none
Как заставить 2008R2 видеть только локальные eToken и Smart Card в терминале (RDP)? RRS feed

  • Вопрос

  • Добрый день.

    Есть сервер на котором замечательно работал клиент банк (iBank2) через RDP, пока не появилась необходимость заменить ключевой файл на eToken. Это требование банка, старый меттод с файлом больше не поддерживается.

    Соответственно в RDP сессии iBank2 не видит токен, хотя он подключен, драйвер стоит, устройство видно в диспетчере устройств. Вопрос в том, как полностью запретить использование Smart Card и eToken перенаправленных через RDP? Похоже проблема как раз в настройках протокола.

    Уже сделано:

    1.Отключен редирект Smart Card через GPO: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection\Do not allow smart card device redirection

    2. Снята галочка со Smart Cards в настройках RDP connection на клиенте.

    Наверняка это отключило перенаправление Smart Card и eToken, но в терминальной сессии похоже просто не видно родного токена, подключенного к хосту.

    12 октября 2012 г. 9:58

Ответы

  • 1. Полагаю,  автор понял, что форум не является официальной тех. поддержкой.

    2. Майкрософт стремится к тому, чтобы любой автор вопроса получил ответ в течении 24 часов, но получение ответа это не гарантия получения решения проблемы.

    3. Предлагаю закрыть это направление обсуждения и обсуждать суть вопроса автора

    И так по существу вопроса.

    1. Понятен ваш сценарий работы: клиента банка должен работать при доступе с любого устройства.

    2. Когда был ключевой файл, то сценарий с терминальным сервером у вас работал, при появлении эл.ключа (ЭК) появилась проблема, которая заключается в том, что ЭК не виден в терминальной сессии, если его подключить к хосту.

    3. ЭК виден при подключении к консоле.

    Какие могут быть варианты?

    Для начала предположу, или даже буду отверждать, что ЭК выдан банком определенному лицу - руководителю или гл. бухгалтеру - и только это лицо имеет право его использовать, ЭК должен быть всегда у этого лица и не может быть передан другому лицу, т.к. это прямое нарушение соглашения с банком. (В реальности ЭК ключ передают рядовому исполнителю, но уж точно не всей бухгалтерии разом!)

    И так одному человеку надо увидеть ЭК на терминальном сервере. Самое очевидное это дать ему право консольного подключения. Да это права администратора и это издержки этого варианта. Полагаю это не смертельно :-)

    Второй вариант более правильный, когда ключ всегда у пользователя, и он подключает его к своему устройству. При подключении с обычного компьютера, я так понял, проблем нет: ЭК пробрасывается через RDP и распознается приложением - так и должно работать.

    Проблема есть в другими устройствами. Ответ простой: его устройство должно поддерживать 1. ЭК 2. Должно иметь полноценный RDP клиент, который умеет пробрасывать ЭК на сервер.

    Все это работает на iPad: 1. покупается софт для ЭК 2. Покупается RDP клиент - какие точно я не знаю, но поиск показывает что есть достаточно предложений и по первому и по второму пункту.

    Если у вас есть потребность настроить другой тип клиента, то ответ аналогичен iPad: нужно найти и купить соответствующий софт.

    Кстати буквально на днях должны появится в продаже устройства с Windows 8/RT, которые могут вами рассматриваться как вариант решения.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 29 октября 2012 г. 11:38
    19 октября 2012 г. 9:42
    Модератор
  • Я не против, если by design, то пусть логично посоветуют, как воспользоваться эти токеном на Galaxy Tab или iPAD. Мне нужна мобильность и возможность использовать этот функционал из любого места и с любого устройства.


    Этот вопрос следует задать разработчикам токенов и этих устройств. Microsoft реализовала поддержку смарткарт и токенов, разработчики токенов реализовали поддержку ОС windows (драйвера). а ты пытаешься чужие недоработки вылечить костылями и обходными путями (по сути взломом операционной системы) и ищешь пособников в этом деле у самого вендора ))
    • Помечено в качестве ответа Yuriy Lenchenkov 29 октября 2012 г. 11:37
    19 октября 2012 г. 14:36
    Модератор

Все ответы

  • Проверьте с консоли хоста.

