Amikor egy támogatott PKI intelligens kártyát helyez a támogatott PKI intelligenskártya-olvasóba, a PRISMAsync Print Server beolvassa a kártyát, és elindítja a tanúsítvány hitelesítését.
A PKI intelligenskártya-konfigurációjától függ, hogy PRISMAsync Print Server ellenőrzi-e a rendszer a megadott PIN-kódot vagy jelszót.
Az PKI intelligens kártya több intelligenskártya-tanúsítványt és privát kulcsot tárolhat. Ha több intelligenskártya-tanúsítvány is található a PKI intelligens kártyán, a bejelentkezési ablakban megjelenő legördülő lista segítségével választható ki a felhasználónév.
Az alábbi folyamat bemutatja az PKI intelligens kártyás ellenőrzés hitelesítési lépéseit a bejelentkezési folyamat során.
A PKI intelligens kártyák hitelesítéseA PRISMAsync Print Server csak olyan PKI intelligens kártyákat fogad el, amelyeknek érvényes az ideje.
A PRISMAsync Print Sever PKI intelligenskártya-konfigurációja határozza meg, hogy a PRISMAsync Print Server ellenőrzi-e az intelligens kártyák teljes tanúsítványláncának visszavonási állapotait. A főtanúsítvány visszavonási állapotát nem ellenőrzi a rendszer.
A PRISMAsync Print Server csak azokat a PKI intelligens kártyákat fogadja el, amelyeknél a teljes tanúsítványlánc megbízható.
A PRISMAsync Print Server csak azokat az intelligenskártya-tanúsítványokat fogadja el, amelyeket az PKI intelligens kártya használatához bocsátottak ki.
A PRISMAsync Print Sever PKI intelligenskártya-konfigurációjától függ, hogy PRISMAsync Print Server ellenőrzi-e a rendszer a megadott PIN-kódot vagy jelszót. Ha több felhasználó is található, megjelenik a bejelentkezési ablakban egy legördülő lista, amelyen kiválaszthatja a felhasználónevet. A PRISMAsync Print Server csak akkor folytatja a felhasználói hitelesítést, ha az intelligens kártya PIN-kódja vagy jelszava helyes.
Ha az ellenőrzés minden lépése sikeres, elindul a felhasználói hitelesítés folyamata.
Egy Certification Authority (CA) kiad egy intelligenskártya-tanúsítványt. Ez a CA lehet egy másik (Köztes) CA vagy a Fő CA is. A CA-főtanúsítvány kibocsátója maga a Fő CA. A CA-főtanúsítvány a tanúsítványlánc végpontja, amely kialakítja a megbízható pontot. Ily módon létrejön a kapcsolat a CA-k között.
Az intelligenskártya-tanúsítvány akkor minősül megbízhatónak, ha megbízható CA-tanúsítvány ellenőrizte. A PRISMAsync Print Server a CA-tanúsítványokat a megbízható tanúsítványok listájában tárolja.
A tanúsítványlánc határozza meg, hogyan megy végbe a láncban szereplő tanúsítványok ellenőrzése. A PRISMAsync Print Server azonnal ellenőrzi az intelligenskárya-tanúsítványok láncát, amint egy felhasználó bejelentkezik intelligens kártyájával.
Példa:
A PKI intelligens kártyák tanúsítványainak hitelesítéseA PRISMAsync Print Server beolvassa az intelligens kártya tanúsítványának kibocsátó mezőjét, és ellenőrzi, hogy a kibocsátó szerepel-e a megbízható tanúsítványainak listájában. Ha a kibocsátó szerepel a listában, akkor a PRISMAsync Print Server a CA nyilvános kulcsát használja az intelligens kártya tanúsítványán szereplő aláírás ellenőrzéséhez.
A CA-főtanúsítvány kibocsátója a Fő CA. Így ez a CA-tanúsítvány egy köztes tanúsítvány. Ekkor a PRISMAsync ellenőrzi, hogy szerepel-e a Fő CA a listában. Ha a Fő CA szerepel a listában, akkor a PRISMAsync Print Server a Fő CA nyilvános kulcsát használja a CA-tanúsítvány aláírásának ellenőrzéséhez.
A CA-főtanúsítvány kibocsátója maga a Fő CA. A CA-főtanúsítvány aláírása a Fő CA nyilvános kulcsának segítségével ellenőrizhető.
Ha az intelligens kártya CA-i közül mind megbízhatónak bizonyul, a PRISMAsync Print Server megbízhatónak tekinti az intelligens kártya tanúsítványát.
Az PKI intelligens kártyák felhasználói általában rendelkeznek egy LDAP felhasználói fiókkal az LDAP-könyvtárkiszolgálón. Az ilyen felhasználói fiókok támogatásához konfigurálnia kell egy PRISMAsync-tartományt és a PRISMAsync tartományon a szükséges számú felhasználói csoportot. Az PKI intelligens kártyák felhasználói, ahogyan a tartományok más felhasználói is, hozzáférési jogosultságaikat a konfigurált PRISMAsync tartományfelhasználói csoportoktól kapják.
Amikor egy felhasználó behelyez egy PKI intelligens kártyát, a PRISMAsync Print Server beolvassa a UPN (Universal Principal Name) elemet az intelligenskártya-tanúsítványból. A UPN a LDAP tartományt jelöli, ahol az intelligenskártya-felhasználói fiókok tárolása történik.
Konfigurálhatja, hogy a PRISMAsync Print Server miként kezelje a UPN (Universal Principal Name) elemet, amely olyan LDAP tartományra hivatkozik, amelyik nincs konfigurálva a PRISMAsync Print Server szolgáltatásban.
A PRISMAsync Print Server normál és konfigurálható viselkedésének bemutatása az alábbiakban található.
Felhasználói csoport konfigurációjaHa az intelligens kártya érvényes (PKI), akkor a PRISMAsync Print Server ellenőrzi, hogy ismert-e a tartománya.
Ha a tartomány ismert, a PRISMAsync Print Server ellenőrzi, hogy a felhasználói fiók a PRISMAsync tartomány egy vagy több felhasználói csoportjához tartozik-e.
A felhasználó elfogadása akkor történik meg, ha található a PRISMAsync tartományon egy vagy több felhasználói csoport.
A felhasználó elfogadása nem történik meg, ha nem található a PRISMAsync tartományon felhasználói csoport.
Ha a tartomány ismeretlen, akkor a PRISMAsync Print Server ellenőrzi a PKI intelligenskártya-konfigurációját.
A felhasználót akkor fogadja el a rendszer, ha be van jelölve a [Intelligens kártyák elfogadása minden tartománytól] négyzet, és ki van választva egy felhasználói csoport a [Csoport az ismeretlen tartományoktól származó intelligens kártyák számára] listában.
Intelligens kártyák konfigurálásaA PRISMAsync Print Server a felhasználói csoporthoz tartozó elérési jogosultságai segítségével ellenőrzi, hogy a felhasználó hozzáférhet-e a szükséges beállításokhoz és feladatokhoz.