martes, 22 de marzo de 2011

VDI rima con DNI (y funciona con DNIe...)

La tendencia hacia la virtualización de las aplicaciones, los procesos y los contenidos parece un proceso imparable. El puesto de trabajo virtual alojado remotamente y puesto a disposición del usuario a través de la red, potenciará la adopción del cliente liviano (thin client) en detrimento del PC tradicional, permitiendo reducir los costes en compras, mantenimiento y renovación de los ordenadores personales.

Según Gartner, el 15% de los PC de las empresas se virtualizarán en los próximos 5 años y el mercado mundial de los puestos virtualizados pasará de las 500.000 unidades en 2009 a los 43 millones en 2013.

En SmartAccess no somos ajenos a esta tendencia y movidos por las demandas de nuestros clientes hemos adaptado nuestros productos de autenticación fuerte en el puesto para operar en los entornos con VMWare View y con Citrix XenDesktop. Ya están disponibles versiones de SmartID para estos entornos que nos permiten convertir  las smartcard en la llave universal de acceso a los puestos virtuales.

Ya es posible emplear cualquier smartcard con certificado digital (incluido el DNI electrónico) para iniciar sesión de un cliente liviano (incluidos el DNI electrónico y los certificados CERES Clase 2 CA de la FNMT) con lector de smartcard, tanto con sistemas operativo Windows XPe como Linux.

Estos escenarios con especialmente recomendables para favorecer el teletrabajo seguro y la movilidad de los usuarios, permitiendo el acceso a su puesto, contenidos y aplicaciones desde cualquier lugar y desde prácticamente cualquier dispositivo.

Imaginemos un médico de un hospital que a primera hora accede a su puesto desde su despacho, y durante la visita desde cualquier terminal de planta y por la tarde desde su propia casa. Todo ello de forma segura,  sin utilizar contraseñas, tan solo su tarjeta de empleado con chip o su DNI electrónico y accediendo a todos sus contenidos y aplicaciones.

Un saludo
Rames

viernes, 18 de marzo de 2011

Mi DNIe es sordo y tartamudo

Mi DNI electrónico y yo nos conocemos desde hace más de cuatro años y desde entonces nos hemos separado  pocas veces. Él me acompaña casi sin protestar, y me ayuda a explicar a otras personas quien soy. No es que yo no pueda hacerlo, pero él lo hace mucho mejor, con esa pinta de serio que tiene siempre le hacen mucho más caso a él que a mí. Como además soy un poco tímido, siempre me da confianza poder tener a Deny (así le llamo) allí mismo para que me eche un cable cuando lo necesito.

La verdad es que Deny no me ha fallado nunca, siempre está ahí y no me protesta aunque le pida que me ayude varias veces al día. Ya hay pocos amigos así.

Pero estos días, ando un poco preocupado. Deny me ha dicho que le gusta Internet y me ha pedido en varias ocasiones que vayamos de paseo por los barrios cibernéticos para conocer gente nueva y ver que servicios ofrecen. Su padre le contó hace ya algunos años que él ha nacido para eso, ya que pertenece a la tribu de los Digitales y cuenta con un no se qué chip que le ayuda.

La cuestión es que Deny se comporta en Internet de forma muy rara, cada vez que algún hijo de servidor me interroga, se vuelve hacia mi y me dice, ¿cuál era tu PIN?. Yo le miré la primera vez con cara extrañada, pero después recordé a que se refería y corrí a la habitación a buscar un sobre que me dieron en la comisaría de Policía cuando conocí a Deny. En fin, que cada vez que me pregunta, yo leo el texto ilegible que hay en el sobre y se lo digo. El PIN parece esos textos que aparecen en los comics cuando un personaje esta muy enfadado. Algo como #@&%!!.

Bueno, ya he conseguido casi aprenderme ese maldito texto, pero Deny no quiere recordarlo bajo ningún concepto y me lo pide constantemente. Cada vez que le pregunto me dice que es por mi bien, pero yo he llegado a la conclusión de que Deny tiene poca memoria o pocas ganas de colaborar. Me pide que le repita el PIN a todas horas, se lo digo y a los pocos segundos me lo vuelve a pedir. Ya he comentado esto con él, pero insiste en que no le pasa nada, que es normal y todo lo hace por mi bien. Yo le indico que ese comportamiento me saca de quicio y que si no podría memorizar el texto aunque fuese un ratito, pero él sigue en sus trece. Total que hemos dejado de pasear por Internet y ya solo vamos juntos cuando salgo de casa.

