Damit eine Smartcard Anmeldung erfolgreich ist, müssen in der Active Directory Umgebung einige Voraussetzungen erfüllt sein:
Voraussetzungen
Domänencontroller-Zertifikate müssen die Anmeldung erlauben
Domain Controller müssen über Zertifikate verfügen, welche die Smartcard Anmeldung ermöglichen. Dabei muss eines der folgenden Kriterien zutreffen.
- Die Erweiterung "Enhanced Key Usage" beinhaltet das Extended Key Usage für KDC Authentication (1.3.6.1.5.2.3.5) oder
- Die Erweiterung "Enhanced Key Usage" beinhaltet das Extended Key Usage für Smartcard Logon (1.3.6.1.4.1.311.20.2.2) oder
- Eine Erweiterung "Template Name" ist vorhanden und besitzt den Wert "DomainController"
Microsoft verwendet den Terminus "Enhanced Key Usage", die korrekte Bezeichnung gemäß RFC 5280 ist allerdings "Extended Key Usage".
Zertifizierungsstellen-Zertifikate müssen in NTAuthCertificates eingetragen sein
Folgende Zertifizierungsstellen-Zertifikate müssen im Active Directory Objekt "NTAuthCertificates" hinterlegt sein. Siehe hierzu auch Artikel "Bearbeiten des NTAuthCertificates Objektes im Active Directory".
- Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Domänencontroller-Zertifikate ausstellt
- Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt
Zertifizierungsstellen-Zertifikate müssen das entsprechende Extended Key Usage erlauben
Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt, muss entweder das Extended Key Usage "Smart Card Logon" oder "Client Authentication" unterstützen, d.h. es ist nicht durch eine entsprechende Extended Key Usages Erweiterung untersagt.
Obige Voraussetzungen sind per Standardeinstellungen erfüllt, d.h. wenn eine ins Active Directory integrierte Zertifizierungsstelle installiert wird, sind die benötigten Einstellungen wie oben gesetzt. Die Standard-Zertifikatvorlagen für Domain Controller verfügen über die entsprechenden Eigenschaften.
Weiterführende Links:
- Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
- Bearbeiten des NTAuthCertificates Objektes im Active Directory
- Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten
5 Gedanken zu „Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?“
Kommentare sind geschlossen.