[SOS 2009] Smart Access: Tu DNIe en tu AD
-
Upload
chema-alonso -
Category
Technology
-
view
3.547 -
download
1
description
Transcript of [SOS 2009] Smart Access: Tu DNIe en tu AD
![Page 2: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/2.jpg)
PUBLIC Página 2
Smart Access
Empresa española especializada en el desarrollo de soluciones de autenticación multifactor, firma electrónica y control de activos digitales mediante la combinación de tecnologías como PKI, tarjetas inteligentes y reconocimiento biométrico.
![Page 3: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/3.jpg)
PUBLIC Página 3
Imaginemos el siguiente escenario
Active Directory
CONTOSO
![Page 4: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/4.jpg)
PUBLIC Página 4
Escenario…
Situación actual•Empresa u organismo público con cientos o miles de empleados y colaboradores
•Los equipos tienen instalada alguna versión de Windows
•Disponen de Directorio Activo instalado y operativo y todos los usuarios tienen y usan una cuenta para acceder.
![Page 5: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/5.jpg)
PUBLIC Página 5
¿ Es perfecto?
Casi, pero :• los usuarios comparten sus contraseñas,
• las apuntan
•utilizan contraseñas como: password o 1234
Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.
![Page 6: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/6.jpg)
PUBLIC Página 6
Queremos conseguir…
Ambos sistemas (usuario/password + smartcard) pueden coexistir
![Page 7: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/7.jpg)
PUBLIC Página 7
Usuario + contraseña en ADActive Directory
Domain Controller
Equipo de usuario
Servidor FicherosLogon mediante Kerberos V con usuario/contraseña
![Page 8: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/8.jpg)
PUBLIC Página 8
Smartcard Logon en ADActive Directory
Domain Controller
Equipo de usuario
Servidor FicherosLogon mediante Kerberos V con smartcard y certificado digital
![Page 9: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/9.jpg)
PUBLIC Página 9
¿Que contiene el DNIe?
Nº de serie del chipDatos filiación titularImagen digitalizada de la fotografíaImagen digitalizada de la firma manuscritaPlantilla de la impresión dactilarCertificado reconocido de autenticaciónCertificado reconocido de firmaCertificado electrónico de la entidad emisoraPar de claves de cada certificado
Para acceder a los datos personales, se requiere teclear siempre el PIN
Algunos datos no están disponibles salvo para uso policial.
![Page 10: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/10.jpg)
PUBLIC Página 10
Vamos a ver si funciona
![Page 11: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/11.jpg)
PUBLIC Página 11
Personajes
![Page 12: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/12.jpg)
PUBLIC Página 12
Administrador de la Red
AUTOSLOCOS\pierrenodoyuna
![Page 13: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/13.jpg)
PUBLIC Página 13
Usuario miedoso
[email protected]@autoslocos.com
AUTOSLOCOS\lucaselgranjeroAUTOSLOCOS\elosomiedoso
![Page 14: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/14.jpg)
PUBLIC Página 14
Usuario valiente
AUTOSLOCOS\penelopeglamour
![Page 15: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/15.jpg)
PUBLIC Página 15
Proveedor de S.O. y Directorio
![Page 16: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/16.jpg)
PUBLIC Página 16
Emisor del DNIe
(también conocido como tercero de confianza)
DG de la Policía
![Page 17: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/17.jpg)
PUBLIC Página 17
Inventor
Profesor Locovitch = SmartAccess
![Page 18: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/18.jpg)
PUBLIC Página 18
Acto 1:
![Page 19: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/19.jpg)
PUBLIC Página 19
Smartcard Logon
Hemos inventado el smartcard logon con el AD
Lo hemos incorporado en todos los Windows desde la versión 2000
![Page 20: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/20.jpg)
PUBLIC Página 20
Feliz idea…
Patán!!! Seré el primero en conseguir que mis usuarios
hagan logon con el DNI electrónico
![Page 21: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/21.jpg)
PUBLIC Página 21
Sin AccesoOhhh!!!
No me permite acceder con mi nuevo
y glamuroso DNIe.
El Administrador me ha vuelto a engañar!!!!
![Page 22: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/22.jpg)
PUBLIC Página 22
¿donde está el problema?
Puedo utilizar mi DNI electrónico para acceder al AD en lugar del usuario/password?
¿Por que?
