blank_page
U ovoj lekciji ćete naučiti kako da upravljate i kako se rešavaju problemi u infrastrukturi smart kartica.
Nakon kompletne lekcije moći ćete da:
- Opišete postavke u grupnim polisama koje možete da koristite da primorate i upravljate infrastrukturom smart kartica.
- Rešavate neke od najčešćih grešaka u radu sa smart karticama.
- Da konfigurišete grupne polise za smart kartice.
Postavke u grupnim polisama za upravljanje infrastrukturom smart kartica
Možemo da koristimo postavke u grupnim polisama u aktivnom direktorijumu da upravljamo smart karticama u našoj organizaciji. Windows Server 2003 podržava različite postavke za smart kartice (smart card-specific settings).
Zahtevanje korišćenja smart kartica za logovanje
Kada podesimo Interactive logon: Require smart card for logon polisu na korisnički nalog, korisnik ne može da se uloguje na svoj korisnički nalog koristeći lozinku. Korisnik će moći da se uloguje samo ako koristi smart karticu.
Prednost korišćenja ove postavke u polisi je to da ona primorava striktnu sigurnost. Ipak, ako korisnik nije u mogućnosti da se loguje sa konvencionalnom lozinkom, moramo da mu ponudimo alternativnu soluciju u slučaju da njegova smart kartica postane beskorisna. Ova postavka u polisi se postavlja samo na lokalno i mrežno logovanje. Ne primenjuje se na korisnike koji se udaljeno loguju, jer se tim korinicima upravlja postavkama polisa koje se konfigurišu na Remote Access Serveru.
Ako izaberemo da ne koristimo ovu sigurnosnu postavku polise, korisnici mogu da se vrate na korišćenje standardnih mrežnih lozinki ako su njihove smart kartice oštećene ili nedostupne. Ipak, ovo će umnogome smanjiti nivo sigurnosti na mreži. Kao dodatak, korisnici koji retko koriste svoje lozinke mogu lako da ih zaborave ili da pozivaju Help Desk i traže od ljudi koji rade u tom odeljenju resetovanje njihovih lozinki. Samim tim povećavaju Help Desk troškove u organizaciji.
Ponašanje uklanjanja smart kartica (Smart Card behavior)
Korisnici koji napuste kompjuter na kojem je startovana aktivna logon sesija kreiraju sigurnosni rizik. Da bi se primorala sigurnost u našem sistemu, najbolje bi bilo da se korisnici uvek izloguju ili da zaključaju svoje kompjutere kada znaju da ih neće koristiti određeno vreme.
Interactive logon: Smart Card Removal behavior polisa dozvoljava nam da primoramo korisnike da se izloguju ili da zaključaju svoje kompjutere u periodu kada ih neće koristiti.
Da li ćemo postaviti smart card removal behavior polisu zavisi od toga da li korisnici imaju uzajamno delovanje. Na primer, polisa je dobar izbor ako koristimo kompjutere na otvorenim spratovima ili u Kiosk okruženju. Ova polisa možda ne bi bila dobar izbor kada korisnici imaju svoje namenjene kompjutere ili ako ekskluzivno koriste više kompjutera. Možemo da iskoristimo password protected screen saver ili druge načine zaključavanja kompjutera za ove korisnike.
Do not allow smart card redirection: Koristimo Interactive logon: Do not allow smart card device redirection polisu ako ne želimo da koristimo smart kartice u konjukciji sa terminal servis sesijama. Ako omogućimo ovu polisu, korisnici će biti u mogućnosti da se loguju na njihove radne stanice koristeći smart kartice, ali neće moći da koriste smart kartice za autentifikaciju za Terminal servis sesije.
Vodič za rešavanje najčešćih problema koji se odnose na smart kartice
Implementacija smart kartica za autentifikaciju predstavlja znatnu kompleksnost u našoj mrežnoj infrastrukturi. Potreban je nepoznati hardver i nove procedure će verovatno voditi ka povećanju grešaka u radu krajnjih korisnika i od administratora će se tražiti da reši moguće probleme. Infrastruktura smart kartica je integrisana sa aktivnim direktorijumom, tako da neke greške mogu zahtevati troubleshooting aktivnog direktorijuma.
