Не получается настроить авторизацию по смарт карте

Ответить

Смайлики
:D :) :( :o :shock: :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen:

BBCode ОТКЛЮЧЕН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Развернуть Обзор темы: Не получается настроить авторизацию по смарт карте

Re: Не получается настроить авторизацию по смарт карте

aka » Чт май 25, 2023 1:51 pm

Сроков нет. Когда-нибудь, когда сделаем остальное более востребованное.

Re: Не получается настроить авторизацию по смарт карте

Sergeant_48 » Чт май 25, 2023 12:04 pm

aka писал(а): Ср май 24, 2023 8:15 pmНет.
Есть ли это в планах? И если есть, то примерные сроки?

Re: Не получается настроить авторизацию по смарт карте

Sergeant_48 » Ср май 24, 2023 2:16 pm

Так же интересует вопрос Pin с NLA.
Нет ли подвижек?

Re: Не получается настроить авторизацию по смарт карте

aka » Пн дек 26, 2022 5:04 pm

Втварь умеет перенаправлять токены через RDP. С терминальными фермами перенаправление токенов через RDP тоже нормально работает. Это проверили и сертифицировали.

При перенаправлении токена через RDP втварь внутрь токена не залазит и ничего о пине и сертификатах не знает. Терминал пересылает байтики запросов от сервера токену и обратно, основной геморрой перенаправления - переоформлять виндовые запросы в линуксовые.

Для того, чтобы авторизоваться в NLA по токену, не нужно перенаправлять токен в RDP. Терминал сам должен спросить пин, самостоятельно залезть в токен и подписаться нужным сертификатом. Ничего общего с функционалом "перенаправление токена через RDP".

Re: Не получается настроить авторизацию по смарт карте

Python_Kaa » Пн дек 26, 2022 1:01 pm

kabraksis писал(а): Пн дек 26, 2022 11:33 am https://www.aladdin-rd.ru/company/press ... tov-wtware

Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
Подозреваю, что речь про опцию https://wtware.ru/docs5/config.html#smartcard

Re: Не получается настроить авторизацию по смарт карте

Elistan » Пн дек 26, 2022 11:48 am

Так же возникла необходимость в данном функционале.

Re: Не получается настроить авторизацию по смарт карте

alex2022 » Пн дек 26, 2022 11:38 am

Так же интересуют решение данного вопроса - корректная работа NLA + Token

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пн дек 26, 2022 11:33 am

https://www.aladdin-rd.ru/company/press ... tov-wtware

Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
Можете дать примерные сроки, когда NLA с токенами заработает?
Очень горячий для нас вопрос...

Re: Не получается настроить авторизацию по смарт карте

aka » Вт ноя 15, 2022 5:25 pm

Напоминать об этом на форуме. О чём пишут - то мы делаем. О чём не пишут, про то забываем. Сейчас по план Remote Desktop Gateway.

Re: Не получается настроить авторизацию по смарт карте

Python_Kaa » Вт ноя 15, 2022 3:06 pm

Чисто для общего развития - как можно стимулировать ускорение процесса?

Re: Не получается настроить авторизацию по смарт карте

aka » Пн ноя 14, 2022 8:10 pm

kabraksis писал(а): Пн ноя 14, 2022 4:07 pm 1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
mstsc.exe хочет идти через NLA даже если сервер не требует. Втварь не умеет смарт-карту через NLA.
kabraksis писал(а): Пн ноя 14, 2022 4:07 pm 2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
Воооот почему после 2003 (или 2008, не помню) сервера пропал интерес к логину по смарт-картам. Когда мы его только сделали, это работало само. Вставил карту, набрал пин, поехали. А потом что-то сломалось и все забросили это. Я уже и забыл...
Не судьба значит. Когда-нибудь сделаем NLA со смарт-картой, но в ближних планах этого нет. Слишком редко спрашивают.

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пн ноя 14, 2022 4:07 pm

1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).

Re: Не получается настроить авторизацию по смарт карте

aka » Пн ноя 14, 2022 2:33 pm

Такое ощущение, что она вообще всё игнорирует, что втварь ей присывает. И юзера, и пин.

Настрой подключение к брокеру в mstsc.exe. Сохрани в .rdp файл, кнопка "Save as..." в mstsc.exe. Проверь, что по клику на этот файл открывается правильное соединение и вся работает.

Затем открой этот .rdp файл обычным Notepad, там обычный текст. Добавь строку:

Код: Выделить всё

enablecredsspsupport:i:0
Сохрани, ещё раз запусти.