Como le tengo aprecio y considero que esta actitud no puede ser normal, le llevé al médico a ver si se trataba de un virus. El médico negó con la cabeza, no tiene ningún virus me dijo. Y ¿por qué se comporta así. Doctor?. Me dijo: su amigo es un poco sordo y además tartamudea un poco cuando se pone nervioso, pero su orgullo le impide reconocerlo. ¿Y tiene cura Doctor?. Creo que sí, pero se trata de un tratamiento experimental que si tiene éxito podrá curar la sordera y tartamudez de todos los Deny. Pronto recibirá noticias mías.

Y me fui preocupado pero al tiempo esperanzado. Yo quiero mucho a Deny y haría lo que fuera para que este mejor, así que espero que esos genios que están preparando el tratamiento experimental terminen pronto y pueda probarlo con Deny a ver si mejora. ¿Tienes tú un Deny al que le pasa algo parecido?

Un abrazo
Rames

martes, 8 de marzo de 2011

¿Por qué no puedo iniciar sesión en Windows con mi certificado de la FNMT?

Voy a tratar de dar una respuesta sencilla

Afirmaciones:

  • El S.O. Windows soporta el inicio de sesión (logon) con smart card de forma nativa desde su versión 2000 - VERDADERO
  • Es necesario que la smart card contenga al menos un certificado digital X.509 para hacer logon - VERDADERO
  • Cualquier smartcard o tarjeta con chip es válida para iniciar sesión - FALSO (debe ser una smartcard criptográfica preparada para almacenar y operar con certificados digitales y que disponga de "drivers")
  • Cualquier certificado digital me vale para hacer logon - FALSO (debe contener unos datos especiales para permitir al S.O. saber con que usuario se desea hacer logon y en que dominio)
  • Puedo iniciar sesión aunque no tenga instalado el Directorio Activo de Microsoft - FALSO (Es imprescindible tener instalado el Directorio Activo o bien utilizar software de otras empresas)
  • El certificado debe tener una extensión propietaria llamada UPN para iniciar sesión - VERDADERO (sirve para indicar al S.O. que usuario y dominio se usarán para hacer el logon, esta información debe incluirse al emitir el certificado y posteriormente no se puede modificar)
  • Debo instalar los "drivers" de la smartcard antes de poder usarla - VERDADERO (estos "drivers" se llaman CSP o cardmodule y contienen las instrucciones que debe usar el S.O. para comunicarse con la tarjeta. Si no se instalan me aparecerá un mensaje al insertar la tarjeta en el lector. Se obtiene de la página del DNIe www.dnielectronico.es)

Si pero....:
  • ¿Se puede usar el DNIe como smartcard para iniciar sesión? - SI (pero necesito instalar antes su módulo criptográfico y el software SmartID o IDOne de SmartAccess)
  • ¿Se puede emplear la tarjeta de la FNMT con certificado CERES Clase 2 CA para iniciar sesión? - SI (pero igualmente necesito el software SmartID de SmartAccess, estos certificados no incorporan la información de inicio de sesión Windows)
  • ¿Qué smartcard y certificado puedo usar para iniciar sesión sin tener que usar el software de SmartAccess? - Un certificado profesional que contenga la información de inicio de sesión Windows (UPN) contenido en cualquier smartcard criptográfica con drivers para Windows
  • Y ¿Quien emite estos certificados? Los puede emitir mi propia empresa poniendo en marcha una PKI o bien solicitarlos a la FNMT (certificados APE), FirmaProfesional, Camerfirma, CatCert, IZENPE, ACCV, etc. especificando el UPN o nombre de inicio de sesión del usuario en formato usuario@dominio
  • ¿Es sencillo de poner en marcha? - DEPENDE (Por suerte existe una artículo en la web de Microsoft que lo explica "Guidelines for enabling smart card logon with third-party certification authorities" o como alternativa en SmartAccess nos ofrecemos a ayudarte a montarlo.

Un saludo
Rames