Rešavanje problema koji se odnose na smart kartice
Sada ćemo Vam predstaviti neke probleme koji mogu da se dogode kada izgradimo infrastrukturu smart kartica:
- Klijent ne može samog sebe da upiše (client cannot self-enroll)
- Prvi korak u rešavanju ovog problema je provera dozvola na šablonima sertifikata smart kartica. Da bi mogao sam sebe da upiše, korisniku je potrebna Read i Enroll dozvola.
- Dozvole su dobre, ali smo skoro menjali postavke na GPO, informacije se možda još uvek nisu replicirale na svim klijentskim kompjuterima. Po defoltu, informacijama treba najviše 180 minuta da bi se replicirale na svim kompjuterima. Pre nego što ove promene stupe na snagu na CA ili na klijentu, promene moraju da se repliciraju kroz celo preduzeće (enterprise) ka domenskim kontrolerima koji se nalaze na odvojenim sajtovima, a koji su povezani sporim mrežnim konekcijama. Tipično, ovaj proces stupa na snagu veoma brzo, ali ako se domenski kontroleri nalaze na odvojenim sajtovima koji su povezani sporim mrežnim konekcijama, replikacija može trajati mnogo duže. Da bi se rešio ovaj problem, potrebno je da proverimo da li su promene i grupnim polisama replicirane ka svim domenskim kontrolerima. Nakon toga iskoristimo Gpupdate komandu na radnim stanicama da bismo primorali momentalno ažuriranje grupne polise.
- Korisnik ne može da se uloguje korišćenjem smart kartice: Postoji nekoliko mogućih razloga zašto korisnik ne može da se uloguje koristeći svoju smart karticu.
- Prvo, potrebno je proveriti da li je korisnički nalog možda zaključan ili možda korisniik koristi pogrešan PIN kod.
- Takođe, potrebno je proveriti da li je korisnički nalog mapiran ka odgovarajućem sertifikatu u aktivnom direktorijumu. Ako je kompjuterski nalog onemogućen (disable) u aktivnom direktorijumu, ili je kompjuter izgubio svoje poverenje u domenu (nije član domena), korisnik neće biti u mogućnosti da se uloguje.
- Kao dodatak, ako root CA nije u trust odnosu sa korisčkim kompjuterom, korisnik tada neće moći da se uloguje. Potrebno je proveriti da li se root CA sertifikat nalazi u Trusted Root Certificate Authorities na korisničkom kompjuteru.
- Takođe potrebno je da proverimo da li je korisnikov sertifikat istekao ili je ukinut.
- Korisnik ne može da koristi CA Web sajt za upisivanje (enroll) smart kartice: U nekim slučajevima, korisnici možda neće biti u stanju da se konektuju na CA Web sajt i upišu sertifikat. Ovo može da zahtvati i Enrollment Agente i obične korisnike.
- Proveriti DNS informaciju da bi osigurali da se tačan Resouce zapis za CA napazi u DNS zonskom fajlu.
- Takođe potrebno je proveriti da je CA informacija objavljena u aktivnom direktorijumu. Koristimo IIS Manager-a da bismo proverili da potrebni virtuelni direktorijumi postoje na Default Web sajtu i da dozvole nisu modifikovane tako da sprečavaju pristup korisnicima.
- Čitač ne može da pročita smart karticu:
- Ako čitač smart kartica ne može da pročita informacije na smart kartici, možda ćemo morati da proverimo i smart karticu i čitač smart kartica. Potrebno je da proverimo da li je čitač smart kartica kompatibilan sa Windows Server 2003 operativnim sistemom i da li je softver za čitač smart katrica instaliran na radnoj stanici.
- Potrebno je proverimo da li je smart kartica oštećena i da li je ubačena u čitač na pravi način.
- Potrebno je takođe da probamo da ubacimo smart karticu u drugi čitač smart kartica da bismo videli da li imamo problem sa smart karticom ili se problem odnosi na čitač smart kartica.