Når et støttet PKI-smartkort settes inn i en støttet PKI-smartkortleser, vil PRISMAsync Print Server lese kortet og starte godkjenning av sertifikatet.
Hvorvidt PKI kontrollerer PIN-koden eller passordet, avhenger av PRISMAsync Print Server-smartkortkonfigurasjonen.
Et PKI-smartkort kan lagre flere smartkortsertifikater og private nøkler. Hvis det er lagret flere smartkortsertifikater på PKI-smartkortet, vil påloggingsvinduet vise en rullegardinliste der du velger brukernavn.
Diagrammet under beskriver trinnene for å bekrefte et PKI-smartkort under pålogging.
Godkjenning av PKI-smartkortPRISMAsync Print Server godtar kun tidsgyldige PKI-smartkort.
Hvorvidt PRISMAsync Print Server kontrollerer tilbakekallingsstatusen til hele smartkortsertifikatbanen, avhenger av PKI-smartkortkonfigurasjonen på PRISMAsync Print Sever. Tilbakekallingsstatusen til rotsertifikatet er ikke kontrollert.
PRISMAsync Print Server godtar kun PKI-smartkort der hele sertifikatbanen er klarert.
PRISMAsync Print Server godtar kun smartkortsertifikater som er utstedt for bruk av PKI-smartkort.
Hvorvidt PRISMAsync Print Sever kontrollerer PIN-koden eller passordet, avhenger av PKI-smartkortkonfigurasjonen på PRISMAsync Print Server. Hvis det finnes flere brukere, vil påloggingsvinduet vise en rullegardinliste der du velger brukernavn. PRISMAsync Print Server fortsetter brukergodkjenningen kun hvis PIN-koden eller passordet for smartkortet er riktig.
Når alle trinnene for å bekrefte er fullført, starter prosessen for brukergodkjenning.
Et smartkortsertifikat utstedes av en Certification Authority (CA). Denne CA-en kan være en annen (mellomliggende) CA eller en rot-CA. CA-rotsertifikater utstedes av selve rot-CA-en. CA-rotsertifikater er endepunktet for sertifikatkjeden, og utgjør klareringspunktet. På denne måten opprettes relasjonen mellom CA-ene.
Smartkortsertifikatet kan klareres hvis det har blitt bekreftet av en klarert CA. PRISMAsync Print Server lagrer CA-rotsertifikater på listen over klarerte sertifikater.
Sertifikatkjeden avgjør hvordan sertifikatene i kjeden bekreftes. PRISMAsync Print Server bekrefter smartkortsertfikatkjeden så snart en bruker logger seg på med smartkort.
Eksempel:
Godkjenning av PKI-smartkortsertifikaterPRISMAsync Print Server leser utstederfeltet på smartkortsertifikatet, og bekrefter at utstederen er oppført på listen over klarerte sertifikater. Hvis utstederen står på listen, vil PRISMAsync Print Server bruke den offentlige CA-nøkkelen for å bekrefte signaturen på smartkortsertifikatet.
CA-sertifikatet er utstedt av rot-CA-en, og er dermed et mellomsertifikat. PRISMAsync bekrefter nå at rot-CA-en står oppført på listen. Hvis rot-CA-en står på listen, vil PRISMAsync Print Server bekrefte den offentlige nøkkelen til rot-CA-en ved hjelp av signaturen på CA-sertifikatet.
CA-rotsertifikater utstedes av selve rot-CA-en. Signaturen på CA-rotsertifikatet kan bekreftes med den offentlige nøkkelen til rot-CA-en.
Når CA-ene til samtlige smartkort er klarert, vil PRISMAsync Print Server anse smartkortsertifikatet som klarert.
PKI-smartkortbrukere har vanligvis en LDAP-brukerkonto på en LDAP-katalogserver. For å støtte disse brukerkontoen må du konfigurere et PRISMAsync-domene og de nødvendige PRISMAsync-domenebrukergruppene. I likhet med de andre domenebrukerne får PKI-smartkortbrukerne tilgangsrettigheter fra de konfigurerte PRISMAsync-domenebrukergruppene.
Når en bruker setter inn PKI-smartkortet sitt, vil PRISMAsync Print Server lese UPN (Universal Principal Name)-et fra smartkortsertifikatet. UPN-et viser til LDAP-domenet der smartkortbrukerkontoene er lagret.
Du kan konfigurere hvordan PRISMAsync Print Server skal håndtere et UPN (Universal Principal Name) som viser til et LDAP-domene som ikke er konfigurert på PRISMAsync Print Server.
Standardatferden og den konfigurerbare atferden til PRISMAsync Print Server er forklart i diagrammet under.
Konfigurasjon av brukergrupperHvis PKI-smartkortet er gyldig, vil PRISMAsync Print Server kontrollere at domenet er kjent.
Hvis domenet er kjent, vil PRISMAsync Print Server kontrollere at brukerkontoen tilhører én eller flere PRISMAsync-domenebrukergrupper.
Hvis det oppdages én eller flere PRISMAsync-domenebrukergrupper, godtas brukeren.
Hvis det ikke oppdages PRISMAsync-domenebrukergrupper, godtas ikke brukeren.
Hvis domenet er ukjent, vil PRISMAsync Print Server kontrollere PKI-smartkortkonfigurasjonen.
Brukeren godtas hvis det er merket av for [Godta smartkort fra alle domener] og det er valgt en brukergruppe på [Gruppe for smartkort fra ukjente domener] -listen.
Konfigurer smartkortPRISMAsync Print Server kontrollerer ut fra tilgangsrettighetene til hver brukergruppe om brukeren kan gis tilgang til de nødvendige alternativene og oppgavene.