© SMARTACCESS 2009

el DNIe en tu Active DirectoryRames Sarwat

rames@smartaccess.es

PUBLIC Página 2

Smart Access

Empresa española especializada en el desarrollo de soluciones de autenticación multifactor, firma electrónica y control de activos digitales mediante la combinación de tecnologías como PKI, tarjetas inteligentes y reconocimiento biométrico.

PUBLIC Página 3

Imaginemos el siguiente escenario

Active Directory

CONTOSO

PUBLIC Página 4

Escenario…

Situación actual•Empresa u organismo público con cientos o miles de empleados y colaboradores

•Los equipos tienen instalada alguna versión de Windows

•Disponen de Directorio Activo instalado y operativo y todos los usuarios tienen y usan una cuenta para acceder.

PUBLIC Página 5

¿ Es perfecto?

Casi, pero :• los usuarios comparten sus contraseñas,

• las apuntan

•utilizan contraseñas como: password o 1234

Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.

PUBLIC Página 6

Queremos conseguir…

Ambos sistemas (usuario/password + smartcard) pueden coexistir

PUBLIC Página 7

Usuario + contraseña en ADActive Directory

Domain Controller

Equipo de usuario

Servidor FicherosLogon mediante Kerberos V con usuario/contraseña

PUBLIC Página 8

Smartcard Logon en ADActive Directory

Domain Controller

Equipo de usuario

Servidor FicherosLogon mediante Kerberos V con smartcard y certificado digital

PUBLIC Página 9

¿Que contiene el DNIe?

Nº de serie del chipDatos filiación titularImagen digitalizada de la fotografíaImagen digitalizada de la firma manuscritaPlantilla de la impresión dactilarCertificado reconocido de autenticaciónCertificado reconocido de firmaCertificado electrónico de la entidad emisoraPar de claves de cada certificado

Para acceder a los datos personales, se requiere teclear siempre el PIN

Algunos datos no están disponibles salvo para uso policial.

PUBLIC Página 10

Vamos a ver si funciona

PUBLIC Página 11

Personajes

PUBLIC Página 12

Administrador de la Red

pierrenodoyuna@autoslocos.com

AUTOSLOCOS\pierrenodoyuna

PUBLIC Página 13

Usuario miedoso

lucaselgranjero@autoslocos.comelosomiedoso@autoslocos.com

AUTOSLOCOS\lucaselgranjeroAUTOSLOCOS\elosomiedoso

PUBLIC Página 14

Usuario valiente

penelopeglamour@autoslocos.com

AUTOSLOCOS\penelopeglamour

PUBLIC Página 15

Proveedor de S.O. y Directorio

PUBLIC Página 16

Emisor del DNIe

(también conocido como tercero de confianza)

DG de la Policía

PUBLIC Página 17

Inventor

Profesor Locovitch = SmartAccess

PUBLIC Página 18

Acto 1:

PUBLIC Página 19

Smartcard Logon

Hemos inventado el smartcard logon con el AD

Lo hemos incorporado en todos los Windows desde la versión 2000

PUBLIC Página 20

Feliz idea…

Patán!!! Seré el primero en conseguir que mis usuarios

hagan logon con el DNI electrónico

PUBLIC Página 21

Sin AccesoOhhh!!!

No me permite acceder con mi nuevo

y glamuroso DNIe.

El Administrador me ha vuelto a engañar!!!!

PUBLIC Página 22

¿donde está el problema?

Puedo utilizar mi DNI electrónico para acceder al AD en lugar del usuario/password?

¿Por que?

