Your SlideShare is downloading. ×
0
el DNIe en tu Active Directory<br />Rames Sarwat<br />rames@smartaccess.es<br />
Smart Access<br />Empresa española especializada en el desarrollo de soluciones de autenticación multifactor, firma electr...
Imaginemos el siguiente escenario<br />CONTOSO<br />Active Directory<br />
Escenario…<br />Situación actual<br />Empresa u organismo público con cientos o miles de empleados y colaboradores<br />Lo...
¿ Es perfecto?<br />Casi, pero :<br />los usuarios comparten sus contraseñas, <br />las apuntan <br />utilizan contraseñas...
Queremos conseguir…<br />Ambos sistemas (usuario/password + smartcard) <br />pueden coexistir<br />
Usuario + contraseña en AD<br />Active Directory<br />DomainController<br />Equipo de usuario<br />Logon mediante Kerberos...
Smartcard Logon en AD<br />Active Directory<br />DomainController<br />Equipo de usuario<br />Logon mediante Kerberos V co...
¿Que contiene el DNIe?<br />Nº de serie del chip<br />Datos filiación titular<br />Imagen digitalizada de la fotografía<br...
Vamos a versifunciona<br />
Personajes<br />
Administrador de la Red<br />pierrenodoyuna@autoslocos.com<br />AUTOSLOCOSpierrenodoyuna<br />
Usuario miedoso<br />lucaselgranjero@autoslocos.com<br />elosomiedoso@autoslocos.com<br />AUTOSLOCOSlucaselgranjero<br />A...
Usuario valiente<br />penelopeglamour@autoslocos.com<br />AUTOSLOCOSpenelopeglamour<br />
Proveedor de S.O. y Directorio<br />
Emisor del DNIe<br />(también conocido como tercero de confianza)<br />DG de la Policía<br />
Inventor<br />Profesor Locovitch =  SmartAccess<br />
Acto 1:<br />
Smartcard Logon<br />Hemos inventado el <br />smartcard logon con el AD<br />Lo hemos incorporado en todos <br />los Windo...
Feliz idea…<br />Patán!!! Seré el primero en <br />conseguir que mis usuarios <br />hagan logon con <br />el DNI electróni...
Sin Acceso<br />Ohhh!!!<br />No me permite acceder <br />con mi nuevo <br />y glamuroso DNIe.<br />El Administrador me <br...
¿donde está el problema?<br />Puedo utilizar mi DNI electrónico para acceder al AD en lugar del usuario/password?<br />¿Po...
Relacionar certificados con el AD<br />User<br />Domain<br />displayName<br />givenName<br />name<br />mail<br />cn<br />h...
Acto 2:<br />
Necesitamos una solución…<br />Necesito encontrar una forma de asociar un certificado del DNIe a una cuenta del Active Dir...
Directos al logon…<br />Puesparece que lo logramos!!<br />
No tan rápido.<br />Habéis olvidado comprobar si <br />los certificados estaban revocados<br />Si no lo haces, no puedes e...
No olvidar<br />Ni de instalar <br />el software del DNIe<br />No te olvides <br />de disponer <br />de un lector PC/SC<br />
Acto 3:<br />
Imaginemos el siguiente escenario<br />Active Directory<br />
Para hacer logon con el DNIe, ¿quéhacefalta?<br />Que mi sistema operativo sepa comunicarse con el DNIe. Instalación del &...
Dos posibilidades tecnicas:<br />Verificación de credencial y envío de usuario/contraseña.<br />Autenticación mediante fir...
Verificación de credenciales y …<br />Inyección de usuario y contraseña<br />Un usuario presenta su DNIe y su PIN ante la ...
Autenticación mediante firma<br />El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el...
¿Cuál utiliza SmartAccess?<br />Implementamos ambas técnicas en 2 diferentes productos<br />SmartID Corporate Logon - Aute...
SmartID Corporate Logon<br />Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condicione...
IDOne Professional<br />Amplía  la GINA (2000, XP) mediante un wrapper. <br />En Vista y Windos 7 es un CredentialProvider...
Pero tiene más usos…<br />Autenticación<br />Acceso al puesto remoto (TS/Citrix/VDI)<br />Teletrabajo seguro (VPN)<br />Co...
Demo<br />
Si quieresprobarlo…<br />No te molestamos. Te lo descargas de la web sin compromiso ni registro en:<br />www.smartaccess.e...
¿Preguntas?<br />
Muchas gracias…<br />Si te ha gustado o NO te ha gustadopuedesescribirme y contarmelo. <br />Piensa en los otrosasistentes...
Upcoming SlideShare
Loading in...5
×

[SOS 2009] Smart Access: Tu DNIe en tu AD

2,096

Published on

Charla impartida por Rames Sarwat, de SmartAccess, en la Gira Summer of Security 2009, sobre el uso del DNIe en la autenticación de usuarios en Directorio Activo.

