OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

Relaterede dokumenter
OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

OS2faktor. Pseudonym API. Version: Date: Author: BSG

OS2faktor. Brugervejledning. Version: Date: Author: BSG

OS2autoproces. Vejledning til AD importer løsningen

OS2faktor. Løsningsbeskrivelse. Version: Date: Author: BSG

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

OS2faktor. Overordnet løsningsbeskrivelse. Version: Date: Author: BSG

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

LUDUS Web Installations- og konfigurationsvejledning

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

Sundhedsdatastyrelsens Elektroniske Indberetningssystem (SEI)

Driftsudkast. OS2faktor

Installationsvejledning Installation af Digital Underskrift Enterprise

MSI pakke til distribution af AutoPilot komponenter.

Sundhedsdatastyrelsens Elektroniske Indberetningssystem (SEI)

BEC. NetScaler Unmanaged VPN. Installation. Bruger Vejledning. Version

EasyIQ ConnectAnywhere Release note

TDCs Signaturserver. 11/05 - Version TDC Erhverv Sikkerhed og certifikater

Streame fra Winamp til Dreambox/pc på netværk.

EasyIQ Opdatering > 5.4.0

DPR lokal persondatabase. Checkliste for CPR migrering

Installation af web-konfigurationsprogrammer

Citrix CSP og Certificate Store Provider

Nets - Medarbejder Signatur

Vejledning om installation af software til FOTM simulator og Docker

Godkendelsesdato Version Rettet af Rettelse(r)

estruktur og GroupWise installation

Opsætning af MobilePBX med Kalenderdatabase

Installation af web-konfigurationsprogrammer

Sektornet VPN. Opsætning af Novell 5.1 server og klient på. Windows 2000/NT/XP

Nykredit Portefølje Administration A/S

Vejledning til Teknisk opsætning

EasyIQ ConnectAnywhere Release note

IIS 8.0 & 8.5 & 10.0 SSL Administration

Serviceplatformen Vejledning til tilslutning af OS2MO som anvendersystem

HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE

FairSSL Fair priser fair support

FairSSL Fair priser fair support

Fuld installation af Jit-klient

Opsætning af klient til Hosted CRM

Projekt: VAX Integrator

Navision Stat (NS 9.2)

Vejledning til SmartSignatur Proof Of Concept

PID2000 Archive Service

Navision Stat 9.1. Installationsvejledning til NS CIS Invoker. Overblik. Side 1 af 8. ØSY/TJO/CPS Dato

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User

Installation af Web-konfigurationsprogrammer

FairSSL Fair priser fair support

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

Installationsmanual IP-Kamera Integration

Resumé NSI har udviklet en funktionel prototype med en visuel brugergrænseflade, der giver ikke-teknikere mulighed for at tilgå adviseringsservicen.

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

FairSSL Fair priser fair support

Navision Stat (NS 9.3)

Vejledning Installation af SonWin Server Customer Search

Installation og Drift. Aplanner for Windows Systemer Version 8.15

Åbning af porte og UPnP

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

Bruger Manual PC Valtronics Udendørs Kamera - Windows system

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

BOULEVARDEN 19E 7100 VEJLE LERSØ PARKALLE KØBENHAVN Ø TLF Unik Web Platform Installationsvejledning

Sådan installeres og teste WordPress på en lokal server

Sådan logger du ind... 2 Hvilke mapper kan du tilgå... 3 Visning af eksempel af en fil... 5 Sådan deler du en fil... 7 Se hvad du deler med andre...

Sektornet VPN Installationsvejledning Windows Vista/7

Projekt: VAX NemHandel 4.0

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

BOULEVARDEN 19E 7100 VEJLE LERSØ PARKALLE KØBENHAVN Ø TLF isyn Installationsvejledning

Kom godt i gang KMD VALG. Digital Valgliste Installationsvejledning Version 2.4.0

ESS Portal. Brugermanual Klager

UniLock System 10. Manual Import fra Outlook-kalender (Microsoft Exchange) Projekt PCS125 Version 2.0 Revision

Version Dato Beskrivelse /11/2012 Initial version /03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

Installationsvejledning til NemFaktura. IT-Service

FAQ til Web Ansøger, Web ejendomsfunktionær, Web investeringskunde og Web bestyrelse Installationsvejledning

Opdatering af ISOWARE til version 6.1.0

Application Note: AN-Z05

Understøttelse af LSS til NemID i organisationen

ProjectWise Explorer Installations Guide

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

FairSSL Fair priser fair support

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

GUIDE TIL CLOUD DRIVE

Håndbog Til CPR services. Bilag 10 Opsætning af CPR klienten til understøttelse af forskellige installationstyper

SIMS Active Directory Service 2.5 Quick Guide

Vejledning til Retsinformation web services test stubs

Introduktion OBS: Forberedelse

smart-house Web-Server Manual smart-house Web-Server Manual 1 of 15

Introduktion til NemID og Tjenesteudbyderpakken

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net

Simpel opsætning og brug af Sikker Mail.

