Pokud je do podporované čtečky čipových karet PKI vložena podporovaná čipová karta PKI, server PRISMAsync Print Server kartu načte a spustí proces ověřování certifikátu.
V závislosti na konfiguraci čipové karty PKI server PRISMAsync Print Server zkontroluje kód PIN nebo heslo.
Na čipové kartě PKI lze uložit několik certifikátů a soukromých klíčů k čipovým kartám. Pokud je na čipové kartě PKI uloženo několik certifikátů, přihlašovací okno zobrazí rozevírací seznam pro výběr jména uživatele.
Níže uvedené schéma popisuje kroky ověření čipové karty PKI během procesu přihlašování.
Ověřování čipových karet PKIServer PRISMAsync Print Server přijímá pouze časově platné čipové karty PKI.
V závislosti na konfiguraci čipové karty PKI pro server PRISMAsync Print Sever bude server PRISMAsync Print Server kontrolovat stav odvolání celé cesty k certifikátu čipové karty. Stav odvolání kořenového certifikátu není kontrolován.
Server PRISMAsync Print Server přijímá pouze čipové karty PKI, u kterých je možno důvěřovat celé cestě k certifikátu.
Server PRISMAsync Print Server přijímá pouze certifikáty čipových karet, které jsou vydány pro použití čipových karet PKI.
V závislosti na konfiguraci čipové karty PKI pro server PRISMAsync Print Sever server PRISMAsync Print Server zkontroluje kód PIN nebo heslo. V případě více uživatelů zobrazí panel se v přihlašovacím okně rozevírací seznam pro výběr jména uživatele. Server PRISMAsync Print Server pokračuje s ověřováním uživatele pouze tehdy, pokud je kód PIN nebo heslo k čipové kartě správně.
Pokud jsou všechny kroky ověřování úspěšné, je zahájen proces ověřování uživatele.
Certifikát chytré karty vydává Certification Authority (CA). Tato CA může být další (Zprostředkující) CA nebo Kořenová CA. Kořenový certifikát CA vydává sama Kořenová CA. Kořenový certifikát CA je koncovým bodem certifikačního řetězce a vytváří důvěryhodný bod. Tímto způsobem je vytvářen vztah mezi CA.
Certifikát čipové karty lze považovat za důvěryhodný, pokud byl ověřen pomocí důvěryhodných certifikátů CA. PRISMAsync Print Server ukládá certifikáty CA do seznamu důvěryhodných certifikátů.
Certifikační řetězec určuje, jak probíhá ověřování certifikátů v řetězci. PRISMAsync Print Server ověří certifikační řetězec chytré karty, jakmile se uživatel přihlásí pomocí chytré karty.
Příklad:
Ověřování certifikátů čipových karet PKIServer PRISMAsync Print Server přečte pole vydavatele certifikátu čipové karty a ověří, zda je vydavatel na seznamu důvěryhodných certifikátů. Pokud je vydavatel na seznamu, použije PRISMAsync Print Serverveřejný klíč CA k ověření podpisu na certifikátu chytré karty.
Certifikát CA je vydává Kořenová CA. Tento certifikát CA je tak Zprostředkující certifikát. Nyní PRISMAsync ověří, jestli je Kořenová CA na seznamu. Pokud je kořenová CA na seznamu, použije PRISMAsync Print Serverveřejný klíč Kořenové CA k ověření podpisu na certifikátu CA.
Kořenový certifikát CA vydává sama Kořenová CA. Podpis na Kořenovém certifikátu CA lze ověřit pomocí veřejného klíče Kořenové CA.
Pokud jsou všechny CA chytré karty shledány důvěryhodnými, PRISMAsync Print Server posoudí certifikát chytré karty jako důvěryhodný.
Obecně platí, že uživatelé čipových karet PKI mají uživatelský účet LDAP na adresářovém serveru LDAP. Pro podporu těchto uživatelských účtů nakonfigurujte doménu PRISMAsync a požadované skupiny uživatelů domény PRISMAsync. Uživatelé čipových karet PKI, stejně jako ostatní uživatelé domény, získají přístupová práva z nakonfigurovaných skupin uživatelů domény PRISMAsync.
Když uživatel vloží čipovou kartu PKI, server PRISMAsync Print Server z certifikátu čipové karty načte UPN (Universal Principal Name). UPN se vztahuje k doméně LDAP, kde jsou uloženy uživatelské účty k čipovým kartám.
Můžete nakonfigurovat způsob, jakým server PRISMAsync Print Server zpracovává název UPN (Universal Principal Name), který se vztahuje k doméně LDAP, která na serveru PRISMAsync Print Server není nakonfigurována.
Standard PRISMAsync Print Server a konfigurovatelné chování jsou vysvětleny na schématu níže.
Konfigurace skupiny uživatelůKdyž je čipová karta PKI platná, server PRISMAsync Print Server ověří, zda je doména známá.
Pokud je doména známá, server PRISMAsync Print Server zkontroluje, zda uživatelský účet patří k jedné nebo více skupinám uživatelů domény PRISMAsync.
Uživatel je přijat, pokud je nalezena jedna nebo více skupin uživatelů domény PRISMAsync.
Uživatel není přijat, když není nalezena žádná skupina uživatelů domény PRISMAsync.
Když je doména neznámá, server PRISMAsync Print Server zkontroluje konfiguraci čipové karty PKI.
Uživatel bude přijat, když je zaškrtnuté políčko [Přijmout chytré karty ze všech domén] a když je vybrána skupina uživatelů v seznamu [Skupina pro chytré karty z neznámých domén].
Konfigurovat chytré kartyServer PRISMAsync Print Server používá přístupová práva skupiny uživatelů ke kontrole toho, zda uživatel může přistupovat k požadovaným možnostem a úkolům.