Installation AD CS Anbindung
Für die Anbindung von Appterix an die Microsoft PKI reicht es aus, wenn dem Domain Controller die AD CS Rolle zugewiesen wurde.
Bei der Installation des EgoMind AD Sync Services wird automatisch eine Zertifikatsvorlage für Windows SmartCard Authentifizierungen (Appterix SmartCard Logon) im AD CS erstellt.
Bei Verwendung von AD CS im Enrollment des Appterix YubiKey Management wird seitens Appterix Agent (Client Komponente) die Zertifikatsanfrage über die Appterix Server Komponenten an das AD CS gesendet, so dass darüber das Zertifikat erstellt und bereitgestellt wird. Anschließend wird das Zertifikat auf den ausgewählten YubiKey geschrieben.
Einrichtung des EM AD Sync Service
Der EM AD Sync Service sollte auf einem System mit Domain Mitgliedschaft installiert werden.
In der EgoMind Platform hinterlegen Sie bitte einen AD Benutzer nach dem Schema Domain\Benutzer unter Einstellungen > Benutzerimport.
Dieser Benutzer sollte sich einmalig auf dem System angemeldet haben, auf welchem der AD Sync Service installiert wurde.
Des Weiteren benötigt der Benutzer die Mitgliedschaft in der AD Gruppe Zertifikatsherausgeber.
Damit in Ihrer AD-Zertifizierungsstelle die Appterix SmartCard Logon Zertifikatsvorlage angelegt werden kann, öffnen Sie bitte auf dem System des installierten AD Sync Service das EM Sync Service Control Panel. Dieses finden Sie als gleichnamige exe-Datei im Installationspfad unter EMADSyncService\Utils. Geben Sie unterhalb AD CS Connect einen Benutzer und dessen Domain Namen an, welcher ausreichend Rechte besitzt. Sollte danach die Appterix SmartCard Logon Zertifikatsvorlage nicht angelegt worden sein, verwenden Sie bitte temporär einen Benutzer mit maximalen Domain Rechten. Diese Benutzerinformationen werden nach dem Schließen des EM Sync Service Control Panel geleert.
AD Sync Service herunterladen
Den Download des aktuellen AD Sync Service finden Sie hier.
Weitere Informationen
- Einrichtung AD CS Anbindung:
https://appterix.eu/help/anbindung-yubikey-card-authentication-ccid-an-ms-ad-zertifikatsdienste-ad-cs/ - Tutorial Video:
https://appterix.eu/help/yubikey-management-anbindung-an-ad-cs/
Hinweise
Sollte das Enrollment des AD CS Zertifikates nicht erfolgreich abgeschlossen werden, prüfen Sie bitte folgendes:
- Wurde der EgoMind AD Sync Service in der lokalen Domain Umgebung installiert und erfolgreich eingerichtet?
Falls nicht, prüfen Sie bitte die Installation des EgoMind AD Sync Service. - Besitzt der in der EgoMind Platform unter Benutzerimport hinterlegte Benutzer ausreichende Rechte?
Prüfen Sie, ob der angegebene AD-Benutzer ein Mitglied der AD-Gruppe Zertifikatsherausgeber ist. - Wurde die Zertifikatsvorlage im AD CS angelegt?
Falls nicht, prüfen Sie bitte, ob der EgoMind AD Sync Service Dienst ausreichende Rechte auf das AD / AD CS besitzt.
Damit in Ihrer AD-Zertifizierungsstelle die Appterix SmartCard Logon Zertifikatsvorlage angelegt werden kann, öffnen Sie bitte auf dem System des installierten AD Sync Service das EM Sync Service Control Panel.
Dieses finden Sie als gleichnamige exe-Datei im Installationspfad unter EMADSyncService\Utils. Geben Sie unterhalb AD CS Connect einen Benutzer und dessen Domain Namen an, welcher ausreichende Rechte besitzt.
Sollte danach die Appterix SmartCard Logon Zertifikatsvorlage nicht angelegt worden sein, verwenden Sie bitte temporär einen Benutzer mit maximalen Domain Rechten (Domain Admin). Bei den Erstellungen der Zertifikatsvorlagen ist eine interaktive Sitzung durch diesen mittels Control Panel hinterlegten Benutzer erforderlich. Andernfalls können die jeweiligen Skripte nicht ordnungsgemäß gestartet werden.
Das alleinige Ausführen des Control Panel auf dem DC bringt keinen Erfolg, wenn nicht im Hintergrund alle Komponenten des AD Sync Service auf dem System installiert sind.
Nach der erfolgreichen Erstellung werden diese Rechte und Benutzer nicht mehr benötigt. Hier reicht es aus, wenn der im Benutzerimport der EgoMind Plattform hinterlegte Benutzer Zertifikatsherausgeber ist.
Die Benutzerinformationen bei AD CS Connect werden nach dem Schließen des EM Sync Service Control Panel entfernt und nicht gespeichert.