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,096
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
42
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "[SOS 2009] Smart Access: Tu DNIe en tu AD"

  1. 1. el DNIe en tu Active Directory<br />Rames Sarwat<br />rames@smartaccess.es<br />
  2. 2. Smart Access<br />Empresa española especializada en el desarrollo de soluciones de autenticación multifactor, firma electrónica y control de activos digitales mediante la combinación de tecnologías como PKI, tarjetas inteligentes y reconocimiento biométrico.<br />
  3. 3. Imaginemos el siguiente escenario<br />CONTOSO<br />Active Directory<br />
  4. 4. Escenario…<br />Situación actual<br />Empresa u organismo público con cientos o miles de empleados y colaboradores<br />Los equipos tienen instalada alguna versión de Windows<br />Disponen de Directorio Activo instalado y operativo y todos los usuarios tienen y usan una cuenta para acceder.<br />
  5. 5. ¿ Es perfecto?<br />Casi, pero :<br />los usuarios comparten sus contraseñas, <br />las apuntan <br />utilizan contraseñas como: password o 1234<br />Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.<br />
  6. 6. Queremos conseguir…<br />Ambos sistemas (usuario/password + smartcard) <br />pueden coexistir<br />
  7. 7. Usuario + contraseña en AD<br />Active Directory<br />DomainController<br />Equipo de usuario<br />Logon mediante Kerberos V con usuario/contraseña<br />Servidor Ficheros<br />
  8. 8. Smartcard Logon en AD<br />Active Directory<br />DomainController<br />Equipo de usuario<br />Logon mediante Kerberos V con smartcard y certificado digital<br />Servidor Ficheros<br />
  9. 9. ¿Que contiene el DNIe?<br />Nº de serie del chip<br />Datos filiación titular<br />Imagen digitalizada de la fotografía<br />Imagen digitalizada de la firma manuscrita<br />Plantilla de la impresión dactilar<br />Certificado reconocido de autenticación<br />Certificado reconocido de firma<br />Certificado electrónico de la entidad emisora<br />Par de claves de cada certificado<br />Para acceder a los datos personales, se requiere teclear siempre el PIN<br />Algunos datos no están disponibles salvo para uso policial.<br />
  10. 10. Vamos a versifunciona<br />
  11. 11. Personajes<br />
  12. 12. Administrador de la Red<br />pierrenodoyuna@autoslocos.com<br />AUTOSLOCOSpierrenodoyuna<br />
  13. 13. Usuario miedoso<br />lucaselgranjero@autoslocos.com<br />elosomiedoso@autoslocos.com<br />AUTOSLOCOSlucaselgranjero<br />AUTOSLOCOSelosomiedoso<br />
  14. 14. Usuario valiente<br />penelopeglamour@autoslocos.com<br />AUTOSLOCOSpenelopeglamour<br />
  15. 15. Proveedor de S.O. y Directorio<br />
  16. 16. Emisor del DNIe<br />(también conocido como tercero de confianza)<br />DG de la Policía<br />
  17. 17. Inventor<br />Profesor Locovitch = SmartAccess<br />
  18. 18. Acto 1:<br />
  19. 19. Smartcard Logon<br />Hemos inventado el <br />smartcard logon con el AD<br />Lo hemos incorporado en todos <br />los Windows desde la versión 2000<br />
  20. 20. Feliz idea…<br />Patán!!! Seré el primero en <br />conseguir que mis usuarios <br />hagan logon con <br />el DNI electrónico<br />
  21. 21. Sin Acceso<br />Ohhh!!!<br />No me permite acceder <br />con mi nuevo <br />y glamuroso DNIe.<br />El Administrador me <br />ha vuelto a engañar!!!!<br />
  22. 22. ¿donde está el problema?<br />Puedo utilizar mi DNI electrónico para acceder al AD en lugar del usuario/password?<br />¿Por que?<br />NO<br />faltanalgunosdatos<br />
  23. 23. Relacionar certificados con el AD<br />User<br />Domain<br />displayName<br />givenName<br />name<br />mail<br />cn<br />homePhone<br />ipPhone<br />…<br />Active Directory<br />Certificado X509<br />EMISOR<br />Nº DE SERIE<br />ASUNTO<br />VALIDEZ desde/hasta<br />ALGORITMO FIRMA<br />USO DE LA CLAVE<br />PUNTOS DISTRIB. CRLS<br />HUELLA DIGITAL<br />CLAVE PÚBLICA<br />CLAVE PRIVADA<br />
  24. 24. Acto 2:<br />
  25. 25. Necesitamos una solución…<br />Necesito encontrar una forma de asociar un certificado del DNIe a una cuenta del Active Directory<br />¡¡¡ EUREKA !!! <br />Ya lo tengo<br />
