...
- Inställningar som kan göras för Thales Safenet Authentication Client (SAC) - Se "Administrator guide"
- Information om kompatibilitet för kortläsare och operativsystem för SAC minidriver i MD-paketeringarna av SITHS eID-appen för Windows - "Se Release Notes"
- ADMX/ADML-filer som kan användas för styrning av inställningar för SAC minidriver via Grupp principer (GPO)
...
Expandera | |||||
---|---|---|---|---|---|
| |||||
InstallationsparameterarInstallationspaketet för appen levereras endast som en .exe fil. Detta beror på att att denna installation i sin tur består av ett antal MSI-paket från Ineras olika leverantörer. Installationspaketet stödjer ett antal flaggor som kan användas om installationen ska köras via en kommandotolk eller som en oövervakad installation. Vilka installationsflaggor som finns kan visas genom flaggan /?. pkg-fil. Exempel: <installationsfilensnamn> /? Oövervakad/Tyst installationKan genomföras genom installationsflaggorna /quiet eller /passive Varning om att lita programvara från Thales DIS
För äldre versioner av SITHS eID-appen för Windows i MD-paketering (SAC minidriver) måste man för tyst installation installera tillit till Thales kodsigneringscertifikat. Se rubriken /wiki/spaces/ST/pages/3733815473 för information om hur tillit installeras Varningen kommer från hur Windows hanterar installation av drivrutiner som inte är certifierade av Microsoft. Drivrutinerna från Thales som används för autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) är ännu inte certifierade av Microsoft. För användare som gör denna installation manuellt kan man gå vidare genom att välja "Installera" i användardialogen nedan. Valet i rutan "Lita alltid på programvara från Thales DIS CPL USA, Inc." avgör huruvida tillit till Thales kodsigneringscertifikat ska installera permanent på aktuellt dator eller om datorn endast ska lita på certifikatet för den pågående installationen. Installera tillit till Thales kodsigneringscertifikat Ankare | | tillit_thales_kodsigneringscertifikat | tillit_thales_kodsigneringscertifikat |
Konfiguration efter installation
Efter installation kan vissa inställningar i Windowsregistret preferences göras för att justera hur SITHS eID-appen och SAC ska fungera.
Paketeringar som innehåller SAC minidriver (MD-paketen)
...
title | Visa urval av inställningar som kan justeras för MD-paketeringar (SAC minidriver) efter installation |
---|
Info |
---|
Detta avsnitt gäller endast för autentiseringslösningar baserade på Dubbelriktad TLS (mTLS) och därmed de paket av SITHS eID-Windowsapp som innehåller SAC minidriver. Se mer information om hur certifikat läses från SITHS-kortet till datorn och de två olika autentiseringslösningarna på denna sida: Inläsning av SITHS-kort på Windows Följande inställningar kan även justeras med hjälp av de ADMX/ADML-filer som finns publicerade på Thales sidor för respektive version av SAC |
Aktivera "PIN-SSO"
Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger.
Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv:
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogon value=2 |
PIN-SSO nollställs automatiskt när:
- Den timeout som kan definieras enligt rubriken nedan uppnås, se /wiki/spaces/ST/pages/3733815473
- Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
För att stänga av detta beteende justeras registervärdet enligt nedan
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogon value=0 (SSO AVSTÄNGD) |
Info |
---|
Om ni lägger till ovan nämnda registervärden under ALLA användarprofiler på datorn (HKEY_CURRENT_USER) med hjälp av Grupprinciper/Group policies (GPO:er) i er miljö kan ni få PIN-SSO att nollställas även vid:
|
Möjliga värden för denna inställning är:
- 0 - SAC begär pin när det behövs
- 1 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2
- 2 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2 och PKCS#11
...
Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid
Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till en timeout om 4h:
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogonTimeout value=14400 (timeout i sekunder --> dvs 4h) |
För att ändra detta beteende justeras registervärdet enligt nedan:
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogonTimeout value=<ange timeout i sekunder> |
Utöver denna timeout nollställs pin-SSO när:
- Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
Stäng av installation av rotcertifikat
Info |
---|
Från och med version 2.0.8481 av SITHS eID-appen för Windows (som använder SAC minidriver 10.8.2701) är denna funktion avstängd som standard. |
...
.
...