    Сазонов Илья http://isazonov.wordpress.com/

    12 октября 2012 г. 10:55
    Модератор
  • Локально всё работает. 2008R2 стоит на ESXi, через консоль ESXi всё работает, токен виден.
    12 октября 2012 г. 11:25
  • насколько я знаю, не все токены поддерживают работу в таком режиме

    12 октября 2012 г. 13:17
    Модератор
  • Я бы сказал, что все не поддерживают, но дело не в токенах. А в механизме работы RDP. Вот тут:

    http://lifayk.blogspot.com/2012/07/windows-smart-card-subsystem-and-remote.html?showComment=1350044748812#c1075617583267243618

    есть подробная информация и Workaround, но хотелось-бы чего-нибудь более наглядного и проверенного.

    • Предложено в качестве ответа Dmitry NikitinModerator 12 октября 2012 г. 14:25
    • Отменено предложение в качестве ответа Valar0 16 октября 2012 г. 6:08
    • Предложено в качестве ответа mtimley 26 апреля 2016 г. 15:23
    12 октября 2012 г. 13:52
  • Попробовал отключить перенаправление USB устройств Remote FX - не помогло.

    Что скажут господа из Microsoft?

    17 октября 2012 г. 10:06
  • Здесь кто-нибудь вообще бывает?
    18 октября 2012 г. 10:33
  • Что скажут господа из Microsoft?
    Господа из Microsoft здесь бывают исключительно по личной инициативе и больше на общих с остальными участниками правах - это не их обязанность, не стоит эмоционировать - форумы TechNet никакими SLA не покрываются.
    18 октября 2012 г. 12:38
    Отвечающий
  • По телефону поддержки обещают 24 часа, позвоните - спросите, если не верите. Но я понимаю, что 24 часа это фантастика, однако ни одного дельного предложения за неделю, это уже напрягает.

    18 октября 2012 г. 13:57
  • Напишите в англоязычную ветку, там обычно более оперативней отвечают.
    18 октября 2012 г. 14:01
  • к тому же автор сам ответил на свой вопрос - данная конфигурация не поддерживается, а значит проверенных вендором решений нет, и поддержка Microsoft не должна решать эту проблему. обходными путями можно пользоваться на свой страх и риск.

    18 октября 2012 г. 14:04
    Модератор
  • Не путайте кислое с пресным. Я сказал, что скорее всего не работает по такой-то причине -выдвинул гипотезу. И попросил вендора помочь причину устранить. Так что Microsoft должна решать эту проблему, тем более она не у меня одного. Если скажут обходной путь, который работает - я им воспользуюсь.
    18 октября 2012 г. 14:39
  • В любом случае эти форумы не являются офиц. поддержкой.
    18 октября 2012 г. 14:53
  • ну если вы считаете что Microsoft вам что то должна, то обратитесь в техподдержку и откройте тикет по проблеме.

    но мне кажется что так должно работать by design, и выглядит это логичным - токены и смарткарты созданы для безопасного хранения закрытый ключей, и вставляться они должны непосредственно пользователем на клиентском устройстве, а не торчать непонятно где и быть доступным непонятно кому из RDP.

    18 октября 2012 г. 14:59
    Модератор
  • Юра Арматура

    Скажите тогда пожалуйста, какого меня отправляют на форум по 88002008001? Получается, что из официальной поддержки отправляют в неофициальную? Бардак.

    Dmitry Nikitin

    Я не против, если by design, то пусть логично посоветуют, как воспользоваться эти токеном на Galaxy Tab или iPAD. Мне нужна мобильность и возможность использовать этот функционал из любого места и с любого устройства.

    19 октября 2012 г. 6:56
  • Скажите тогда пожалуйста, какого меня отправляют на форум по 88002008001?
    Получается, что из официальной поддержки отправляют в неофициальную? Бардак.
    Ну так почему бы не задать этот вопрос операторам при перенаправлении? :) не добьётесь вы тут ничего возгласами - здесь Microsoft-related community, но далеко не офиц. саппорт - люди помогают исключительно из личных побуждений и основываясь на личном опыте. По вашей ситуации опыта нет - а уж сотрясать воздух и хаять вендора можно и на других ресурсах...
    19 октября 2012 г. 7:03
    Отвечающий
  • 1. Полагаю,  автор понял, что форум не является официальной тех. поддержкой.

    2. Майкрософт стремится к тому, чтобы любой автор вопроса получил ответ в течении 24 часов, но получение ответа это не гарантия получения решения проблемы.