NO

FALTAN ALGUNOS DATOS

PUBLIC Página 23

Relacionar certificados con el AD

Certificado X509EMISORNº DE SERIEASUNTOVALIDEZ desde/hastaALGORITMO FIRMAUSO DE LA CLAVEPUNTOS DISTRIB. CRLSHUELLA DIGITALCLAVE PÚBLICACLAVE PRIVADA

Active Directory

UserDomaindisplayNamegivenNamenamemailcnhomePhoneipPhone…

PUBLIC Página 24

Acto 2:

PUBLIC Página 25

Necesitamos una solución…

Necesito encontrar una forma de asociar

un certificado del DNIe a una cuenta del Active Directory

¡¡¡ EUREKA !!! Ya lo tengo

PUBLIC Página 26

Directos al logon…

Pues parece que lo

logramos!!

PUBLIC Página 27

No tan rápido.

Habéis olvidado comprobar si

los certificados estaban revocados

Si no lo haces, no puedes estar seguro de que son válidos.

PUBLIC Página 28

No olvidar

No te olvides de disponer

de un lector PC/SC

Ni de instalar el software del DNIe

PUBLIC Página 29

Acto 3:

PUBLIC Página 30

Imaginemos el siguiente escenario

Active Directory

PUBLIC Página 31

Para hacer logon con el DNIe, ¿qué hace falta?Que mi sistema operativo sepa comunicarse

con el DNIe. Instalación del "driver" (mejor llamado middleware)

Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo

Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.

 

PUBLIC Página 32

Dos posibilidades tecnicas:

Verificación de credencial y envío de usuario/contraseña.

Autenticación mediante firma digital.

PUBLIC Página 33

Verificación de credenciales y …

Inyección de usuario y contraseña•Un usuario presenta su DNIe y su PIN ante la aplicación

•La aplicación recupera el usuario y contraseña guardadas de forma segura

•Se envía el usuario y contraseña al sistema. Ventaja: mayor simplicidad y compatibilidad

Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc.

.

PUBLIC Página 34

Autenticación mediante firma

• El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).

• El cliente envía al servidor la firma y la parte pública del certificado

• El servidor valida la firma y comprueba que el certificado no ha sido revocado

• El servidor requiere de un certificado para autenticarse y cifrar la comunicación

• Si todo va bien, el servidor emite un ticket kerberos.

• El protocolo de autenticación es na extensión de Kerberos para smartcard llamada PKINIT. Propuesto para su estandarización.

• El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.

PUBLIC Página 35

¿Cuál utiliza SmartAccess?

Implementamos ambas técnicas en 2 diferentes productos•SmartID Corporate Logon - Autenticación mediante firma

• IDOne Professional – Verificación de credenciales y envío de usuario/contraseña

Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.

Cualquier AD sirve.

PUBLIC Página 36

SmartID Corporate Logon

Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:• Smartcard - disponer de CSP "driver"

• Certificado Digital - cumplir el estandar X509v3

• Lector smartcard - cumplir la especificación PC/SC

No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory

Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.

Se instala en un par de horas.

PUBLIC Página 37

IDOne Professional

Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.

Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD

Menores requisitos técnicos que SmartID Coporate Logon• No necesito certificados de servidor

• No requiere certificados en la smartcard

Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)

Disponible para plataformas Windows 32 y 64 bits.

Multilingüe (disponible en Castellano. Catalán e Inglés)

PUBLIC Página 38

Pero tiene más usos…

Autenticación• Acceso al puesto remoto (TS/Citrix/VDI)

• Teletrabajo seguro (VPN)

• Colaboración con clientes y proveedores (Web)

Mejorar el servicio al público

Navegación segura por Internet

Firma electrónica de documentos y transacciones

PUBLIC Página 39

Demo

PUBLIC Página 40

Si quieres probarlo…

No te molestamos. Te lo descargas de la web sin compromiso ni registro en:•www.smartaccess.es (Descargas)

Pero si quieres consultarnos algo:•soporte@smartaccess.es

•Tlf: 902.907.365 / 915.560.042

PUBLIC Página 41

¿Preguntas?

PUBLIC Página 42

MUCHAS GRACIAS…

Si te ha gustado o NO te ha gustado puedes escribirme y contarmelo.

Piensa en los otros asistentes a este evento…

rames@smartaccess.es