SITHS
...
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\CertStore\
DWORD: PropagateCACertificates value=0 (Installation inaktiverad) |
Möjliga värden för denna inställning är:
- 0 - SAC försöker inte installera tillit till rotcertifikat från SITHS-kortet på användarens dator
- 1 - SAC försöker installera tillit till rotcertifikat från SITHS-kortet på användarens dator
Aktivera loggning för Dubbelriktad TLS/Mutual TLS (mTLS) - SAC minidriver
Info |
---|
Aktivera endast loggning när du försöker återskapa felet och ska ta ut en logg att skicka in till supporten. Detta eftersom loggningen skriver stora mängder loggar. |
- Töm mappen C:\Windows\Temp\eToken.log på eventuella gamla loggfiler
- Skapa en registernyckel vid namn Log
- På följande plats i Windows-registret: HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC
- Under registernyckeln Log skapas följande registervärden som 32-bitars värde (DWORD)
- Enabled = 1
- 0 - Loggning avstängd
- 1 - Loggning startad
- Enabled = 1
- Starta om datorn för att börja fånga loggar
- Återskapa felet
- Stäng av loggning igen genom att sätta Enabled= 0
- Starta om datorn
- Loggfilerna samlas i mappen C:\Windows\Temp\eToken.log på datorn
- Spara mappen eToken.log som en zip-fil och bifoga den till ärendet
- Om filen blir stor kan vi behöva be Thales skapa en länk för uppladdning av filen. Denna kommer då att skickas direkt till den kontaktperson som skapade ärendet hos Inera support.
...
Övriga registervärden för logginställningar:
- När loggning aktiverats kommer följande även följande defaultvärden användas. Dessa kan justeras via egna 32-bitars värden (DWORD), men vi rekommenderar att ni låter dem vara kvar på default.
- Days = 1
- Antal dagar som loggen skapas
- MaxFileSize = 2000000 (2Mb)
- Maxstorlek för respektive loggfil i mappen eToken.log
- Days = 1
- Registervärdet TotalMaxSize = 20000000 (20 miljoner = 20Mb) kan skapas för att styra den totala maxstorleken på hela mappen eToken.log. Observera dock att denna inställning kan medföra att äldre loggar som behövs vid felsökning kan komma att skrivas över av nyare loggar.
- Maximal filstolek på hela mappen eToken.log
Loggning för Dubbelriktad TLS/Mutual TLS (mTLS) med SAC minidriver i Windows loggbok (event viewer)
- Skapa värdet EnableLogEvents som ett 32-bitars värde (DWORD)
- På följande plats i Windows-registret HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\General
- Dessa syns sedan i Windows Event Viewer i loggen Application med Source=SAC
För organisationer som inte använder AD-inloggning med SITHS eID på kort
OM ni inte använder AD-inloggning kan denna funktionalitet stängas av via följande registerinställningar
Inaktivera upplåsning med PUK (Lås upp PIN) vid Windows inloggningsskärm
Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
DWORD: Disabled value=1 (Döljer valet att låsa upp ett blockerat kort med PUK-koden. Menyvalet vid namn "Lås upp PIN") |
Möjliga värden för denna inställning är:
- 1 = Valet att låsa upp med puk är dolt
- 0 = Valet att låsa upp med puk syns
Inaktivera valet för användaren att logga in med smartkort vid Windows inloggningsskärm
Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
DWORD: Disabled value=1 (Döljer valet för smartkort) |
Möjliga värden för denna inställning är:
- 1 = Valet att logga in med smartkort är dolt
- 0 = Valet att logga in med smartkort syns
SITHS eID-appen
Expandera | |||||
---|---|---|---|---|---|
| |||||
Vid installation av ENV-paketen kan miljöbytesfunktionaliteten inaktiveras och appen styras mot en specifik miljö via Windowsregistret. För att göra detta behöver:
Stäng av miljöbyteMöjliga värden:
Exempel för hur man stänger av miljöbytesfunktionaliteten genom att ändra följande strängvärde under HKLM.
Styr standardmiljö
Möjliga värden:
Exempel för hur man styr appen att alltid gå mot Produktionsmiljön genom att ändra följande strängvärde under HKLM. Kodblock | |
Kända fel
Visar kända fel i senaste versionen av SITHS eID-appen.
...