Installation AD CS Anbindung

Für die Anbindung von Appterix an die Microsoft PKI reicht es aus, wenn dem Domain Controller die AD CS Rolle zugewiesen wurde.

Bei der Installation des EgoMind AD Sync Services wird automatisch eine Zertifikatsvorlage für Windows SmartCard Authentifizierungen (Appterix SmartCard Logon) im AD CS erstellt.

Bei Verwendung von AD CS im Enrollment des Appterix YubiKey Management wird seitens Appterix Agent (Client Komponente) die Zertifikatsanfrage über die Appterix Server Komponenten an das AD CS gesendet, so dass darüber das Zertifikat erstellt und bereitgestellt wird. Anschließend wird das Zertifikat auf den ausgewählten YubiKey geschrieben.

AD Sync Service herunterladen

Den Download des aktuellen AD Sync Service finden Sie in der Appterix Verwaltungsoberfläche im Bereich Downloads unter Zusätzliche Komponente.

Geben Sie während der Installation die Anmeldedaten des jeweiligen AD Benutzerimport aus der EgoMind Platform an.

Anbindung an AD Zertifizierungsstelle

Nachdem Sie den AD Sync Service installiert und mit den Anmeldedaten des jeweiligen AD Benutzerimport eingerichtet haben, prüfen Sie bitte, ob die Synchronisation fehlerfrei funktioniert.

Anschließend können Sie prüfen, ob in Ihren AD Zertifikatsvorlagen die Vorlagen Appterix Smartcard Logon und Enrollment Agent angelegt wurden. Ist dies nicht der Fall, prüfen Sie bitte, ob der im Benutzerimport angegebene Benutzer Mitglied der AD Gruppe Zertifikatsherausgeber ist. Falls nicht, empfehlen wir das Sie im Installationsverzeichnis von Appterix in den Ordner ADSyncService/Utils (im Standard C:\Program Files\EgoMind\EMADSyncService\Utils ) gehen und dort das EMADSyncService.ControlPanel zu öffnen.

Dort finden Sie den AD CS Connector Bereich, in dem Sie den Namen eines Domain Admin hinterlegen, der sich bereits im Vorfeld an dem System angemeldet hatte, sowie die Domain.

Anschließend sollte die Zertifikatsvorlage zu finden sein.

Sollte die Zertifikatsvorlage vorhanden sein und dennoch das Enrollment von AD CS Zertifikaten nicht möglich sein, kann es daran liegen, dass mit die in der EgoMind-Plattform unter Einstellungen / Benutzerimport hinterlegten Benutzerinformationen eine Authentifizierung an der Domaine nicht ermöglichten oder der Benutzer keine Gruppenmitgliedschaft als Zertifikatsherausgeber besitzt. Verwenden Sie bitte das Schema domain\user

Sollten Sie mehrere AD Zertifizierungsstellen betreiben, können Sie im Benutzerimport bzw. im AD Sync Control Panel den CA Name der zu verwendenden Zertifizierungstelle angeben. Sollten Sie dieses Feld CA Name leer lassen, wird die im Domain Controller zuerst gelistete AD Zertifizierungsstelle verwendet.