O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve um guia passo a passo para instalar e usar um leitor de Smart Card e um cartão de acesso comum para uso com o Cisco Video Communication Server (VCS) para organizações que exigem autenticação de dois fatores para o ambiente VCS, como bancos, hospitais ou governos com instalações seguras.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco Expressway Administrator (X14.0.2).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O CAC fornece a autenticação necessária para que os "sistemas" saibam quem ganhou acesso ao seu ambiente e que parte da infraestrutura é física ou eletrônica. Nos ambientes classificados pelo governo e em outras redes seguras, prevalecem as regras do "acesso menos privilegiado" ou da "necessidade de saber". Um login pode ser usado por qualquer pessoa, a autenticação requer algo que o usuário tem, depois de remover o CAC, também conhecido como Cartão de Acesso Comum, lançado em 2006 para que o indivíduo não precise ter vários dispositivos, sejam eles fobs, cartões de identificação ou dongles para acessar seu local de trabalho ou sistemas.
Os cartões inteligentes são um componente chave da infraestrutura de chave pública (PKI) que a Microsoft usa para integrar à plataforma Windows porque os cartões inteligentes aprimoram soluções somente de software, como autenticação de cliente, login e e-mail seguro. Os cartões inteligentes são um ponto de convergência para certificados de chave pública e chaves associadas porque:
O cartão inteligente tornou-se parte integrante da plataforma Windows porque os cartões inteligentes fornecem recursos novos e desejáveis, tão revolucionários para a indústria de computadores como a introdução do mouse ou CD-ROM. Se você não tem uma infraestrutura interna de PKI no momento, é preciso garantir que faça isso primeiro. Este documento não aborda a instalação desta função neste artigo específico, mas informações sobre como implementá-la podem ser encontradas aqui: http://technet.microsoft.com/en-us/library/hh831740.aspx.
Este laboratório pressupõe que você já tenha um LDAP integrado com VCS e que tenha usuários que possam fazer login com credenciais LDAP.
Equipamento necessário:
Servidor de Domínio do Windows 2012R2 que tem estas funções/software instalado:
Instale o Smart Card
Os leitores de Smart Card geralmente recebem instruções sobre como conectar os cabos necessários. Aqui está um exemplo de instalação para esta configuração.
Como instalar um driver de dispositivo do leitor de Smart Card
Se o leitor de cartão inteligente tiver sido detectado e instalado, a tela Bem-vindo ao login do Windows confirmará isso. Caso contrário:
Configurar modelos de autoridade de certificado
4. Na guia Compatibilidade, em Autoridade de certificação, revise a seleção e altere-a, se necessário.
5. Na guia Geral:
a. Especifique um nome, como Smartcard User_VCS.
b. Defina o período de validade para o valor desejado. Clique em Apply.
6. Na guia Solicitar tratamento:
a. Defina a Finalidade como Login de assinatura e cartão inteligente.
b. Clique em Solicitar ao usuário durante a inscrição. Clique em Apply.
7. Na guia Cryptography, defina o tamanho mínimo da chave como 2048.
a. Clique em Requests must use a um dos seguintes provedores e selecione Microsoft Base Smart Card Crypto Provider.
b. Clique em Apply.
8. Na guia Segurança, adicione o grupo de segurança ao qual deseja conceder acesso de Inscrição. Por exemplo, se quiser conceder acesso a todos os usuários, selecione o grupo de usuários autenticados e selecione Inscrever permissões para eles.
9. Clique em OK para finalizar suas alterações e criar o novo modelo. O novo modelo deve aparecer agora na lista de Modelos de certificado.
10. No painel esquerdo do MMC, expanda Certification Authority (Local) e expanda sua CA na lista da Certification Authority.
Clique com o botão direito do mouse em Modelos de certificado, clique em Novo e em Modelo de certificado para problemas. Em seguida, escolha o modelo de Smartcard recém-criado.
11. Depois que o modelo for replicado, no MMC, clique com o botão direito do mouse ou selecione a lista Autoridade de certificação, clique em Todas as tarefas e, em seguida, clique em Parar serviço. Em seguida, clique com o botão direito do mouse no nome da AC novamente, clique em Todas as tarefas e, em seguida, clique em Iniciar serviço.
Inscreva-se no certificado do agente de inscrição
É recomendável que você faça isso em uma máquina cliente (área de trabalho dos administradores de TI).
2. Clique com o botão direito do mouse ou selecione o Nó pessoal, selecione Todas as tarefas e selecione Solicitar novo certificado.
3. Clique em Next no assistente e selecione Ative Diretory Enrollment Policy. Em seguida, clique em Avançar novamente.
4. Selecione o Certificado do agente de inscrição, nesse caso, Smartcard User_VCS e clique em Inscrever-se.
A área de trabalho dos Administradores de TI agora está configurada como uma Estação de Inscrição, permitindo que você inscreva novos smartcards em nome de outros usuários.