Quick Guide. Version 0.9

Windows system administration 1

Installation af kalibreringsprogrammet. (BDE versionen)

Transkript:

OS2faktor Windows Credential Providers Version: 1.0.0 Date: 17.03.2019 Author: BSG

Indhold 1 Indledning... 3 1.1 Komponenter... 3 2 Forudsætninger... 3 3 Installation og konfiguration af OS2faktor Proxy... 3 3.1 Konfiguration... 4 3.2 Keystore til signering... 6 3.3 Start/stop af komponenten... 6 3.4 Test af Proxy komponenten... 7 3.5 Overvejelser omkring netværk... 7 4 Installation og konfiguration af OS2faktor Password Reset... 7 5 Installation og konfiguration af OS2faktor Login... 8 Digital Identity ApS, Bakkedraget 1, 8362 Hørning 2 / 9

1 Indledning Dette dokument beskriver installation og konfiguration af Windows Crendetial Providers til hhv Login med OS2faktor Password Reset med OS2faktor Målgruppen er it-teknikere i kommunen, der er ansvarlig for installation og opsætning af infrastruktur, samt udruldning af software til slutbrugerne. 1.1 Komponenter Dokumentet dækker følgende 3 komponenter, der indgår i den samlede OS2faktor løsning til hhv Login og Password Reset. OS2faktor Proxy Dette er en infrastrukturkomponent der skal driftes på en Windows Server i kommunens egen netværk. Den skal installeres og konfigureres for at nedenstående 2 komponenter kan fungere. OS2faktor Password Reset Credential Provider Dette er en såkaldt Credential Provider, der installeres på udvalgte Windows Servere, hvor man på den måde beskytter serveren, så det kun er muligt at logge på serveren med OS2faktor. OS2faktor Login Credential Provider Dette er endnu en Credential Provider, der kan installeres på medarbejdernes PC ere. Medarbejderne får så mulighed for at vælge et nyt kodeord vha NemID, hvis de har glemt deres normale kodeord. 2 Forudsætninger Alt relevant software kan hentes her https://www.os2faktor.dk/download.html Man skal envidere bruge en Windows Server 2016 til at afvikle proxy komponenten, da denne leveres som en Docker container, der er fuldt understøttet af Windows Server 2016. 3 Installation og konfiguration af OS2faktor Proxy OS2faktor Proxy komponenten er publiceret på Dockerhub https://cloud.docker.com/u/os2faktor/repository/docker/os2faktor/proxy Selve installationen af komponenten forudsætter at man har opsat en Windows Server 2016 til at kunne afvikle Docker containere. Dette gøres nemmest ved at følge denne vejledning https://docs.docker.com/install/windows/docker-ee/ Efter at Container featuren er blevet enabled i Windows Server Management (jf ovenstående link), så skal Docker Compose installeres. Dette gøres ved at hente softwaren fra dette link https://docs.docker.com/compose/install/ Digital Identity ApS, Bakkedraget 1, 8362 Hørning 3 / 9

Den pakke med Proxy konfigurationen der kan hentes fra OS2faktor download websitet, indeholder følgende filer docker-compose.yml config/application.properties config/nemid.properties config/pid.properties docker-compose.yml filen indeholder selve Docker konfigurationen for Proxy komponenten, og config folderen indeholder konfigurationen af Proxy softwaren. For at starte/stoppe Proxy komponenten anvendes Docker Compose. 3.1 Konfiguration docker-compose.yml filen er en nem måde at samle docker parametre i én konfigurationsfil, så man kan starte/stoppe Docker containeren uden at skulle huske en masse parametre (lidt som et smart powershell script). Den fil der følger med softwaren indeholder alt hvad der skal bruges, og den eneste indstilling man løbende vil rette i, er versions-angivelsen af Proxy komponenten. Versionen er altid angivet som et dato-stempel (fx 2019-03-17), og tilrettes til den version man ønsker at afvikle. På Dockerhub websitet (se link ovenfor) kan man se hvilke versioner der er frigivet. De 3 konfigurationsfiler i config folderen, indeholder konfigurationen af selve Proxy applikationen. Der refereres til forskellige keystores i konfigurationen, og i alle tilfælde skal man blot lægge keystore filen in config folderen, så kan Proxy en finde dem. application.properties Dette er styringsparametrene for Proxy komponenten, og filen er indelt i 4 afsnit. 1. afsnit - indstillinger der SKAL udfyldes ldap.url o Udfyldes med adressen på den domain controller som proxyen skal kommunikere med. Bemærk at det SKAL være over LDAPS (og ikke LDAP), dvs formatet skal være ldaps://xxxx, eksempelt vis nedenfor o ldaps://dc.kommune.dk ldap.base o Udfyldes med den rod i Active Directory hvor der skal ledes efter brugere, fx o CN=Brugere,DC=Kommune,DC=dk ldap.username o Udfyldes med UPN på en systembruger der må lave opslag i Active Directory (og må ændre kodeord på brugere hvis Password Reset anvendes), fx o svproxy@kommune.dk ldap.password o Udfyldes med kodeordet på ovenstående bruger ldap.cert.trustall o Sættes til true hvis LDAPS endpointet er beskyttet med et SSL certifikat som slutbrugerenes PC ere ikke stoler på 2. afsnit indstillinger vedrørende Password Reset Digital Identity ApS, Bakkedraget 1, 8362 Hørning 4 / 9