  26. 26. Directos al logon…<br />Puesparece que lo logramos!!<br />
  27. 27. No tan rápido.<br />Habéis olvidado comprobar si <br />los certificados estaban revocados<br />Si no lo haces, no puedes estar seguro de que son válidos.<br />
  28. 28. No olvidar<br />Ni de instalar <br />el software del DNIe<br />No te olvides <br />de disponer <br />de un lector PC/SC<br />
  29. 29. Acto 3:<br />
  30. 30. Imaginemos el siguiente escenario<br />Active Directory<br />
  31. 31. Para hacer logon con el DNIe, ¿quéhacefalta?<br />Que mi sistema operativo sepa comunicarse con el DNIe. Instalación del &quot;driver&quot; (mejor llamado middleware)<br />Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo<br />Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.<br /> <br />
  32. 32. Dos posibilidades tecnicas:<br />Verificación de credencial y envío de usuario/contraseña.<br />Autenticación mediante firma digital.<br />
  33. 33. Verificación de credenciales y …<br />Inyección de usuario y contraseña<br />Un usuario presenta su DNIe y su PIN ante la aplicación<br />La aplicación recupera el usuario y contraseña guardadas de forma segura <br />Se envía el usuario y contraseña al sistema.<br />Ventaja: mayor simplicidad y compatibilidad<br />Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc.<br />.<br />
  34. 34. Autenticación mediante firma<br />El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).<br />El cliente envía al servidor la firma y la parte pública del certificado<br />El servidor valida la firma y comprueba que el certificado no ha sido revocado<br />El servidor requiere de un certificado para autenticarse y cifrar la comunicación<br />Si todo va bien, el servidor emite un ticket kerberos.<br />El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización. <br />El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el loginname del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.<br />
  35. 35. ¿Cuál utiliza SmartAccess?<br />Implementamos ambas técnicas en 2 diferentes productos<br />SmartID Corporate Logon - Autenticación mediante firma<br />IDOne Professional – Verificación de credenciales y envío de usuario/contraseña<br />Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.<br />Cualquier AD sirve.<br />
  36. 36. SmartID Corporate Logon<br />Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:<br />Smartcard - disponer de CSP &quot;driver&quot;<br />Certificado Digital - cumplir el estandar X509v3<br />Lector smartcard - cumplir la especificación PC/SC<br />No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory<br />Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.<br />Se instala en un par de horas.<br />
  37. 37. IDOne Professional<br />Amplía la GINA (2000, XP) mediante un wrapper. <br />En Vista y Windos 7 es un CredentialProvider.<br />Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD<br />Menores requisitos técnicos que SmartID Coporate Logon<br />No necesito certificados de servidor<br />No requiere certificados en la smartcard <br />Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)<br />Disponible para plataformas Windows 32 y 64 bits. <br />Multilingüe (disponible en Castellano. Catalán e Inglés)<br />
  38. 38. Pero tiene más usos…<br />Autenticación<br />Acceso al puesto remoto (TS/Citrix/VDI)<br />Teletrabajo seguro (VPN)<br />Colaboración con clientes y proveedores (Web)<br />Mejorar el servicio al público<br />Navegación segura por Internet<br />Firma electrónica de documentos y transacciones<br />
  39. 39. Demo<br />
  40. 40. Si quieresprobarlo…<br />No te molestamos. Te lo descargas de la web sin compromiso ni registro en:<br />www.smartaccess.es (Descargas)<br />Pero si quieres consultarnos algo:<br />soporte@smartaccess.es<br />Tlf: 902.907.365 / 915.560.042<br />
  41. 41. ¿Preguntas?<br />
  42. 42. Muchas gracias…<br />Si te ha gustado o NO te ha gustadopuedesescribirme y contarmelo. <br />Piensa en los otrosasistentes a esteevento…<br />rames@smartaccess.es<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×