Что получится?

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пн ноя 14, 2022 1:14 pm

Отправил новый лог в почту.

Re: Не получается настроить авторизацию по смарт карте

aka » Пн ноя 14, 2022 12:33 pm

В логе, который у меня в почте, нет строки user=

Покажи новый лог.

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пн ноя 14, 2022 9:57 am

https://disk.yandex.ru/i/Kz5ZU9c2BtaSFg
Конфиг выглядит вот так сейчас.
connection
server=terminal.**SPAM**.local
displayName=RDP Connection
smartcard=etoken
ask_password=on
user=**SPAM**\user001

Результат на видео. Такое ощущение, что неверно пробрасывается PIN.

Re: Не получается настроить авторизацию по смарт карте

aka » Пн ноя 14, 2022 12:00 am

Первый этап - логин на брокера - можно пройти без мышекликания? Если в конфиге терминала указать имя юзера в параметре user= и ввести в втваревом запросе правильный PIN карты, хотя бы на брокера пустит сразу?

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пт ноя 11, 2022 4:56 pm

https://disk.yandex.ru/i/LS_-cSoCypeD9g

Вот так сейчас происходит авторизация, с выключенным NLA и опцией ask_password = on

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Пт ноя 11, 2022 4:43 pm

А как-то можно посмотреть наши логи, и сказать что нам сделать, чтобы без включенного NLA не происходила инетрактивная авторизация на коннекшен брокере? 2 раза вводить пин-код не очень удобно.

Re: Не получается настроить авторизацию по смарт карте

aka » Ср ноя 09, 2022 12:21 pm

1. Нет актуального списка поддерживаемых. Есть список токенов, которые могут работать: http://wtware.ru/docs5/config.html#smartcard

Если токена в спске нет, то из коробки он точно не заработает.

2. ask_password = on

http://wtware.ru/docs5/config.html#ask_password

Некоторые фермы передают пароль в пакете перенаправления, и тогда оно работает без ask_password= Но я не знаю, как это настраивается, код писали по чужим логам.

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Ср ноя 09, 2022 12:12 pm

Тогда 2 вопроса:
1. Где посмотреть актуальный список поддерживаемых токенов? (других производителей тоже)
2. оффтоп - у нас терминальная ферма с конекшен брокером и несколькими сешен хостами. Когда отключаешь NLA - приходится 2 раза вводить пароль (я так понял на конекшен брокере и на сешен хосте, на который конекшен брокер кинул). Это нормальное поведение?

Re: Не получается настроить авторизацию по смарт карте

aka » Ср ноя 09, 2022 11:31 am

Тепeрь не работает Rutoken S. К нему нет нормальных линуксовых драйверов, и свежие версии втвари его больше не поддерживают. Последняя версия втвари, которая понимала Rutoken S: http://wtware.ru/files/etoken.last/wtware.6.0.58.ru.exe

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Ср ноя 09, 2022 10:11 am

Вот скрины без включенного NLA, система просит вставить токен, хотя он установлен.
https://ibb.co/Hq1b4wR
https://ibb.co/3YPfCgJ

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Ср ноя 09, 2022 8:32 am

Добрый день.
NLA отключал, сервер перегружал.
Так же принудительный вход по смарт-карте пробовал. Увы, без результатов.

Re: Не получается настроить авторизацию по смарт карте

aka » Вт ноя 08, 2022 6:18 pm

Втварь не умеет авторизацию по смарт-карте при включенной NLA на сервере. Можно пробовать авторизацию ко карте только если выключить NLA на сервере:

https://wtware.ru/win/nla.html

Re: Не получается настроить авторизацию по смарт карте

kabraksis » Вт ноя 08, 2022 5:26 pm

Логи с терминала отправил в почту.

Не получается настроить авторизацию по смарт карте

kabraksis » Вт ноя 08, 2022 5:25 pm

Добрый день.
Не получается настроить авторизацию на терминальном сервере (Windows 2012 r2) по токену Rutoken.

Конфиг:
display=1920x1080
video=intel(U)
disk=usb
bpp=32
graphic=abcdefg
CLID=D2A9B02C1E2...
connection
server=10.10...
displayName=RDP Connection
smartcard =rutoken

При такой конфигурации, Wtware не запрашивает ввод пин-кода, а просит ввести Логин и Пароль.

Токен рабочий, авторизация на том же терминальном сервере с рабочей станции Windows проходит успешно.

Что я делаю не так?

Вернуться к началу