    3. Предлагаю закрыть это направление обсуждения и обсуждать суть вопроса автора

    И так по существу вопроса.

    1. Понятен ваш сценарий работы: клиента банка должен работать при доступе с любого устройства.

    2. Когда был ключевой файл, то сценарий с терминальным сервером у вас работал, при появлении эл.ключа (ЭК) появилась проблема, которая заключается в том, что ЭК не виден в терминальной сессии, если его подключить к хосту.

    3. ЭК виден при подключении к консоле.

    Какие могут быть варианты?

    Для начала предположу, или даже буду отверждать, что ЭК выдан банком определенному лицу - руководителю или гл. бухгалтеру - и только это лицо имеет право его использовать, ЭК должен быть всегда у этого лица и не может быть передан другому лицу, т.к. это прямое нарушение соглашения с банком. (В реальности ЭК ключ передают рядовому исполнителю, но уж точно не всей бухгалтерии разом!)

    И так одному человеку надо увидеть ЭК на терминальном сервере. Самое очевидное это дать ему право консольного подключения. Да это права администратора и это издержки этого варианта. Полагаю это не смертельно :-)

    Второй вариант более правильный, когда ключ всегда у пользователя, и он подключает его к своему устройству. При подключении с обычного компьютера, я так понял, проблем нет: ЭК пробрасывается через RDP и распознается приложением - так и должно работать.

    Проблема есть в другими устройствами. Ответ простой: его устройство должно поддерживать 1. ЭК 2. Должно иметь полноценный RDP клиент, который умеет пробрасывать ЭК на сервер.

    Все это работает на iPad: 1. покупается софт для ЭК 2. Покупается RDP клиент - какие точно я не знаю, но поиск показывает что есть достаточно предложений и по первому и по второму пункту.

    Если у вас есть потребность настроить другой тип клиента, то ответ аналогичен iPad: нужно найти и купить соответствующий софт.

    Кстати буквально на днях должны появится в продаже устройства с Windows 8/RT, которые могут вами рассматриваться как вариант решения.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 29 октября 2012 г. 11:38
    19 октября 2012 г. 9:42
    Модератор
  • у меня есть подозрение что право консольного подключения (полагаю речь идет о ключе /admin) не поможет - начиная с 2008 винды это теперь не консоль (нулевая сессия как было в 2003), а просто режим администрирования со всеми вытекающими: консоль не блокируется, зайти может два админа.

    вообще, если речь конечно не о домашнем личном банк-клиенте, давать доступ к ключам терминальным пользователям это как минимум грубое нарушение норм безопасности и правил банка (кстати попробуй этот вопрос задать поддержке банка :))), а давать доступ с айпедиков и прочих детских радостей вообще выходит за рамки разумного - любая более менее адекватная СБ не допустила бы даже установку банк-клиента не терминальный сервер, не говоря уж о ключах.

    19 октября 2012 г. 14:29
    Модератор
  • Я не против, если by design, то пусть логично посоветуют, как воспользоваться эти токеном на Galaxy Tab или iPAD. Мне нужна мобильность и возможность использовать этот функционал из любого места и с любого устройства.


    Этот вопрос следует задать разработчикам токенов и этих устройств. Microsoft реализовала поддержку смарткарт и токенов, разработчики токенов реализовали поддержку ОС windows (драйвера). а ты пытаешься чужие недоработки вылечить костылями и обходными путями (по сути взломом операционной системы) и ищешь пособников в этом деле у самого вендора ))
    • Помечено в качестве ответа Yuriy Lenchenkov 29 октября 2012 г. 11:37
    19 октября 2012 г. 14:36
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    26 октября 2012 г. 12:05
  • Valar0

    если вопрос еще актуален, то по вашей предложенной теме были пропатчены dll. замените нужную в зависимости от битности, проверьте и отпишитесь о результатах.

    у меня не получилось, но сделано все как описано в блоге.

    rusfolder.com/36373617

    Я бы сказал, что все не поддерживают, но дело не в токенах. А в механизме работы RDP. Вот тут:

    http://lifayk.blogspot.com/2012/07/windows-smart-card-subsystem-and-remote.html?showComment=1350044748812#c1075617583267243618

    есть подробная информация и Workaround, но хотелось-бы чего-нибудь более наглядного и проверенного.




    • Изменено rabocii 15 мая 2013 г. 15:18