibilidades tecnicas:  Verificación de credencial y envío de usuario/contraseña.  Autenticación mediante firma digital. PUBLIC Página 10

Verificación de credenciales y …  Inyección de usuario y contraseña • Un usuario presenta su DNIe y su PIN ante la aplicación • La aplicación recupera el usuario y contraseña guardadas de forma segura • Se envía el usuario y contraseña al sistema.  Ventaja: mayor simplicidad y compatibilidad  Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc. . PUBLIC Página 11

Autenticación mediante firma • El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado). • El cliente envía al servidor la firma y la parte pública del certificado • El servidor valida la firma y comprueba que el certificado no ha sido revocado • El servidor requiere de un certificado para autenticarse y cifrar la comunicación • Si todo va bien, el servidor emite un ticket kerberos. • El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización. • El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación. PUBLIC Página 12

¿Cuál utiliza SmartAccess?  Implementamos ambas técnicas en 2 diferentes productos • SmartID Corporate Logon - Autenticación mediante firma • IDOne Professional – Verificación de credenciales y envío de usuario/contraseña  Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.  Cualquier AD sirve. PUBLIC Página 13

SmartID Corporate Logon  Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones: • Smartcard - disponer de CSP "driver" • Certificado Digital - cumplir el estandar X509v3 • Lector smartcard - cumplir la especificación PC/SC  No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory  Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.  Se instala en un par de horas. PUBLIC Página 14

IDOne Professional  Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.  Arquitectura cliente/servidor  Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD  Menores requisitos técnicos que SmartID Coporate Logon • No necesito certificados de servidor • No requiere certificados en la smartcard  Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.) PUBLIC Página 15

Pero tiene más usos…  Autenticación • Acceso al puesto remoto (TS/Citrix/VDI) • Teletrabajo seguro (VPN) • Colaboración con clientes y proveedores (Web)  Mejorar el servicio al público  Navegación segura por Internet  Verificación de la identidad PUBLIC Página 16

PUBLIC Página 17

Si quieres probarlo…  No te molestamos. Te lo descargas de la web sin compromiso ni registro en: • www.smartaccess.es (Descargas)  Pero si quieres consultarnos algo: • soporte@smartaccess.es • Tlf: 902.907.365 / 915.560.042 PUBLIC Página 18

PUBLIC Página 19

MUCHAS GRACIAS… Si te ha gustado, o no te ha gustado puedes escribirme y contarmelo. Me gusta mejorar … rames@smartaccess.es PUBLIC Página 20

http://www.elladodelmal.com	1266
http://elladodelmal.blogspot.com	185
http://www.slideshare.net	20
http://www.apurva.com	5
http://feeds.feedburner.com	1
http://www.guadalinfo.es	1
http://servdesarrollo	1

DNIe en tu Active Directory

by Chema Alonso on Jul 18, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

7 Embeds 1,479

Statistics

DNIe en tu Active Directory — Presentation Transcript