password.reset.enabled o Sættes til true hvis Password Reset skal bruges ldap.field.ssn o Sættes til den attribut i Active Directory hvor medarbejdernes personnummer står ldap.password.change.prevent.group o Sættes til værdien af den sikkerhedsgruppe i Active Directory, som man kan melde brugere ind i, hvis de IKKE må skifte kodeord vha NemID 3. afsnit indstillinger vedrørende OS2faktor Login login.enabled o Sættes til true hvis man ønsker at gøre brug af OS2faktor som en login mekanisme til udvalgte Windows Servere login.backend.apikey o Udfyldes med en API nøgle man har fået til OS2faktor infrastrukturen (man kan med fordel få en ny nøgle til dette specifikke formål) login.keystore.location o Udfyldes med navnet på en pfx/p12 fil, som skal anvendes til at beskytte login forespørgsler (se detaljer længere nede). Navnet skal udfyldes med classpath: foran, fx o classpath:keystore.pfx login.keystore.password o Udfyldes med kodeordet til ovenstående keystore fil 4. afsnit indstillinger vedrørende SSL certifikat Dette afsnit anvendes kun hvis man ikke har mulighed for at sætte en Netscaler, WAP eller lignende op foran Proxy en. server.ssl.key-store o Udfyldes med navnet på et pfx/p12 keystore, der har et SSL certifikat, som Proxy en skal anvende, fx o classpath:ssl.pfx server.ssl.key-store-password o Udfyldes med kodeordet til keystore filen server.ssl.key-password o Udfyldes med samme kodeord som ovenfor server.ssl-key-store-type o Udfyldes med værdien pkcs12 nemid.properties Denne fil er kun nødvendig at udfylde hvis man gør brug af Password Reset funktionaliteten. I så fald skal den udfyldes med konfigurationen for ens NemID tjenesteudbyderaftale. De 4 indstillinger der skal tilrettes er: Digital Identity ApS, Bakkedraget 1, 8362 Hørning 5 / 9

nemid.serviceprovider.logonto o Her indtastes navnet på ens NemID aftale (fx Min Kommune ) nemid.applet.parameter.signing.keystore o Her indtastet navnet på den pfx/p12 fil, som man skal bruge til at kalde NemID (i forbindelse med at man har indgået en aftale med NemID, har man også fået et tilhørende keystore). Der skal stå classpath: foran filens navn, eksempel vises nedenfor o classpath:os2faktor.pfx nemid.applet.parameter.signing.keystore.password o Her indtastet kodeordet til keystore filen nemid.applet.parameter.signing.keystore.alias o Her indtastes navnet på certifikatet fra keystore filen pid.properties Denne fil er kun nødvendig at udfylde hvis man gør brug af Password Reset funktionaliteten. I så fald skal den udfyldes med konfigurationen for den PID til CPR aftale man har indgået med Digitaliseringsstyrelsen De 3 indstillinger der skal tilrettes er: pid.serviceproviderid o Her indtastet aftale-id et fra PID til CPR aftalen pid.keystore.location o Her indtastes same værdi som i nemid.applet.parameter.signing.keystore fra nemid.properties filen pid.keystore.password o Her indtastes kodeordet til keystore filen (samme som for nemid.properties) 3.2 Keystore til signering Hvis man anvender OS2faktor Login funktionaliteten, skal proxy komponenten være konfigureret med et keystore til at beskytte svaret på login forespørgslen. Dette sikrer mod angreb hvor en 3.part kan omgå 2.faktor login ved at route forespørgslen til en ondsindet proxy komponent. Der skal anvendes et keystore med et certifikat. Der er ingen krav til at dette skal være et OCES certifikat, men man kan sagtens bruge et sådan hvis man ønsker. Bemærk at den offentlige del af dette certifikat skal installeres på alle de servere hvor man skal kunne logge på med OS2faktor. 3.3 Start/stop af komponenten Når komponenten er konfigureret, kan den startes og stoppes vha Docker Compose. Dette gøres med følgende kommandoer, der afvikles fra Powershell inde i folderen hvor dockercompose.yml filen ligger $ docker-compose.exe up -d Digital Identity ApS, Bakkedraget 1, 8362 Hørning 6 / 9

