Active Directory -toimialueelle kirjautuminen terveyden- huollon toimikortilla
Hyttinen, Henry (2015)
Hyttinen, Henry
Haaga-Helia ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015120819869
https://urn.fi/URN:NBN:fi:amk-2015120819869
Tiivistelmä
Työssä mahdollistetaan Active Directory (AD) -toimialueelle kirjautuminen terveydenhuollon toimikorttia käyttäen Windows Server 2012/Windows 7 -ympäristössä. Käydään läpi AD-ympäristöön tehtävät asetukset, jotka vaaditaan toimikorttikirjautumisen mahdollistamiseen, sekä juuri-
Certificate Authorityn (CA) asennus ja konfigurointi. Oletetaan, että AD-ympäristö on jo olemassaoleva, eikä täten työssä käydä läpi AD:n asennusta tai määrittelyä niiltä osin, mitkä eivät ole vaadittuja toimikorttikirjautumisen mahdollistamiseen. Työ toteutettiin omassa testiympäristössään.
AD on Microsoftin hakemistopalvelu, joka mahdollistaa organisaation Windows -laitteiden ja niiden
käyttäjien keskitetyn hallinnan. AD-toimialueet koostuvat siihen liitetyistä laitteista, joita hallitaan
toimialueen Domain Controllereilla.
Asymmetrisen avainparin kryptografiassa käytetään avainparia tiedon salaamiseen ja salauksen
avaamiseen. Avainpari koostuu julkisesta ja yksityisestä avaimesta. Ongalmana on se, että julkisen avaimen omistajuudesta ei voida olla täysin varmoja. PKI-hierarkia koostuu laitteista ja ohjelmistoista, jota kolmas osapuoli voi käyttää julkisen avaimen omistajuuden varmistamiseen.
Terveydenhuollon toimikortti on tavallinen sirukortti, jonka Väestörekisterikeskus (VRK) myöntää terveydenhuollon ammattihenkilölle. Se sisältää neljä VRK:n myöntämää varmennetta, joista kaksi ovat VRK:n CA- ja juurivarmenteet, ja henkilön autentikaatio- ja salausvarmenteen sekä allekirjoitusvarmenteen. Autentikaatiovarmenne sisältää AD-ympäristöön kirjautumiseen vaaditun subjec-
tAltName -kentän.
Kortinlukija vaatii toimiakseen ajurit. Kortinlukijaohjelmisto asennetaan toimialueen tietokoneille
ryhmäkäytäntöjä hyväksikäyttäen. VRK antaa terveydenhuollon toimikortteja varten käytettäväksi
Fujitsun mPollux -ohjelmiston.
Jotta toimikorttikirjautuminen onnistuisi, tulee toimialueen Domain Controllereille jakaa Domain Controller -varmenteet. Tätä varten tulee asentaa ja määritellä toimialueelle oma juuri-CA. Lisäksi VRK:n juuri-CA on lisättävä toimialueen luotettuihin juuriin ryhmäkäytännön avulla.
Jotta korttikirjautuminen onnistuisi VRK:n varmenteita käyttäen, tulee AD-käyttäjien UPN:t muuttaa
kortteja vastaaviksi, joka tuottaa ongelmia, mikäli toimialueella on käytössä Office 365-integraatio.
Office 365 -integraatio hajoaa mikäli näin tehdään ilman muita toimenpiteitä. Voidaan ottaa käyttöön käyttäjävihjeen syöttö tai Alternate Login ID ongelman väistämiseksi.
Työn tuloksena kirjautuminen AD-toimialueelle terveydenhuollon toimikorttia käyttäen saatiin on-
nistumaan, ja siihen vaaditut toimialueen asetukset tehtyä oikein. Työ on monivaiheinen, ja siitä haastavan teki se, että siinä mukana olivat VRK:n myöntämät varmenteet, eikä itse myönnetyt. Itse myönnetyillä toimikorttien käyttäjävarmenteilla olisi saanut väistettyä AD-käyttäjien UPN:n vaihdot ja siitä seuraavat ongelmat.
Certificate Authorityn (CA) asennus ja konfigurointi. Oletetaan, että AD-ympäristö on jo olemassaoleva, eikä täten työssä käydä läpi AD:n asennusta tai määrittelyä niiltä osin, mitkä eivät ole vaadittuja toimikorttikirjautumisen mahdollistamiseen. Työ toteutettiin omassa testiympäristössään.
AD on Microsoftin hakemistopalvelu, joka mahdollistaa organisaation Windows -laitteiden ja niiden
käyttäjien keskitetyn hallinnan. AD-toimialueet koostuvat siihen liitetyistä laitteista, joita hallitaan
toimialueen Domain Controllereilla.
Asymmetrisen avainparin kryptografiassa käytetään avainparia tiedon salaamiseen ja salauksen
avaamiseen. Avainpari koostuu julkisesta ja yksityisestä avaimesta. Ongalmana on se, että julkisen avaimen omistajuudesta ei voida olla täysin varmoja. PKI-hierarkia koostuu laitteista ja ohjelmistoista, jota kolmas osapuoli voi käyttää julkisen avaimen omistajuuden varmistamiseen.
Terveydenhuollon toimikortti on tavallinen sirukortti, jonka Väestörekisterikeskus (VRK) myöntää terveydenhuollon ammattihenkilölle. Se sisältää neljä VRK:n myöntämää varmennetta, joista kaksi ovat VRK:n CA- ja juurivarmenteet, ja henkilön autentikaatio- ja salausvarmenteen sekä allekirjoitusvarmenteen. Autentikaatiovarmenne sisältää AD-ympäristöön kirjautumiseen vaaditun subjec-
tAltName -kentän.
Kortinlukija vaatii toimiakseen ajurit. Kortinlukijaohjelmisto asennetaan toimialueen tietokoneille
ryhmäkäytäntöjä hyväksikäyttäen. VRK antaa terveydenhuollon toimikortteja varten käytettäväksi
Fujitsun mPollux -ohjelmiston.
Jotta toimikorttikirjautuminen onnistuisi, tulee toimialueen Domain Controllereille jakaa Domain Controller -varmenteet. Tätä varten tulee asentaa ja määritellä toimialueelle oma juuri-CA. Lisäksi VRK:n juuri-CA on lisättävä toimialueen luotettuihin juuriin ryhmäkäytännön avulla.
Jotta korttikirjautuminen onnistuisi VRK:n varmenteita käyttäen, tulee AD-käyttäjien UPN:t muuttaa
kortteja vastaaviksi, joka tuottaa ongelmia, mikäli toimialueella on käytössä Office 365-integraatio.
Office 365 -integraatio hajoaa mikäli näin tehdään ilman muita toimenpiteitä. Voidaan ottaa käyttöön käyttäjävihjeen syöttö tai Alternate Login ID ongelman väistämiseksi.
Työn tuloksena kirjautuminen AD-toimialueelle terveydenhuollon toimikorttia käyttäen saatiin on-
nistumaan, ja siihen vaaditut toimialueen asetukset tehtyä oikein. Työ on monivaiheinen, ja siitä haastavan teki se, että siinä mukana olivat VRK:n myöntämät varmenteet, eikä itse myönnetyt. Itse myönnetyillä toimikorttien käyttäjävarmenteilla olisi saanut väistettyä AD-käyttäjien UPN:n vaihdot ja siitä seuraavat ongelmat.