RE: [ml] Smart Card authentication con AD

* Gabriele Scolaro
> 
> Vorrei implementare l'autenticazione sul dominio Active 
> Directory con smart card (USB token) per circa 200 sensitive users.
> Abbiamo già in piedi un Enterprise CA hierarchy a 2 livelli: 
> 1 root offline CA e 4 issuing subordinate CAs che usiamo per 
> WPA[EAP-TLS] e EFS, tutto basato su PKI Microsoft.
> 
> Che USB token consigliereste? E' necessario o raccomandato 
> uno strumento di "token management"?
> (mi dicono che RSA, Gemalto e Aladdin siano i 3 leader di settore).
> 
> Ovviamente cerco una soluzione centralizzata che non richeda 
> interventi sui client e che dia solo "lievi mal di testa"! ;-)

Ciao,
io ho preso i token USB della Aladdin per adoperarli come strumento di
autenticazione di una VPN Checkpoint ma ho fatto anche qualche esperimento
con il dominio Windows.
Di particolare, ricordo che è necessario installare un driver che va a
sostituirsi alla GINA di Windows. Poi, il deployment manuale del certificato
con la CA di Microsoft è immediato e si effettua da console attraverso
Internet Explorer, che vedrà correttamente il token attraverso CSP
(criptographic service provider).
Ho riscontrato dei problemini quando si effettuano login 'misti', alternando
le normali password con la smartcard.

--
Domenico Viggiani