Innehållsförteckning
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
...
Expandera | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||
|
Bakgrund
Den släppte Microsoft ett antal säkerhetsuppdateringar som införde ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).
...
Förändringen kommer att bli obligatorisk senast 9 maj 2023, men är frivillig fram tills dess , se KB5014754 för mer information från Microsoft om konsekvenser och åtgärder som kan vidtas vid installation av denna säkerhetsuppdatering.
Observera |
---|
OBS! Användaren kan få problem med inloggning redan när uppdateringen installeras efter 10 maj 2022, se avsnittet Övergångslösningar nedan. |
Inera har med hjälp av VGR och Östergötland två regioner tagit fram följande instruktion för åtgärder i lokalt AD för att användarna fortsatt kunna logga in till Windows med redan utfärdade SITHS-certifikat.Vi utreder möjligheten att lägga till den ”Object SID” (OID) som Microsoft pekar på i sin dokumentation för certifikat som utfärdas i framtiden.
Påverkade uppdateringar (KB’s)
...
ni har lagt till information i användarens AD-konton enligt nedan instruktion
den tvingande uppdateringen 9 maj
En avinstallation av aktuell uppdatering kan också göras som en tillfällig lösning.
...
Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto för att t fortsatt ska gå att logga in med SITHS-certifikat:
efter att
...
säkerhetsuppdatuppdateringen har installerats
eller
...
senast den .
Denna information baseras på Microsofts rekommendation på sidan KB5014754
Olika sätt att lägga till informationen
Organisation med synkronisering mot HSA
Info |
---|
Inom HSA pågår ett arbete med införa ett nytt attribut som organisationen kan synka till användarens AD-konto. Attributet kommer att införas i HSA schemaversion 4.20 som produktionssätts 2023-03-14. Den svenska benämningen för det nya attributet är ännu inte fastställd, men det tekniska namnet kommer att vara altSecurityIdentities. Attributet:
|
Om din organisation har en synkronisering mot mellan nationella HSA till lokal er lokala katalog, så kan ni även automatisera nedan omvandling omvandlingen av:
namn på certifikatutfärdare
...
certifikatets serienummer
vid synkronisering till mellan er lokala katalog och ert lokala AD genom att hämta ut det från de certifikat som publiceras till användarposterna i HSA-katalogen, se avsnittet Instruktionnedan.
Organisation utan synkronisering mot HSA
...
får ett nytt SITHS-kort
hämtar certifikat till ett SITHS-kort via Mina sidor (för både ordinarie kort och reservkort)
Instruktion
Ankare | ||||
---|---|---|---|---|
|
Vilka certifikat ska hanteras
De certifikat som ska hanteras är SITHS legitimeringscertifikat. Dvs certifikat med
...
För SITHS innebär det legitimeringscertifikat utgivna av
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1 (ordinarie kort)
eller
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 2 CA v1 (reservkort)
Nytt attribut i lokal katalog
...
Tillägg till användarens AD-konto
Ett tillägg i görs i användarens AD-konto i LDAP-attributet “altSecurityIdentites”.
Eventuellt skapas även ett motsvarande attribut på användaren övriga lokala Användarkataloger (ex. lokal/regional HSA-katalog).
De flesta egenskaperna hämtar vi ifrån Microsofts attributdefinition.
...
Innehållet i attributet ska vara:
X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning
Dvs.
X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01
...
74010e7f659d99ecb329ce41297701
Vart hittar jag Utgivande CA för certifikatet?
Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
CN=SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE
...
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1
...
Vart hittar jag certifikatets serienummer?
Serienumret hämtas från fältet Serienummer (Serial number) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
01772941ce29b3ec999d01772941ce29b3ec999d657f0e0174
Ska bli
74010e7f659d99ecb329ce412977019d99ecb329ce41297701