Ovenstående kommando starter Proxy komponenten som et baggrundsjob. Hvis man gerne vil se outputtet fra kørslen, kan man bruge docker ps til at finde ID et på applikationen, og docker logs xxxx, hvor xxxx er ID et, til at se outputtet fra applikationen. Man kan også starte applikationen uden -d, så kommer loggen direkte i powershell konsollen. $ docker-compose.exe down Ovenstående kommando stopper applikationen igen. 3.4 Test af Proxy komponenten Når man har installeret og startet Proxy en, vil den lytte på port 9500. Man kan desværre ikke tilgå den fra samme maskine som Docker kører på, men fra en anden maskine på netværket, vil man kunne tilgå den via sin webbrowser på DNS navn + port 9500. Man kan med fordel lade sin Netscaler, WAP eller lignende, mappe til port 443 (normal HTTPS). 3.5 Overvejelser omkring netværk Det er vigtigt at Proxy en kan nås fra de maskiner der skal anvende enten Login eller Password Reset funktionaliteten. Som udgangspunkt betyder det at man bør give Proxy en et DNS navn, og referere til Proxy en via denne, samt sikre at serveren kan nås fra de maskiner der skal tilgå den. Hvis man ønsker at Password Reset funktionaliteten kan tilgås fra Internettet, bør man også konfigurere sin Netscaler, WAP eller anden firewall, så den tilllader trafik fra internettet. Man kan med fordel håndtere SSL i sin firewall, så man ikke skal konfigurere det ude i Proxy en. 4 Installation og konfiguration af OS2faktor Password Reset OS2faktor Password Reset komponenten distribueres som en MSI pakke, der kan installeres på de maskiner der skal gøre brug af Password Reset fra Windows loginskærmen. MSI pakken kan hentes fra OS2faktor download sitet, og det anbefales at man bygger en ny MSI pakke, der indeholder tilpassede Windows Registry settings (eller at man ruller de fornødne Windows Registry settings på via anden kanal). Der er 2 indstillinger til OS2faktor Password Reset, som gemmes i Windows Registry, under denne nøgle HKLM -> Software -> Digital Identity -> OS2faktorCP Digital Identity ApS, Bakkedraget 1, 8362 Hørning 7 / 9

AllowedUrls. Her indtastes domænenavnet på Proxy komponenten (inkl port hvis den ikke kører på 443), samt domænenavnet på NemID (applet.danid.dk), adskildt med semikolon. ProxyUrl. Her indtastes den fulde URL på Proxy komponenten (inkl port hvis den ikke kører på 443) Password Reset komponenten anvender disse til at kommunikere med hhv NemID og Proxy komponenten. 5 Installation og konfiguration af OS2faktor Login OS2faktor Login komponenten distribueres som en MSI pakke, der kan installeres på de maskiner der skal gøre brug af OS2faktor til login. MSI pakken kan hentes fra OS2faktor download sitet, og det anbefales at man bygger en ny MSI pakke, der indeholder tilpassede Windows Registry settings (eller at man ruller de fornødne Windows Registry settings på via anden kanal). Denne MSI pakke kan også samtidige installere det certifikat som Proxy komponenten anvender til at beskytte login forespørgsler (eller man kan distribuere certifikatet på anden vis). Der er 2 indstillinger til OS2faktor Password Reset, som gemmes i Windows Registry, under denne nøgle HKLM -> Software -> Digital Identity -> OS2faktorCP Digital Identity ApS, Bakkedraget 1, 8362 Hørning 8 / 9

CertificateThumbprint. Her indtastes thumbprint på det certifikat som anvendes af Proxy komponenten til at beskytte login forespørgsler. ProxyUrl. Her indtastes den fulde URL på Proxy komponenten (inkl port hvis den ikke kører på 443) Digital Identity ApS, Bakkedraget 1, 8362 Hørning 9 / 9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback