Если в поддерживаемое устройство чтения смарт-карт PKI вставлена поддерживаемая смарт-картаPKI, PRISMAsync Print Server считывает карту и запускает проверку подлинности сертификата.
В зависимости от конфигурации смарт-карты PKI, на сервере PRISMAsync Print Server может быть выполнена проверка введенного PIN-кода или пароля.
На смарт-карте PKI может храниться несколько сертификатов и закрытых ключей. Если на смарт-карте PKI хранится несколько сертификатов, в окне входа появляется раскрывающийся список, в котором нужно выбрать имя пользователя.
На приведенной ниже схеме представлены действия по проверке смарт-карты PKI во время входа в систему.
Проверка подлинности смарт-карт PKIPRISMAsync Print Server принимает смарт-карты PKI только с неистекшим сроком действия.
В зависимости от конфигурации смарт-карты PKI на сервере PRISMAsync Print Sever, может быть PRISMAsync Print Server проверен статус отзыва всей цепочки сертификатов смарт-карты. Состояние отзыва корневого сертификата не проверяется.
PRISMAsync Print Server принимает смарт-карты PKI, если можно доверять их полным цепочкам сертификатов.
PRISMAsync Print Server принимает только сертификаты, выданные для использования смарт-карт PKI.
В зависимости от конфигурации смарт-карты PKI на сервере PRISMAsync Print Sever, может быть PRISMAsync Print Server выполнена проверка введенного PIN-кода или пароля. Если пользователей несколько, в окне входа появляется раскрывающийся список, в котором нужно выбрать имя пользователя. PRISMAsync Print Server продолжает проверку подлинности пользователя только после ввода правильного PIN-кода или пароля смарт-карты.
После успешного прохождения всех этапов проверки начинается процесс проверки подлинности пользователя.
Сертификат смарт-карты выдается центром Certification Authority (CA). Этот центр CA может быть другим (промежуточным) центром CA или корневым центром CA. Корневой сертификат CA выдается самим корневым центром CA. Сертификат корневого центра CA является конечной точкой цепочки сертификатов и устанавливает точку доверия. Таким образом, создается связь между центрами СА.
Сертификату смарт-карты можно доверять, если он был подтвержден доверенным центром сертификации. PRISMAsync Print Server сохраняет сертификаты CA в списке доверенных сертификатов.
Цепочка сертификатов определяет, каким образом происходит проверка сертификатов в цепочке. PRISMAsync Print Server проверяет цепочку сертификатов смарт-карты, как только пользователь выполняет вход в систему с помощью своей смарт-карты.
Пример.
Проверка подлинности сертификатов смарт-карт PKIPRISMAsync Print Server считывает данные в поле издателя сертификата смарт-карты и проверяет, включен ли этот издатель в список доверенных сертификатов. Если орган, выдавший документ, находится в списке, PRISMAsync Print Server с помощью открытого ключа центра CA проверяет подпись в сертификате смарт-карты.
Сертификат CA выдается корневым центром CA. Таким образом, этот сертификат CA является промежуточным сертификатом. Затем PRISMAsync проверяет, находится ли корневой центр CA в списке. Если корневой центр CA находится в списке, PRISMAsync Print Server проверяет подпись сертификата CA с помощью открытого ключа корневого центра CA.
Корневой сертификат CA выдается самим корневым центром CA. Подпись корневого сертификата CA можно проверить с помощью открытого ключа корневого центра CA.
Если доказано, что все центры CA смарт-карты являются доверенными, PRISMAsync Print Server считает сертификат смарт-карты надежным.
Обычно пользователи смарт-карт PKI имеют учетную запись пользователя LDAP на сервере каталогов LDAP. Для поддержки учетной записи пользователя необходимо настроить домен PRISMAsync и необходимые группы пользователей домена PRISMAsync. Пользователи смарт-карт PKI, как и другие пользователи домена, получают права доступа на основе настроенных групп пользователей домена PRISMAsync.
Как только пользователь вставляет свою смарт-карту PKI, PRISMAsync Print Server считывает из сертификата смарт-карты UPN (Universal Principal Name). UPN указывает на домен LDAP, в котором сохранены учетные записи пользователей смарт-карт.
Вы можете указать, как PRISMAsync Print Server должен обрабатывать параметр UPN (Universal Principal Name), указывающий на домен LDAP, не настроенный в PRISMAsync Print Server.
Стандарт PRISMAsync Print Server и настраиваемое поведение объясняются в приведенной ниже схеме.
Конфигурация групп пользователейЕсли смарт-карта PKI действительна, PRISMAsync Print Server проверяет, известен ли данный домен.
Если домен известен, PRISMAsync Print Server проверяет, принадлежит ли учетная запись пользователя одной или нескольким группам пользователей домена PRISMAsync.
При обнаружении одной или нескольких групп пользователей домена PRISMAsync пользователь принимается.
Если группа пользователей домена PRISMAsync не найдена, пользователь не принимается.
Если домен известен, PRISMAsync Print Server проверяет конфигурацию смарт-карты PKI.
Пользователь принимается, когда установлен флажок [Принимать смарт-карты из всех доменов] и в списке [Группа для смарт-карт из неизвестных доменов] выбрана группа пользователей.
Настройка смарт-картИспользуя информацию о правах доступа конкретной группы пользователей, PRISMAsync Print Server проверяет, может ли пользователь получить доступ к необходимым параметрам и задачам.