el DNIe en tu Active DirectoryRames Sarwatrames@smartaccess.es

Smart AccessEmpresa española especializada en el desarrollo de soluciones de autenticación multifactor, firma electrónica y control de activos digitales mediante la combinación de tecnologías como PKI, tarjetas inteligentes y reconocimiento biométrico.

Imaginemos el siguiente escenarioCONTOSOActive Directory

Escenario…Situación actualEmpresa u organismo público con cientos o miles de empleados y colaboradoresLos equipos tienen instalada alguna versión de WindowsDisponen de Directorio Activo instalado y operativo y todos los usuarios tienen y usan una cuenta para acceder.

¿ Es perfecto?Casi, pero :los usuarios comparten sus contraseñas, las apuntan utilizan contraseñas como: password o 1234Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.

Queremos conseguir…Ambos sistemas (usuario/password + smartcard) pueden coexistir

Usuario + contraseña en ADActive DirectoryDomainControllerEquipo de usuarioLogon mediante Kerberos V con usuario/contraseñaServidor Ficheros

Smartcard Logon en ADActive DirectoryDomainControllerEquipo de usuarioLogon mediante Kerberos V con smartcard y certificado digitalServidor Ficheros

¿Que contiene el DNIe?Nº de serie del chipDatos filiación titularImagen digitalizada de la fotografíaImagen digitalizada de la firma manuscritaPlantilla de la impresión dactilarCertificado reconocido de autenticaciónCertificado reconocido de firmaCertificado electrónico de la entidad emisoraPar de claves de cada certificadoPara acceder a los datos personales, se requiere teclear siempre el PINAlgunos datos no están disponibles salvo para uso policial.

Vamos a versifunciona

Personajes

Administrador de la Redpierrenodoyuna@autoslocos.comAUTOSLOCOSpierrenodoyuna

Usuario miedosolucaselgranjero@autoslocos.comelosomiedoso@autoslocos.comAUTOSLOCOSlucaselgranjeroAUTOSLOCOSelosomiedoso

Usuario valientepenelopeglamour@autoslocos.comAUTOSLOCOSpenelopeglamour

Proveedor de S.O. y Directorio

Emisor del DNIe(también conocido como tercero de confianza)DG de la Policía

InventorProfesor Locovitch = SmartAccess

Acto 1:

Smartcard LogonHemos inventado el smartcard logon con el ADLo hemos incorporado en todos los Windows desde la versión 2000

Feliz idea…Patán!!! Seré el primero en conseguir que mis usuarios hagan logon con el DNI electrónico

Sin AccesoOhhh!!!No me permite acceder con mi nuevo y glamuroso DNIe.El Administrador me ha vuelto a engañar!!!!

¿donde está el problema?Puedo utilizar mi DNI electrónico para acceder al AD en lugar del usuario/password?¿Por que?NOfaltanalgunosdatos

Relacionar certificados con el ADUserDomaindisplayNamegivenNamenamemailcnhomePhoneipPhone…Active DirectoryCertificado X509EMISORNº DE SERIEASUNTOVALIDEZ desde/hastaALGORITMO FIRMAUSO DE LA CLAVEPUNTOS DISTRIB. CRLSHUELLA DIGITALCLAVE PÚBLICACLAVE PRIVADA

Acto 2:

Necesitamos una solución…Necesito encontrar una forma de asociar un certificado del DNIe a una cuenta del Active Directory¡¡¡ EUREKA !!! Ya lo tengo

Directos al logon…Puesparece que lo logramos!!

No tan rápido.Habéis olvidado comprobar si los certificados estaban revocadosSi no lo haces, no puedes estar seguro de que son válidos.

No olvidarNi de instalar el software del DNIeNo te olvides de disponer de un lector PC/SC

Acto 3:

Imaginemos el siguiente escenarioActive Directory

Para hacer logon con el DNIe, ¿quéhacefalta?Que mi sistema operativo sepa comunicarse con el DNIe. Instalación del "driver" (mejor llamado middleware)Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio ActivoPoder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.

Dos posibilidades tecnicas:Verificación de credencial y envío de usuario/contraseña.Autenticación mediante firma digital.

Verificación de credenciales y …Inyección de usuario y contraseñaUn usuario presenta su DNIe y su PIN ante la aplicaciónLa aplicación recupera el usuario y contraseña guardadas de forma segura Se envía el usuario y contraseña al sistema.Ventaja: mayor simplicidad y compatibilidadDesventajas: Afectado por caducidad de contraseñas, bloqueos, etc..

Autenticación mediante firmaEl servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).El cliente envía al servidor la firma y la parte pública del certificadoEl servidor valida la firma y comprueba que el certificado no ha sido revocadoEl servidor requiere de un certificado para autenticarse y cifrar la comunicaciónSi todo va bien, el servidor emite un ticket kerberos.El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización. El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el loginname del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.

¿Cuál utiliza SmartAccess?Implementamos ambas técnicas en 2 diferentes productosSmartID Corporate Logon - Autenticación mediante firmaIDOne Professional – Verificación de credenciales y envío de usuario/contraseñaAmbos se integran con Active Directory, sin realizar ningún cambio en su estructura.Cualquier AD sirve.

SmartID Corporate LogonFunciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:Smartcard - disponer de CSP "driver"Certificado Digital - cumplir el estandar X509v3Lector smartcard - cumplir la especificación PC/SCNo modifica la GINA (2000, XP) ni modificar el esquema del Active DirectoryRequiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.Se instala en un par de horas.

IDOne ProfessionalAmplía la GINA (2000, XP) mediante un wrapper. En Vista y Windos 7 es un CredentialProvider.Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDDMenores requisitos técnicos que SmartID Coporate LogonNo necesito certificados de servidorNo requiere certificados en la smartcard Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)Disponible para plataformas Windows 32 y 64 bits. Multilingüe (disponible en Castellano. Catalán e Inglés)

Pero tiene más usos…AutenticaciónAcceso al puesto remoto (TS/Citrix/VDI)Teletrabajo seguro (VPN)Colaboración con clientes y proveedores (Web)Mejorar el servicio al públicoNavegación segura por InternetFirma electrónica de documentos y transacciones

Demo

Si quieresprobarlo…No te molestamos. Te lo descargas de la web sin compromiso ni registro en:www.smartaccess.es (Descargas)Pero si quieres consultarnos algo:soporte@smartaccess.esTlf: 902.907.365 / 915.560.042

¿Preguntas?

Muchas gracias…Si te ha gustado o NO te ha gustadopuedesescribirme y contarmelo. Piensa en los otrosasistentes a esteevento…rames@smartaccess.es