Kun tuettu PKI-älykortti asetetaan tuettuun PKI-älykortin lukulaitteeseen, PRISMAsync Print Server lukee kortin ja aloittaa älykortin varmennetodennuksen.
Riippuu PKI-älykorttikokoonpanosta, tarkistaako PRISMAsync Print Server annetun PIN-koodin tai salasanan.
PKI-älykortille voidaan tallentaa useita älykorttien varmenteita ja julkisia avaimia. Kun PKI-älykortille on tallennettu useita älykorttien varmenteita, kirjautumisikkunassa näkyy avattava luettelo, josta voi valita käyttäjänimen.
Alla olevassa kaaviossa on kuvattu PKI-älykortin tarkistuksen vaiheet sisäänkirjautumisprosessin aikana.
PKI-älykorttien todennusPRISMAsync Print Server hyväksyy vain voimassa olevat PKI-älykortit.
Riippuu PRISMAsync Print Severin PKI-älykorttikokoonpanosta, tarkistaako PRISMAsync Print Server koko älykorttien varmennepolun kumoamistilan. Päävarmenteen kumoamistilaa ei tarkisteta.
PRISMAsync Print Server hyväksyy vain sellaiset PKI-älykortit, joiden koko varmennepolkuun voidaan luottaa.
PRISMAsync Print Server hyväksyy vain sellaiset älykorttien varmenteet, jotka on myönnetty PKI-älykorttien käyttöä varten.
Riippuu PRISMAsync Print Severin PKI-älykorttikokoonpanosta, tarkistaako PRISMAsync Print Server annetun PIN-koodin tai salasanan. Kun käyttäjiä on useita, kirjautumisikkunassa näkyy avattava luettelo, josta voi valita käyttäjänimen. PRISMAsync Print Server jatkaa käyttäjätodennusta vain silloin, kun älykortin PIN-koodi tai salasana on oikein.
Käyttäjätodennusprosessi alkaa vahvistuksen kaikkien vaiheiden onnistumisen jälkeen.
Älykortin varmenteen myöntää Certification Authority (CA) eli varmenteen myöntäjä. Tämä varmenteen myöntäjä voi olla toinen varmenteen myöntäjä (keskitason varmenteen myöntäjä) tai varmenteen päämyöntäjä. Varmenteen päämyöntäjän varmenteen myöntää varmenteen päämyöntäjä. Varmenteen päämyöntäjän varmenne on varmenneketjun päätepiste, joka muodostaa luottamuskohdan. Näin luodaan suhde varmenteen myöntäjien kesken.
Älykortin varmenteeseen voidaan luottaa, jos luotettu varmenteen myöntäjä on tarkistanut sen. PRISMAsync Print Server tallentaa varmenteen myöntäjien varmenteet luotettujen varmenteiden luetteloon.
Varmenneketju määrittää, miten ketjun varmenteiden vahvistus suoritetaan. PRISMAsync Print Server vahvistaa älykortin varmenneketjun heti, kun käyttäjä kirjautuu sisään älykortilla.
Esimerkki:
PKI-älykorttivarmenteiden todennusPRISMAsync Print Server lukee älykortin varmenteen myöntäjäkentän ja tarkistaa, onko myöntäjä luotettujen varmenteiden luettelossa. Jos myöntäjä on luettelossa, PRISMAsync Print Server vahvistaa älykortin varmenteessa olevan allekirjoituksen varmenteen myöntäjän julkisen avaimen avulla.
Varmenteen myöntäjän varmenteen myöntää varmenteen päämyöntäjä. Tämä varmenteen myöntäjän varmenne on siten väliaikainen varmenne. Nyt PRISMAsync tarkistaa, onko varmenteen päämyöntäjä luettelossa. Jos varmenteen päämyöntäjä on luettelossa, PRISMAsync Print Server vahvistaa varmenteen myöntäjän varmenteessa olevan allekirjoituksen varmenteen päämyöntäjän julkisen avaimen avulla.
Varmenteen päämyöntäjän varmenteen myöntää varmenteen päämyöntäjä. Varmenteen päämyöntäjän varmenteessa olevan allekirjoitus voidaan vahvistaa varmenteen päämyöntäjän julkisen avaimen avulla.
Kun kaikki älykortin varmenteen myöntäjät osoittautuvat luotettaviksi, PRISMAsync Print Server katsoo älykortin varmenteen luotettavaksi.
PKI-älykorttien käyttäjillä on yleensä LDAP-hakemistopalvelimella oleva LDAP-käyttäjätili. Tämän käyttäjätilin tukemiseksi sinun on määritettävä PRISMAsync-toimialue ja tarvittavat PRISMAsync-toimialueen käyttäjäryhmät. PKI-älykorttien käyttäjät, kuten muut toimialueiden käyttäjät, saavat käyttöoikeutensa määritetyn PRISMAsync-toimialueen käyttäjäryhmistä.
Kun käyttäjä lisää PKI-älykortin, PRISMAsync Print Server lukee UPN (Universal Principal Name) ‑tunnuksen älykortin varmenteesta. UPN-tunnus viittaa LDAP-toimialueeseen, johon älykortin käyttäjätilit on tallennettu.
Voit määrittää, miten PRISMAsync Print Server käsittelee UPN (Universal Principal Name) ‑tunnuksen, joka viittaa PRISMAsync Print Serverillä määrittämättömään LDAP-toimialueeseen.
PRISMAsync Print Serverin normaali ja määritettävissä oleva toimintatapa on esitetty alla olevassa kaaviossa.
KäyttäjäryhmämääritysKun PKI-älykortti on voimassa, PRISMAsync Print Server tarkistaa, onko toimialue tunnettu.
Kun toimialue on tunnettu, PRISMAsync Print Server tarkistaa, kuuluuko käyttäjätili yhteen tai useampaan PRISMAsync-toimialueen käyttäjäryhmään.
Käyttäjä hyväksytään, kun löydetään vähintään yksi PRISMAsync-toimialueen käyttäjäryhmä.
Käyttäjää ei hyväksytä, jos PRISMAsync-toimialueen käyttäjäryhmiä ei löydy.
Kun toimialue on tuntematon, PRISMAsync Print Server tarkistaa PKI-älykortin kokoonpanon.
Käyttäjä hyväksytään, kun [Hyväksy älykortit kaikista toimialueista] ‑valintaruutu valitaan ja käyttäjäryhmä valitaan [Tuntemattomien toimialueiden älykorttien ryhmä] ‑luettelosta.
Määritä älykortitPRISMAsync Print Server tarkistaa käyttäjäryhmän käyttöoikeuksien perusteella, voiko käyttäjä käyttää tarvittavia asetuksia ja tehtäviä.