none
Внедрение смарткарт-авторизации RRS feed

  • Вопрос

  • Здрасьте

    Есть идея внедрить авторизацию по смарткартам. В том числе заходить по RDP на сервера с помощью смарткарт

    AD на базе Windows 2008 R2 работает в режиме Windows 2008. Два центра сертификации на каждом из DC. Инфраструктура сертификатов настроена, соответствующие шаблоны сертификатов внедрены, сертификат агента регистрации установлен, сертификаты для пользователей выдаются и внедряются в карты. Делали по этому описанию:

    It's hard to tell from the screenshots exactly what's missing, but it may simply be that some of the old mechanisms that were present in the 2000/2003 versions of Certificate Services Web Enrollment Pages are no longer present in 2008/2008 R2.  Specifically, enroll on behalf of is no longer supported through the web pages.  So if you're following the old directions and they are having you look for that option, that may be why it's not showing up.  You'll need to use the MMC to enroll instead.

    Can you give these steps a try and see if they work any better for you?

    Step by Step to get Smartcard working on Windows 2008 / R2

    1. Install a Windows 2008 CA

    2. Create a user/group in AD to use as Enrollment Agent

    3. After installation, open the Certificate Authority Management console on the CA.

    4. Right Click on Certificate Templates and select Manage.

    5. Change the permissions on the following template so the account created in step 2 has read and enroll permissions:

    • Enrollment Agent
    • Smartcard User
    • Smartcard Logon

    6. Publish the above mentioned templates to the CA

    7. Log on to the enrollment workstation (below steps assume that the OS is Vista or higher. When using the Windows 2008 Web Enrollment or Windows 2003 Web Pages with update 922706, ROB functionality is not present via web interface)

    • Open Certificate Management Console by running certmgr.msc
    • Select the 'Personal Store'; and from the context menu select All Tasks->Request New Certificate
    • Select the "Enrollment Agent" template to get a certificate which will later be used for signing.
    • Select "Enroll" to finish the wizard and get a certificate
    • Next, select the "Personal Store" and from the context menu, select All Tasks-> Advanced Operations-> Enroll on behalf of
    • When prompted to select a signing certificate, select the "Enrollment Agent Certificate" enrolled earlier
    • Next, it will show all the available templates, select "Smartcard Logon" or "Smartcard User" based upon the requirement
      Click on Details for the selected template and then select Properties for the same
    • On the "Private Key" tab, click on "Cryptographic Service Provider" and select the appropriate CSP (If you have a smartcard which works out of the box and doesn't require a middleware CSP, then you can select "Microsoft Base Smart Card Crypto Provider)
    • Select the user for whom you want to enroll the certificate
    • Insert the smartcard in the reader and when prompted, enter the PIN
    • The information would be written to the smart card and you can repeat the same  process for another account or close the wizard to complete it.

    Note: Microsoft Base CSP update (KB909520) along with any other middleware (CSP) should be installed on the enrollment workstation and on the client machines where the smartcard would be used.

    Используем картридер Athena ASEDrive IIIe USB v2 и карты eToken Pro Java. Соответствующий софт стоит на компах, на которые планируем заходить с помощью смарткарт.

    С виду всё работает. Смарткарта видется, пин запрашивается, сертификат прокидывается на комп. Но при попытке залогинится на комп (удалённо или локально, не важно) мы получаем вот такую не понятную надпись: Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий". Что с этим делать не понятно.

    Помогите.

    • Изменено GoodwiN 23 мая 2013 г. 6:22

Ответы

Все ответы

  • Ну есть у кого-нибудь идеи? Подскажите хотя бы куда копать

  • Ну почему же есть вот решение или куда надо писать.


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • Большое спасибо.

    Извинияюсь за оффтоп

  • Дело было не в бабине

    Может кому пригодиться

    Для всех сертификатов перечисленных в пункте 5 вышеизложенной инструкции надо создавать дубликат. Дубликат доблжен быть для Windows 2003 Enterprise. Во всех дубликатах надо настроить CSP (вкладка Request Handling): включить верхний пункт "Request can use any CSP available..." Без этого при логине с помощью карты будет возникать сообщение Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий".

  • Ещё раз хочу поднять тему смарт-карт

    Я правильно понимаю? Если включаешь политику "Интерактивный вход в систему: требовать смарт-карту" на всех серверах и ломается центр сертификации, то войти на сервера не удастся. Тогда как чинить центр сертификации?..

    Поясните, пожалуйста, этот момент

  • Насколько я помню, Вы должны при планировании внедрения предусмотреть существование учёток, не требующих смарткарты для авторизации, именно на такой случай.


    Сквозь сиреневый дым...

  • Политика Интерактивный вход в систему: требовать смарт-карту - это политика на компьютер, а не на пользователя. Какую учётку я бы не создал, она всё равно не зайдёт на компьютер где включена эта политика без смарт-карты...


    • Изменено GoodwiN 3 июня 2013 г. 11:14
    2 июня 2013 г. 19:25