locked
SmartCard Logon et PKI Microsoft RRS feed

  • Discussion générale

  • Bonjour,

    J'utilise un login par smartcard logon. Tout fonctionnai correctement. Pour des raisons techniques j'ai décidé de migrer la PKI sur un autre serveur de Windows 2008 vers 2008 R2.

    Depuis, impossible de se connecter via des certificats générés par cette PKI, j'ai l'erreur suivant au login : 

     

    “The system could not log you on. You cannot use a smart card to log on because smartcard logon is not supported for your user account “

     

    Aucune modification n'a été faites en GPO etc et le smartcard logon fonctionnait correctement avant donc le souci vient forcement de la PKI.

    Je me demande s'il n'y a pas des choses à modifier dans l'AD (certificats à mettre à jour etc).

    Je ne trouve rien d'intéressant a propos de cette erreurs sur internet, j'en appel donc à vos compétences.

    Merci d'avance pour votre aide.

     

    vendredi 25 juin 2010 09:20

Toutes les réponses

  • Hello,

    Lance un certutil -scinfo et reviens nous donner les infos.


    -- Cédric GEORGEOT [MVP] Blog e-Novatic http://blog.e-novatic.fr
    dimanche 27 juin 2010 07:24
  •   Merci pour cette réponse, voici le résultat de la commande (j'ai volontairement remplacé les informations personnelles) :

     

     

    Subject: CN=Anthony user, OU=Users Internes, OU=Lyon, DC=domaine, DC=com
     Serial: 5bded22d00000000007f
     SubjectAltName: Autre nom :Nom principal=auser@domaine.com
     Template: SmartcardLogon
     8a 5b 2d f7 09 1a d4 d4 2a e9 f8 08 7c 0d 05 0c c7 3a 04 fe
     Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
     Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
     CRL 039d:
     Issuer: CN=CA, DC=domaine, DC=com
     70 25 ac ba 82 49 f0 96 c0 1f 92 61 75 a9 85 7a 03 58 66 fe
     Delta CRL 03a1:
     Issuer: CN=CA, DC=domaine, DC=com
     bd 4c a0 d6 93 e7 20 a6 27 17 69 9d f4 85 5a c5 54 a7 f7 30
     Application[0] = 1.3.6.1.5.5.7.3.2 Authentification du client
     Application[1] = 1.3.6.1.4.1.311.20.2.2 Ouverture de session par carte à puce
    
    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
     Issuer: CN=CA, DC=domaine, DC=com
     NotBefore: 07/06/2010 14:42
     NotAfter: 07/06/2025 14:52
     Subject: CN=CA, DC=domaine, DC=com
     Serial: 02a1bdbae75e79b14402bafba896af2a
     Template: CA
     d2 9f de 4f 81 5f 51 ef e0 68 0d 0b 95 a7 50 4a 68 fd ea 72
     Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
     Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
     Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    
    Exclude leaf cert:
     50 58 db dc 13 7c be d0 87 86 1d f2 f5 5f d0 dd 45 63 1a 90
    Full chain:
     c7 41 a4 f2 c4 7d 84 a7 c1 2d 3a 6e 2d ee b1 1e 54 0f 03 09
    ------------------------------------
    Stratégies d’émissions vérifiées: Aucun
    Stratégies d’application vérifiées:
     1.3.6.1.5.5.7.3.2 Authentification du client
     1.3.6.1.4.1.311.20.2.2 Ouverture de session par carte à puce
    Certificat AT_KEYEXCHANGE affiché pour le lecteur : Gemplus USB Key Smart Card Reader 0
    SCardGetCardTypeProviderName: Le fichier spécifié est introuvable. 0x2 (WIN32: 2)
    Impossible de récupérer le nom de fournisseur pour Classic TPC
    --------------===========================--------------
    
    Terminé.
    CertUtil: -SCInfo La commande s’est terminée correctement.
    

     

     

     

    Merci beaucoup pour votre aide !!!

     

    lundi 28 juin 2010 07:33
  • As-tu regénéré ton certificat utilisateur depuis le nouveau serveur CA ?
    -- Cédric GEORGEOT [MVP] Blog e-Novatic http://blog.e-novatic.fr
    lundi 28 juin 2010 14:50
  • Bien sur, c'est en effet la 1er étape que j'ai faite.

    J'ai d'ailleurs ressayé avec un nouveau certificat généré via CertSrv ce matin, sans succès.

     

    C'est l'erreur qui m'inquiète car elle n'est absolument pas parlante du tout :

    "The system could not log you on. You cannot use a smart card to log on because smartcard logon is not supported for your user account"

     

    Je n'ai jamais eut besoin de configurer quoi que se soit pour mes infra PKI avec smartcard logon. Je n'ai pas touché aux profils utilisateurs ou aux GPO sur des paramètres de logins...

     

    Merci de ton aide.

    lundi 28 juin 2010 15:27
  • Bonjour,

    Pour migrer la PKI sur un autre serveur de Windows 2008 vers 2008 R2, comment avez-vous procédé?

    Le nouveau serveur porte-t-il le même nom que l'ancien?

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    mardi 29 juin 2010 06:12
  • Pour migrer la PKI j'ai fait une sauvegarde de l'ancienne (clé + database) et j'ai recréer une nouvelle PKI sur l'autre serveur en utilisant les données de sauvegarde pour restaurer la PKI (donc même nom de PKI) mais le nom du serveur en lui même est différent.

    Le problème est à priori résolu mais je ne comprend pas pourquoi !!!

    En effet pour vous restituer l'architecture on à 2 serveur AD (SRVAD1 sur 2008 STD et SRVAD2 sur 2008 R2 STD par exemple) , l'AD1 dispose de tous les rôle AD. La PKI était sur ce serveur, cependant pour des raisons technique sur les modèles de certificats V2 on a du la migrer vers le SRVAD2. Là, le smartcard logon ne passait plus comme l'indique mon problème.

    En guise de dernière chance on a passé le rôle AD sur le SRVDC2 (ou la PKI est maintenant présente)... l'authentification par smartcard fonctionne !!!

     

    Je ne comprend pas trop, la restauration de la PKI s'était mal passé ? La restauration doit s'effectuer sur un serveur du même nom ?

     

    Merci pour vos explications...
    mardi 29 juin 2010 07:41
  • Bonjour,

    Je n'ai personnellement pas d'explication logique à première vue.

    Concernant le restore, c'est préférable, mais pas obligatoire, de restaurer vers un serveur portant le même nom car certains élément dans les certificats contiennent une référence vers le nom de l'autorité de certification, dont notamment, l'emplacement de la CRL.


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    mercredi 30 juin 2010 15:32