Ali uporabljate Kerberos SSO z avtentikacijo na podlagi potrdil (CBA), npr. za preverjanje intranetnih in datotečnih/ tiskalniških strežnikov? Če je tako, berite naprej!
Microsoft od maja 2022 pripravlja pobude za večjo varnost uporabe potrdil prek sistema Kerberos Key Distribution (KDC) v imeniku Active Directory. Od 11. februarja 2025 bodo morala potrdila odjemalcev vsebovati varnostni identifikator uporabnika (SID). Ta sprememba vpliva na vse odjemalce, vključno z operacijskimi sistemi Windows, Mac, iPhone in Android. Microsoft to spremembo označuje kot “močno preslikavo”.
Identifikator SID mora biti vključen v potrdila prek rešitve za upravljanje naprav (MDM). V tem blogu opisujemo, kako lahko posodobitev izvedete v aplikacijah Intune, MobileIron, Jamf in Workspace ONE.
Priporočamo, da pred namestitvijo Microsoftove posodobitve februarja 2025 v krmilnikih domen aktivirate način združljivosti. S tem boste zahtevo odložili do 10. septembra 2025, s čimer boste imeli več časa za pripravo rešitve. Več o načinu združljivosti si lahko preberete na koncu tega bloga.
Izvedbeni koraki za močno preslikavo:
1. Vključite način združljivosti
2. Posodobite SID v svoji rešitvi MDM
3. Preizkusite certifikat v novi napravi
4. Razdelite novo potrdilo napravam
5. Zagotovite, da bo profil razdeljen vsem napravam precej pred 10. septembrom 2025
Če imate vprašanja ali potrebujete pomoč, nas kontaktirajte.
Microsoft Intune
Alternativnemu imenu subjekta (SAN) v profilih SCEP je treba dodati novo oznako URI:
1. Odprite portal Intune Admin.
2. Pojdite v razdelek Naprave->Konfiguracija.
3. Poiščite vse politike “Certifikat SCEP”. Prilagodite samo profile za uporabnike in ne za naprave.
4. Spremenite profile SCEP tako, da dodate nov atribut pod Subject Alternative Name (Alternativno ime subjekta):
- Vrsta atributa: URI
- Vrednost:
{{OnPremisesSecurityIdentifier}}
5. Naprave bodo morale obnoviti svoja potrdila, npr. z ustvarjanjem novega profila SSO ali spreminjanjem obstoječega.
Več informacij o posodabljanju profila SCEP najdete v tem članku: [Implementing Strong Mapping in Microsoft Intune](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376)
Jamf Pro
Za računalnike in naprave:
1. Odprite konzolo Jamf Pro.
2. Pojdite v Nastavitve -> Upravljanje naprav -> Zbiranje inventarja in preverite, ali je omogočena možnost “Zbiranje podatkov o uporabniku in lokaciji iz imeniške službe”.
3. Pojdite v možnost Naprave -> Upravljanje naprav -> Atributi razširitev.
4. Ustvarite atribut razširitve (npr. OnPremisesSecurityIdentifier) z:
- Vrsta podatkov: String
- Prikaz inventarja: User and location
- Vrsta vnosa: Directory service attribute mapping
- Če uporabljate Entra ID, nastavite atribut imeniške storitve:
OnPremisesSecurityIdentifier
- Če uporabljate klasično storitev AD, nastavite atribut imeniške storitve:
ObjectSID
5. Poiščite spremenljivko atributa imeniške službe za ustvarjeni atribut razširitve (npr. `$EXTENSIONATTRIBUTE_4822`).
6. Polje se bo posodobilo med naslednjo posodobitvijo popisa.
7. Za vsak profil Kerberos SSO:
- Pojdite v razdelek SCEP ali koristni tovor potrdila.
- Pod Subject Alternative Name Value (Vrednost alternativnega imena subjekta) dodajte:
tag:microsoft.com,2022-09-14:sid:$EXTENSIONATTRIBUTE_#
(Zamenjajte`#` z vrednostjo spremenljivke iz 5. koraka).
Za več podrobnosti si oglejte Jamfov članek: [Supporting Microsoft Active Directory Strong Certificate Mapping Requirements](https://learn.jamf.com/en-US/bundle/technical-articles/page/Supporting_Microsoft_Active_Directory_Strong_Certificate_Mapping_Requirements.html)
MobileIron
Ta priročnik zajema storitev MobileIron on-prem. Za MobileIron Cloud (Ivanti Neurons za UEM) se za pomoč obrnite na nas.
1. Odprite skrbniški portal.
2. Pojdite v razdelek Politike in konfiguracije -> Konfiguracije.
3. Izberite profil vpisa potrdil, ki se uporablja za Kerberos SSO.
4. V profilu omogočite Microsoftov varnostni identifikator uporabnika.
5. Naprave bodo morale obnoviti svoja potrdila, npr. tako, da spremenijo profil SSO z uporabo potrdila.
Za Ivantijev vodnik si preberite: [Impact of KB5014754 on MobileIron Core]
Workspace ONE
Če namesto SCEP/NDES uporabljate integracijo ADCS CA:
1. Odprite upraviteljski portal.
2. Pojdite na Vse nastavitve -> Sistem -> Integracija podjetja -> Organi za izdajo potrdil -> Predloge zahtevkov.
3. Za vsako predlogo, ki se uporablja za potrdila Kerberos SSO:
- Omogočite možnost Vključi varnostni identifikator (SID).
- Posodobljeno predlogo shranite.
Naprave bodo morale obnoviti svoja potrdila, npr. tako, da ponovno pošljejo profil z nastavitvami Kerberos SSO.
Za konfiguracijo AD CS glejte priročnik Omnissa: [Omnissa Configuration Guide]
Če uporabljate SCEP/NDES, bo Omissina rešitev na voljo v različici 24.10.
Aktivacija načina združljivosti
Microsoft zagotavlja navodila tukaj: [Certificate-Based Authentication Changes on Windows Domain Controllers]
Na vseh domenskih krmilnikih nastavite naslednji ključ registra: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc
StrongCertificateBindingEnforcement = 1
Za več podrobnosti glejte to poglavje: [Registry Key Details]