Description

Ce module permet d'ajouter une page de propriété sous l'onglet "Carte à puce" dans la console d'administration 'Utilisateurs et ordinateurs Active Directory'.

Cette page de propriété permet de personnaliser et enrôler les certificats nécessaires à l'utilisation d'une carte à puce. L'enrôlement se fait en liaison avec une PKI Microsoft (Microsoft Certificate Server).

Fonctionnement

Lorsque les propriétés d'un utilisateur sont affichées à partir de la console 'Utilisateurs et ordinateurs Active Directory', la page de propriétés 'Carte à puce' est ajoutée.

L'administrateur peut alors effectuer les tâches suivantes :

• Pré-personnaliser la carte, s'il s'agit d'une Cyberflex de Gemalto.
• Enrôler jusque trois certificats, suivants les modèles proposés par l'autorité de certification. Les informations nécessaires pour le certificat sont obtenues automatiquement par la CA, dans Active Directory.
• Imprimer la carte à l'aide d'une imprimante spéciale 'Carte plastique'.

Toutes ces opérations peuvent se dérouler en une seule étape.

Installation

L'extension correspond au fichier SCEXTPERSO.DLL. Ce fichier est copié dans le répertoire SYSTEM32 puis enregistré automatiquement lors de l'installation du package SCTOOLS.MSI.

Utilisation

Affichage de la page de personnalisation

L'administrateur sélectionne l'utilisateur pour lequel il désire créer une carte à puce, dans la liste des utilisateurs de la console 'Utilisateurs et ordinateurs Active Directory'. Puis, il édite les propriétés de l'utilisateur. Enfin, il sélectionne l'onglet 'Carte à puce'.

Personnalisation électrique d'une carte

L'administrateur sélectionne l'autorité de certification désiré dans le champ 'Nom de la CA'. A ce moment, les modèles de certificats disponibles pour cette autorité sont listés dans les champs 'Certificats ...'. L'administrateur peut alors choisir le modèle désiré pour l'authentification, le chiffrement et la signature. S'il ne désire pas de certificat, le choix 'Pas de certificat' doit être sélectionné.

L'administrateur doit ensuite sélectionner le certificat de l'agent d'enrôlement. Ce certificat est généré par la PKI. Il permet de garantir l'identité de l'administrateur. Par défaut, le premier certificat ayant le rôle d'agent d'inscription est sélectionné. Le bouton de sélection permet de choisir tout type de certificat. Cependant, seul un certificat de type agent d'enrôlement donnera satisfaction.

L'administrateur peut ensuite choisir de pré-personnaliser la carte. Cette pré-personnalisation consiste en l'effacement complet de la carte, puis au chargement de l'applet. Les paramètres de personnalisation peuvent être modifiés en sélectionnant le bouton 'Paramètres'.

Lorsque tous les champs sont validés, le bouton de personnalisation devient accessible. L'intitulé du bouton peut être :

• 'Pré-personnaliser' si seul ce choix est activé.
• 'Enrôler les certificats' si la pré-personnalisation n'est pas demandée.
• 'Personnaliser et enrôler' si la pré-personnalisation est demandée.
• 'Attente sélection...' lorsque le bouton n'est pas actif. C'est la cas tant que tout les champs de sont pas remplis.

Lors de la personnalisation et de l'enrôlement, une boite de dialogue affiche les étapes réalisées. La personnalisation peut être interrompue. Cependant, l'étapes en cours ne le sera pas.

Personnalisation graphique d'une carte

La personnalisation graphique n'est possible que si vous disposez d'une imprimante compatible pour les cartes plastiques.

La fenêtre de prévisualisation affiche une vue de la carte. Les boutons recto et verso permettent de choisir la face à afficher. Les champs modifiables sont représentés par des boutons dans l'image. Si vous sélectionnez un bouton dans la fenêtre de prévisualisation, une boite de dialogue s'affiche, vous laissant l'opportunité de modifier le texte, ou l'image suivant le cas. De plus, si le bouton est associé à un attribut d'Active Directory, le contenu de cet attribut peut être modifié dans Active Directory (si vous disposez des autorisations nécessaires). Une fois l'attribut Active Directory modifié, le bouton n'apparaît plus pour cet utilisateur. De même, si le champ Active Directory est renseigné, le bouton correspondant n'apparait pas. Les champs 'company' et 'jpegPhoto' sont utilisés.

Le bouton de configuration permet de modifier les paramètres d'impression.

Administration

tout les champs modifiés par l'administrateur sont sauvegardés dans un registre de l'utilisateur courant.

Le modèle d'administration ScExtperso.adm peut être ajouté aux modèles d'administration de l'ordinateur local ou du domaine. Ce modèle d'administration permet de modifier le comportement de l'extension et d'interdire certaines fonctions comme la pré-personnalisation, l'impression ou la sélection du certificat d'agent d'enrôlement.

Reportez vous aux descriptions fournis avec chacun des paramètres du modèle d'administration.