Verwendung des AD Sync Control Panel

Das AD Sync Control Panel wird mit der Appterix Komponente des AD Sync Service installiert. Das AD Sync Control Panel befindet sich im Ordner Utils des Installationspfades des AD Sync Service (standardmäßig: C:\Program Files\EgoMind\EMADSyncService\Utils). Es lässt sich ‚als Administrator‘ am Server des AD Sync Service ausführen.

Mit dem AD Sync Control Panel lassen sich Änderungen an der Serververbindung zur EgoMind Plattform, sowie die Initialisierung der Verbindung mit der AD Zertifizierungsstelle vornehmen.

Des weiteren lässt sich der Health Report zum AD Sync Service und der AD CS Verbindung erstellen.

Server Verbindung

Die Server URL, Client ID und den Client Secret erhalten Sie in der Web-Oberfläche der EgoMind Plattform unter Einstellungen > Integrationen > Konfigurationseinstellungen > Anmeldeinformationen nach dem Klick auf den Generieren-Button.

Hinweis: Mit jedem Klick auf den Generieren-Button werden neue Anmeldeinformationen erstellt und müssen im AD Sync Service Control Panel hinterlegt werden.

Für diesen Schritt reicht es aus, wenn der Benutzer das AD Sync Control Panel als Administrator öffnet.

AD CS Verbindung

Damit über das Appterix Enrollment AD Zertifikate auf den YubiKeys erstellt und verwendbar werden können, sind zuvor wenige Schritte erforderlich.

Melden Sie sich am Server des AD Sync Service mit einem Organisations-Administrator (Enterprise Administrator) als interaktive Sitzung an und starten Sie das AD Sync Control Panel ‚als Administrator‘.

Hinweis: Diese Anmeldung am Server mit einem Enterprise Administrator ist lediglich einmalig erforderlich.

Hinterlegen Sie im Bereich AD CS Connect den gleichen Benutzernamen und Namen der Domain wie Sie in den Verbindungseinstellungen der AD Sync Konfigurationseinstellungen in der EgoMind Plattform angegeben haben.

Damit der für den AD CS Connect und AD Sync Verbindungseinstellungen angegebene Benutzer Zertifikate ausstellen kann, muss dieser folgende Berechtigungen besitzen:
– Mitgliedschaft in der Domain als Domain Benutzer.
– Mitgliedschaft der AD Gruppe Zertifikatsherausgeber (Certificate Publisher).
– Anmeldeberechtigung für interaktive Sitzungen am Server des AD Sync Service.

Hinweis: In manchen Fällen führt eine Anmeldung mit dem netBIOS Name (domain/user) zu Fehlern bei der Ausführung der AD CS Verbindung. In diesen Fällen können Sie bei User Name den UPN des Benutzer (user@domain.endung) hinterlegen und das Feld Domain Name leer lassen.

Bei CA Name geben Sie bitte den Namen der CA an, welchen Sie mit dem Kommandozeilenbefehl Certutil unter Konfiguration erhalten.

Anschließend klicken Sie auf Apply um die Einrichtung der Anbindung an die AD Zertifizierungsstelle im Hintergrund durchführen zu lassen.

Aktivitäten während der automatisierten AD CS Konfiguration

Wenn Sie unter Beachtung der vorhergehenden Erläuterungen bei dem Bereich AD CS Connect des AD Sync Control Panel auf Apply geklickt haben, wird eine automatisierten Konfiguration der Active Directory Certificate Services (ADCS) zur Erstellung und Nutzung der Appterix SmartCard Logon Zertifikatsvorlagen durchgeführt.

Im Hintergrund wird hierzu ein temporäres PowerShell Skript unter der interaktiven Benutzersitzung des Enterprise Administrator erstellt, welcher über das AD Sync Control Panel auf Apply geklickt hatte.

Hinweis: Sollte ein Virenscanner oder ähnliches im Einsatz sein, prüfen Sie bitte, ob diese Erstellung und Verwendung des Powershell-Skriptes geblockt werden.