Inscrever-se em nome de...
Para que agora você forneça aos funcionários smartcards para autenticação, você precisa inscrevê-los e gerar o certificado que é importado para o Smartcard.
1. Inicie o MMC e importe o Módulo e o Gerente de Certificados para a Minha Conta de Usuário.
2. Clique com o botão direito do mouse ou selecione Pessoal > Certificados e selecione Todas as Tarefas > Operações Avançadas e clique em Inscrever-se em nome de...
3. No assistente, escolha a Política de Registro do Ative Diretory e clique em Avançar.
4. Selecione Política de registro de certificado e clique em Avançar.
5. Agora, é solicitado que você selecione o certificado de assinatura. Este é o certificado de inscrição solicitado anteriormente.
6. Na próxima tela, você precisa navegar até o certificado que gostaria de solicitar e, nesta instância, é o Smartcard User_VCS que é o modelo criado anteriormente.
7. Em seguida, selecione o usuário que deseja inscrever em nome do. Clique em Procurar e digite o nome de usuário do funcionário que deseja inscrever. Neste caso, é usada a 'conta antman@jajanson.local' de Scott Lang.
8. Na próxima tela, continue com a inscrição clicando em Inscrever-se. Agora, insira um smartcard em seu leitor.
9. Depois de inserir seu smartcard, ele é detectado da seguinte forma:
10. Em seguida, é solicitado que você digite um número PIN do cartão inteligente (Pino padrão: 0000).
11. Por fim, depois de ver a tela Enrollment Successful, você poderá usar esse smartcard para fazer logon em um servidor associado a domínio, como o VCS com apenas a placa e um pin conhecido. No entanto, não é feito sim, você ainda precisa preparar o VCS para redirecionar as solicitações de autenticação para o Smart Card e usar o Common Access Card para liberar o certificado de smartcard armazenado no smartcard para autenticação.
Configure o VCS para a placa de acesso comum
Carregue a CA raiz na lista de certificados CA confiáveis no VCS navegando para Manutenção > Segurança > Certificado CA confiável.
2. Carregue a lista de revogação de certificado assinada pela CA raiz no VCS. Navegue até Manutenção > Segurança > Gerenciamento de CRL.
3. Teste seu certificado de cliente em relação ao seu regex, que extrai o nome de usuário do certificado para usar para autenticação em relação ao LDAP ou usuário local. O regex vai corresponder ao assunto do certificado. Pode ser o seu UPN, e-mail e assim por diante. Neste laboratório, o e-mail para correspondência com o certificado do cliente para o certificado do cliente foi usado.
4. Navegue até Manutenção > Segurança > Teste de certificado do cliente. Selecione o certificado do cliente a ser testado, em Meu laboratório foi antman.pem, carregue-o na área de teste. Na seção Padrão de autenticação baseado em certificado em Regex para corresponder ao certificado cole seu regex para ser testado. Não altere o campo Formato do nome de usuário.
My Regex: /Subject:.*emailAddress=(?.*)@jajanson.local/m
5. Se o teste fornecer os resultados desejados, clique no botão Torne essas alterações permanentes. Isso altera seu regex para a configuração de autenticação baseada em certificado do servidor. Para verificar a alteração, navegue até essa configuração, Manutenção > Segurança > configuração de autenticação baseada em certificado.
6. Ative a autenticação baseada em cliente navegando para Sistema > Administrador e clique ou selecione a caixa suspensa para escolher Segurança baseada em certificado do cliente = Autenticação baseada em cliente. Com essa configuração, o usuário digita o FQDN do servidor VCS em seu navegador e é solicitado que ele escolha sua conta de cliente e insira o pino atribuído a sua Placa de Acesso Comum. Em seguida, o certificado é liberado e ele retorna a GUI da Web do servidor VCS e tudo o que precisa fazer é clicar ou selecionar o botão Administrador. Então ele é admitido no servidor. Se as opções Segurança baseada em certificado do cliente = Validação baseada em cliente estiverem selecionadas, o processo será o mesmo, com exceção quando o usuário clicar no botão Administrador, ele terá solicitado novamente a senha do administrador. Normalmente, o último não é o que a organização está tentando realizar com o CAC.
Socorro! Estou trancado para fora!!
Se você habilitar a autenticação baseada em cliente e o VCS rejeitar o certificado por qualquer motivo, você não poderá mais fazer login com a GUI da Web da maneira tradicional. Mas, não se preocupe, há uma maneira de voltar ao seu sistema. O documento anexado pode ser encontrado no site da Cisco e fornece informações sobre como desativar a autenticação baseada em cliente do acesso raiz.
No momento, não há procedimento de verificação disponível para esta configuração.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
2.0 |
28-Oct-2021 |
Versão inicial |
1.0 |
28-Oct-2021 |
Versão inicial |