NO
FALTAN ALGUNOS DATOS
![Page 23: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/23.jpg)
PUBLIC Página 23
Relacionar certificados con el AD
Certificado X509EMISORNº DE SERIEASUNTOVALIDEZ desde/hastaALGORITMO FIRMAUSO DE LA CLAVEPUNTOS DISTRIB. CRLSHUELLA DIGITALCLAVE PÚBLICACLAVE PRIVADA
Active Directory
UserDomaindisplayNamegivenNamenamemailcnhomePhoneipPhone…
![Page 24: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/24.jpg)
PUBLIC Página 24
Acto 2:
![Page 25: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/25.jpg)
PUBLIC Página 25
Necesitamos una solución…
Necesito encontrar una forma de asociar
un certificado del DNIe a una cuenta del Active Directory
¡¡¡ EUREKA !!! Ya lo tengo
![Page 26: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/26.jpg)
PUBLIC Página 26
Directos al logon…
Pues parece que lo
logramos!!
![Page 27: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/27.jpg)
PUBLIC Página 27
No tan rápido.
Habéis olvidado comprobar si
los certificados estaban revocados
Si no lo haces, no puedes estar seguro de que son válidos.
![Page 28: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/28.jpg)
PUBLIC Página 28
No olvidar
No te olvides de disponer
de un lector PC/SC
Ni de instalar el software del DNIe
![Page 29: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/29.jpg)
PUBLIC Página 29
Acto 3:
![Page 30: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/30.jpg)
PUBLIC Página 30
Imaginemos el siguiente escenario
Active Directory
![Page 31: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/31.jpg)
PUBLIC Página 31
Para hacer logon con el DNIe, ¿qué hace falta?Que mi sistema operativo sepa comunicarse
con el DNIe. Instalación del "driver" (mejor llamado middleware)
Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo
Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.
![Page 32: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/32.jpg)
PUBLIC Página 32
Dos posibilidades tecnicas:
Verificación de credencial y envío de usuario/contraseña.
Autenticación mediante firma digital.
![Page 33: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/33.jpg)
PUBLIC Página 33
Verificación de credenciales y …
Inyección de usuario y contraseña•Un usuario presenta su DNIe y su PIN ante la aplicación
•La aplicación recupera el usuario y contraseña guardadas de forma segura
•Se envía el usuario y contraseña al sistema. Ventaja: mayor simplicidad y compatibilidad
Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc.
.
![Page 34: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/34.jpg)
PUBLIC Página 34
Autenticación mediante firma
• El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).
• El cliente envía al servidor la firma y la parte pública del certificado
• El servidor valida la firma y comprueba que el certificado no ha sido revocado
• El servidor requiere de un certificado para autenticarse y cifrar la comunicación
• Si todo va bien, el servidor emite un ticket kerberos.
• El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización.
• El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.
![Page 35: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/35.jpg)
PUBLIC Página 35
¿Cuál utiliza SmartAccess?
Implementamos ambas técnicas en 2 diferentes productos•SmartID Corporate Logon - Autenticación mediante firma
• IDOne Professional – Verificación de credenciales y envío de usuario/contraseña
Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.
Cualquier AD sirve.
![Page 36: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/36.jpg)
PUBLIC Página 36
SmartID Corporate Logon
Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:• Smartcard - disponer de CSP "driver"
• Certificado Digital - cumplir el estandar X509v3
• Lector smartcard - cumplir la especificación PC/SC
No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory
Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.
Se instala en un par de horas.
![Page 37: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/37.jpg)
PUBLIC Página 37
IDOne Professional
Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.
Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD
Menores requisitos técnicos que SmartID Coporate Logon• No necesito certificados de servidor
• No requiere certificados en la smartcard
Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)
Disponible para plataformas Windows 32 y 64 bits.
Multilingüe (disponible en Castellano. Catalán e Inglés)
![Page 38: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/38.jpg)
PUBLIC Página 38
Pero tiene más usos…
Autenticación• Acceso al puesto remoto (TS/Citrix/VDI)
• Teletrabajo seguro (VPN)
• Colaboración con clientes y proveedores (Web)
Mejorar el servicio al público
Navegación segura por Internet
Firma electrónica de documentos y transacciones
![Page 39: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/39.jpg)
PUBLIC Página 39
Demo
![Page 40: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/40.jpg)
PUBLIC Página 40
Si quieres probarlo…
No te molestamos. Te lo descargas de la web sin compromiso ni registro en:•www.smartaccess.es (Descargas)
Pero si quieres consultarnos algo:•[email protected]
•Tlf: 902.907.365 / 915.560.042
![Page 41: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/41.jpg)
PUBLIC Página 41
¿Preguntas?
![Page 42: [SOS 2009] Smart Access: Tu DNIe en tu AD](https://reader038.fdocuments.mx/reader038/viewer/2022102922/546d7432af795962298b5390/html5/thumbnails/42.jpg)
PUBLIC Página 42
MUCHAS GRACIAS…
Si te ha gustado o NO te ha gustado puedes escribirme y contarmelo.
Piensa en los otros asistentes a este evento…