Die einmalige Initialisierung der AD CS Anbindung führt folgende Schritte durch:
Das Skript validiert den Zielbenutzer und stellt sicher, dass das Skript in einer Domain-Umgebung (nicht lokal) ausgeführt wird.
Die vordefinierte SmartCardLogon Vorlage wird zur Erstellung der neuen Vorlage AppterixSmartcardLogon gesucht und verwendet. Die Vorlage Appterix Smartcard Logon wird im AD-Container CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration… erstellt und konfiguriert.
Die Access Control List (ACL) der neuen Vorlage Appterix Smartcard Logon, sowie der vordefinierten Vorlage Enrollment Agent wird angepasst, damit der im AD Sync Control Panel hinterlegte Benutzer diese lesen (read) und einschreiben (enroll) kann. 
certutil wird verwendet, um die neue Vorlage Appterix SmartCard Logon sowie die Enrollment Agent-Vorlage auf der Zertifizierungsstelle (CA) aktiv zu schalten.
Falls die Veröffentlichung der beiden Vorlagen fehlschlägt, versucht das Skript den Dienst CertSvc (Zertifizierungsstelle) auf dem CA-Server remote neu zu starten.

Erforderliche temporäre Berechtigungen während der Initialisierung der AD CS Anbindung: 
Einmalig benötigt der ausführende Benutzer des AD Sync Control Panel benötigt Schreibrechte im Pfad CN=Configuration,DC=…. In der Regel sind dies Rechte der Gruppe Organisations-Admins (Enterprise Admins) oder Domänen-Admins der Forest-Root-Domain, sowie das Recht, Berechtigungen (Sicherheitsreiter) an Objekten im Container „Public Key Services“ zu ändern.
Um Vorlagen mit certutil -setcatemplates hinzuzufügen, muss der Benutzer „Zertifizierungsstellen-Administrator“ auf der CA sein. Um den Dienst CertSvc gegebenfalls neu zu starten (Restart-Service), werden lokale Administratorrechte auf dem CA-Server benötigt (sowie aktiviertes PowerShell Remoting/WMI). 

Temporär erforderliche Netzwerk- & Protokollberechtigungen:
Es ist für den Zeitpunkt der Initialisierung zur AD CS Anbindung der Zugriff auf den Domain Controller über Port 389 oder 636, sowie RPC/DCOM für die Kommunikation mit der Zertifizierungsstelle via certutil erforderlich.

Health Report

Den Health Report können Sie unter einem gewünschten Pfad durch klicken auf Generate Health Report als JSON Datei erstellen lassen. Dieser Report zeigt Ihnen die Konfiguration des AD Sync Service, sowie die Anbindung an die AD Zertifizierungsstelle (AD CS) auf. Es ist hilfreich um Fehlerquellen zu prüfen, wenn es Fehler bei den Anbindungen an das AD oder AD CS gibt.

Zusammenfassung

Um die AD CS Anbindung einmalig einzurichten benötigen Sie das AD Sync Control Panel, welches mit dem AD Sync Service installiert wird.

Öffnen Sie das AD Sync Control Panel in einer Windows-Sitzung eines Organisation-Administrator (Enterprise Administrator).

Hinterlegen Sie einen Benutzer mit Mitgliedschaft in der Domaine und AD Gruppe Zertifikatsherausgeber (Certificate Publisher), sowie Berechtigung zur lokalen Anmeldung am Server des AD Sync Service, welchen Sie ebenfalls in der Weboberfläche der EgoMind Plattform für die AD Synchronisation hinterlegt haben.

Hinterlegen Sie den Namen <FQDN-CA-Server>\<CA Name> der AD Zertifizierungsstelle und klicken auf Apply.

Sollte die Anbindung an das AD CS scheitern, hilft die Generierung des Health Report über das AD Sync Control Panel.

Hinweise:

Mit jedem Klick auf den Generieren-Button bei den Anmeldeinformationen in der Weboberfläche der EgoMind Plattform werden neue Anmeldeinformationen erstellt und müssen im AD Sync Service Control Panel hinterlegt werden.

Für die einmalige Initialisierung der AD CS Anbindung ist die Anmeldung am Server mit einem Enterprise Administrator ist lediglich temporär erforderlich.

In manchen Fällen führt eine Anmeldung mit dem netBIOS Name (domain/user) zu Fehlern bei der Ausführung der AD CS Verbindung. In diesen Fällen können Sie bei User Name den UPN (user@domain.endung) des Benutzer hinterlegen und das Feld Domain Name leer lassen.

Sollte ein Virenscanner oder ähnliches im Einsatz sein, prüfen Sie bitte, ob diese Erstellung und Verwendung des Powershell-Skriptes zur Initialisierung der AD CS  Anbindung geblockt werden.

Der Health Report ist hilfreich um Fehlerquellen zu prüfen, wenn es Fehler bei den Anbindungen an das AD oder AD CS gibt.