Innehållsförteckning
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
...
Expandera | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||
|
Bakgrund
Den släppte Microsoft ett antal säkerhetsuppdateringar som införde ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).
...
Förändringen kommer att bli obligatorisk senast9 maj , se KB5014754 för mer information från Microsoft om konsekvenser och åtgärder som kan vidtas vid installation av denna säkerhetsuppdatering.
...
ni har lagt till information i användarens AD-konton enligt nedan instruktion
den tvingande uppdateringen 9 maj
En avinstallation av aktuell uppdatering kan också göras som en tillfällig lösning.
...
Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto för att t fortsatt ska gå att logga in med SITHS-certifikat:
efter att säkerhetsuppdatuppdateringen har installerats
eller senast den 9 maj .
Denna information baseras på Microsofts rekommendation på sidan KB5014754
...
Organisation med synkronisering mot HSA
Info |
---|
Inom HSA pågår ett arbete med införa ett nytt attribut som organisationen kan synka till användarens AD-konto. Attributet kommer att införas i HSA schemaversion 4.20 som produktionssätts 2023-03-14. Den svenska benämningen för det nya attributet är ännu inte fastställd, men det tekniska namnet kommer att vara altSecurityIdentities. Attributet:
|
Om din organisation har en synkronisering mot mellan nationella HSA till lokal er lokala katalog, så kan ni även automatisera nedan omvandling omvandlingen av:
namn på certifikatutfärdare
...
certifikatets serienummer
vid synkronisering till mellan er lokala katalog och ert lokala AD genom att hämta ut det från de certifikat som publiceras till användarposterna i HSA-katalogen, se avsnittet Instruktionnedan.
Organisation utan synkronisering mot HSA
...
får ett nytt SITHS-kort
hämtar certifikat till ett SITHS-kort via Mina sidor (för både ordinarie kort och reservkort)
Instruktion
Ankare | ||||
---|---|---|---|---|
|
Vilka certifikat ska hanteras
De certifikat som ska hanteras är SITHS legitimeringscertifikat. Dvs certifikat med
...
För SITHS innebär det legitimeringscertifikat utgivna av
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1 (ordinarie kort)
eller
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 2 CA v1 (reservkort)
Tillägg till användarens AD-konto
Ett tillägg i görs i användarens AD-konto i LDAP-attributet “altSecurityIdentites”.
...
Innehållet i attributet ska vara:
X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning
Dvs.
X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01
...
74010e7f659d99ecb329ce41297701
Vart hittar jag Utgivande CA för certifikatet?
Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
CN=SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE
...
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1
...
Vart hittar jag certifikatets serienummer?
Serienumret hämtas från fältet Serienummer (Serial number) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
01772941ce29b3ec999d01772941ce29b3ec999d657f0e0174
Ska bli
74010e7f659d99ecb329ce412977019d99ecb329ce41297701