Smartcard – AD User | 1:1 Mapping – Teil 1

Wer sich schon mal mit Smartcard-Authentifizierung in einer Windows Domäne auseinander gesetzt und diese realisiert hat, der wird einige Hürden genommen haben.

In den meisten Fällen wird dabei eine Windows Zertifizierungsstelle eingesetzt worden sein. Ob als Enterprise oder Stand-Alone CA – die Hürden sind zu nehmen und im Internet recht gut dokumentiert.

Es gibt aber Bereiche zu dem Thema, wo man ganz schnell ans Ende von ordentlichen Beschreibungen kommt und sogar offizielle Dokumente von Microsoft vergeblich sucht.

Die Herausforderung: Das Mapping von Zertifikaten einer „fremden“ Zertifizierungsstelle an Benutzer meiner Domäne.

Um dieses Ziel realisieren zu können, müssen wir zunächst eine ganze Reihe von Voraussetzungen erfüllen. Diese wären zum Beispiel, dass eine gültige Vertrauenskette existieren muss, die Zertifikatsperrlisten müssen erreichbar sein und die Domänencontoller müssen über Domänencontroller Zertifikate verfügen.

Soweit, so simpel. Aber wie bekomme ich meine Domäne dazu, einen Benutzer auf Basis einer fremden Smartcard zu authentifizieren? Die Lösung ist das 1:1 Mapping eines Zertifikates zu einem Benutzerobjekt.

Die einfachste Art, dieses Mapping zu realisieren, ist der Windows übliche „klick“ Weg. In Active Directory Benutzer und Computer findet man im Kontextmenü eines Benutzerobjektes die Möglichkeit, eine Sicherheitsidentitätszuordnung vorzunehmen. Hier gibt es die Möglichkeit den öffentlichen Teil eines Anmeldezertifikates im Registerkärtchen X.509-Zertifikate zu importieren. Bei diesem Vorgang wird das 1:1 Mapping hergestellt und man ist fertig.

Wenn es nur immer so einfach wäre.

Im Detailbereich des Registerkärtchens X.509-Zertifikate tauchen bei diesem Vorgehen 2 Informationen auf. Der Herausgeber des Zertifikates (die Herausgebende Zertifizierungsstelle, z.B.: OU=Name der PKI) und der Antragsteller (CN=Vorname Nachname). Über diese beiden Informationen findet eine eindeutige Zuordnung statt.

Ganz exakt landen diese Informationen im Attribut „AltSecurityIdentities“ des Benutzerobjektes. Man könnte sich den Umweg des geklickes also auch sparen. Sehr angenehm, wenn man diese Informationen durch ein IDM System setzen lassen möchte.

Bis hierhin immer noch sehr einfach und nachvollziehbar – dumm nur, dass diese tollen Informationen in den allermeisten Fällen nicht den Hauch einer Rolle spielen und einfach ignoriert werden. Es passiert in der Realität nämlich folgendes:

Der KDC verwendet den Wert, welcher auf der Smartcard im Feld Subject Alternative Name (SAN) zu finden ist und fragt den DC, ob ein User existiert, welcher diesen Wert als User Principal Name (UPN) besitzt. Sollte dem so sein, wird ungeachtet unseres zuvor konfigurierten Mappings eine Authentifikation realisiert. Wird kein passender Benutzer gefunden, schlägt die Authentifizierung fehl. Es kommt gar nicht dazu, dass unser Mapping überprüft wird. Dieses manuell erzeugte Mapping wird nur dann überprüft, wenn das Zertifikat auf der Smartcard nicht über eine Information im Feld Subject Alternative Name (SAN) verfügt.

Mit Windows Server 2008 und Windows Vista steht uns jetzt ein Weg zur Verfügung, diese oft nicht beeinflussbare Abhängigkeit vom Feld Subject Alternative Name (SAN) des Zertifikates, zu ignorieren, wodurch unser manuell konfigurierbares 1:1 Mapping wieder Sinn macht.

Dieser Weg des Deaktivierens und die alternativen Mapping-Informationen werden in Teil 2 beschrieben.

Dieser Fall ist zu speziell, um im Standardkurs „MOC 6426 Configuring and Troubleshooting Identity and Access Solutions with Windows Server 2008 Active Directory,
MOC 10229 Konfigurieren und Problembehandlung von Identity and Access Lösungen mit Windows Server 2008 Active Directory“ behandelt zu werden.
Firmen oder Kursteilnehmer die dieses Thema im Kurs behandelt wissen möchten, sollten ein ordentliches Learning Consulting ins Auge fassen um Trainer und Kursraum auf diese Anforderungen im Vorfeld abstimmen zu können.

VN:F [1.9.22_1171]
Rating: 4.0/5 (3 votes cast)
Smartcard - AD User | 1:1 Mapping - Teil 1, 4.0 out of 5 based on 3 ratings

Ein Gedanke zu „Smartcard – AD User | 1:1 Mapping – Teil 1“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Ihr persönlicher Mathe-Schwierigkeitsgrad: Level 1 * Time limit is exhausted. Please reload the CAPTCHA.