Når der indsættes et understøttet PKI-chipkort i en understøttet PKI-chipkortlæser, læser PRISMAsync Print Server kortet og starter godkendelsen af certifikatet.
Det afhænger af konfigurationen af PKI-chipkort, om PRISMAsync Print Server kontrollerer den indtastede pinkode eller adgangskode.
Et PKI-chipkort kan gemme flere chipkortcertifikater og private nøgler. Når der er flere chipkortcertifikater gemt på PKI-chipkortet, viser logonvinduet en rulleliste til valg af brugernavnet.
Skemaet nedenfor beskriver kontrolproceduren for et PKI-chipkort under logonprocessen.
Godkendelse af PKI-chipkortPRISMAsync Print Server accepterer kun PKI-chipkort, der er tidsgyldige.
Det afhænger af PKI-chipkortkonfigurationen på PRISMAsync Print Sever, om PRISMAsync Print Server kontrollerer tilbagekaldelsesstatus for hele certifikatkæden for chipkort. Tilbagekaldelsesstatussen for rodcertifikatet er ikke kontrolleret.
PRISMAsync Print Server accepterer kun PKI-chipkort, hvor hele certifikatkæden er pålidelig.
PRISMAsync Print Server accepterer kun chipkortcertifikater, der er udstedt til brug på PKI-chipkort.
Det afhænger af konfigurationen af PKI-chipkort i PRISMAsync Print Sever, om PRISMAsync Print Server kontrollerer den indtastede pinkode eller adgangskode. Når der er flere brugere, viser logonvinduet en rulleliste, hvor brugernavnet kan vælges. PRISMAsync Print Server fortsætter kun med brugergodkendelsen, når chipkortets pinkode eller adgangskode er korrekt.
Når alle verifikationstrin er udført, kan brugergodkendelsesprocessen starte.
Et chipkortcertifikat udstedes af en Certification Authority (CA). Dette CA kan være et andet (mellemliggende) CA eller et rod-CA. CA-rodcertifikatet er udstedt af rod-CA'et selv. CA-rodcertifikatet er slutpunktet for certifikatkæden og opretter tillidspunktet. På denne måde oprettes forholdet mellem CA'er.
Chipkortcertifikatet kan være pålideligt, hvis det er blevet kontrolleret af et pålideligt CA. PRISMAsync Print Server gemmer CA-certifikater på listen over pålidelige certifikater.
Certifikatkæden bestemmer, hvordan verifikationen af certifikater i kæden sker. PRISMAsync Print Server kontrollerer chipkortcertifikatkæden, så snart en bruger logger på med et chipkort.
Eksempel:
Godkendelse af PKI-chipkortcertifikaterPRISMAsync Print Server læser feltet Udsteder i chipkortcertifikatet og kontrollerer, om udstederen findes på listen over pålidelige certifikater. Hvis udstederen er på listen, bruger PRISMAsync Print Server den offentlige CA-nøgle til at kontrollere underskriften i chipkortcertifikatet.
CA-certifikatet udstedes af rod-CA'et. Derfor er dette CA-certifikat et mellemliggende certifikat. Nu PRISMAsync kontrollerer, om rod-CA'et er på listen. Hvis rod-CA'et er på listen, bruger PRISMAsync Print Server den offentlige nøgle fra rod-CA'et til at kontrollere underskriften i CA-certifikatet.
CA-rodcertifikatet er udstedt af rod-CA'et selv. Underskriften på CA-rodcertifikatet kan kontrolleres med rod-CA'ets offentlige nøgle.
Når alle CA'er for chipkort viser sig at være pålidelige, betragter PRISMAsync Print Server chipkortcertifikatet som pålideligt.
Generelt har PKI-chipkortbrugere en LDAP-brugerkonto på en LDAP-biblioteksserver. For at understøtte disse brugerkonto kan du konfigurere et PRISMAsync-domæne og de krævede PRISMAsync-domænebrugergrupper. PKI-chipkortbrugere får – ligesom andre domænebrugere – deres adgangsrettigheder fra de konfigurerede PRISMAsync-domænebrugergrupper.
Når en bruger indsætter PKI-chipkortet, læser PRISMAsync Print Server UPN (Universal Principal Name) fra chipkortcertifikatet. UPN henviser til det LDAP-domæne, hvor brugerkontiene for chipkortet er gemt.
Du kan konfigurere, hvordan PRISMAsync Print Server håndterer et UPN (Universal Principal Name), der henviser til et LDAP-domæne, der ikke er konfigureret på PRISMAsync Print Server.
PRISMAsync Print Server-standardfunktionsmåden og den konfigurerbare funktionsmåde beskrives i skemaet nedenfor.
Konfiguration af brugergruppeNår PKI-chipkortet er gyldigt, kontrollerer PRISMAsync Print Server, om domænet er kendt.
Når domænet er kendt, kontrollerer PRISMAsync Print Server, om brugerkontoen tilhører en eller flere PRISMAsync-domænebrugergrupper.
Brugeren accepteres, når en eller flere PRISMAsync-domænebrugergrupper findes.
Brugeren accepteres ikke, når der ikke findes nogen PRISMAsync-domænebrugergruppe.
Når domænet er ukendt, kontrollerer PRISMAsync Print Server konfigurationen for PKI-chipkort.
Brugeren er accepteret, når afkrydsningsfeltet [Acceptér chipkort fra alle domæner] er markeret, og der er valgt en brugergruppe på listen [Gruppe til chipkort fra ukendte domæner].
Konfigurer chipkortPRISMAsync Print Server anvender brugergruppens adgangsrettigheder til at kontrollere, om brugeren kan få adgang til de ønskede indstillinger og opgaver.