在支持的 PKI 智能卡读卡器中插入支持的 PKI 智能卡时,PRISMAsync Print Server 将读取此卡并启动证书身份验证。
PRISMAsync Print Server 是否检查输入的 PIN 或密码取决于 PKI 智能卡配置。
PKI 智能卡可以存储多个智能卡证书和私钥。当 PKI 智能卡上存储多个智能卡证书时,登录窗口会显示一个下拉列表以供选择用户名。
下面的方案描述了登录过程中的 PKI 智能卡验证步骤。
PKI 智能卡身份验证PRISMAsync Print Server 仅接受时间有效的 PKI 智能卡。
PRISMAsync Print Server 是否检查整个智能卡证书路径的吊销状态取决于 PRISMAsync Print Sever PKI 智能卡配置。不会检查根证书的吊销状态。
PRISMAsync Print Server 仅接受整个证书路径可信任的 PKI 智能卡。
PRISMAsync Print Server 仅接受为使用 PKI 智能卡而颁发的智能卡证书。
PRISMAsync Print Server 是否检查输入的 PIN 或密码取决于 PRISMAsync Print Sever PKI 智能卡配置。当有多个用户时,登录窗口会显示一个下拉列表以供选择用户名。只有当智能卡 PIN 或密码正确时,PRISMAsync Print Server 才会进行用户身份验证。
当所有验证步骤都成功时,用户身份验证过程将会开始。
智能卡证书由 Certification Authority (CA) 颁发。此 CA 可以是另一个(中间)CA 或根 CA。根 CA 证书由根 CA 本身颁发。根 CA 证书是证书链的端点,并建立信任点。这样就创建了 CA 之间的关系。
如果智能卡证书已由受信任的 CA 验证,则可以信任它。PRISMAsync Print Server 将 CA 证书存储在受信任的证书列表中。
证书链确定如何对链中的证书进行验证。当用户使用智能卡登录时,PRISMAsync Print Server 立即验证智能卡证书链。
例如:
PKI 智能卡证书的身份验证PRISMAsync Print Server 读取智能卡证书的颁发机构字段,并验证颁发机构是否在受信任的证书列表中。如果颁发机构在该列表中,则 PRISMAsync Print Server 使用 CA 的公钥验证智能卡证书上的签名。
CA 证书由根 CA 颁发。因此,此 CA 证书是中间证书。现在,PRISMAsync 验证根 CA 是否在列表中。如果根 CA 在该列表中,则 PRISMAsync Print Server 使用根 CA 的公钥验证 CA 证书上的签名。
根 CA 证书由根 CA 本身颁发。可以使用根 CA 的公钥验证根 CA 证书上的签名。
当所有智能卡 CA 都被证明受信任时,PRISMAsync Print Server 会认为智能卡证书受信任。
通常,PKI 智能卡用户在 LDAP 目录服务器上有一个 LDAP 用户帐户。要支持这些用户帐户,您可以配置 PRISMAsync 域和所需的 PRISMAsync 域用户组。PKI 智能卡用户与其他域用户一样,从配置的 PRISMAsync 域用户组中获取其访问权限。
当用户插入 PKI 智能卡时,PRISMAsync Print Server 会读取智能卡证书中的 UPN (Universal Principal Name)。UPN 指的是存储智能卡用户帐户的 LDAP 域。
您可以配置 PRISMAsync Print Server 处理 UPN (Universal Principal Name)(指的是 PRISMAsync Print Server 上未配置的 LDAP 域)的方式。
PRISMAsync Print Server 标准和可配置行为将在下面的方案中说明。
用户组配置当 PKI 智能卡有效时,PRISMAsync Print Server 会检查域是否已知。
当域已知时,PRISMAsync Print Server 会检查用户帐户是属于一个还是多个 PRISMAsync 域用户组。
当找到一个或多个 PRISMAsync 域用户组时,将会接受该用户。
当找不到任何 PRISMAsync 域用户组时,将不会接受该用户。
当域未知时,PRISMAsync Print Server 会检查 PKI 智能卡配置。
当选中 [接受所有域的智能卡] 复选框并在 [未知域的智能卡的组] 列表中选择一个用户组时,将会接受该用户。
配置智能卡PRISMAsync Print Server 使用用户组访问权限来检查用户是否有权访问所需的选项和任务。