Не получается настроить авторизацию по смарт карте

eToken, Рутокен, BIFIT iBank и другие
Ответить
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Добрый день.
Не получается настроить авторизацию на терминальном сервере (Windows 2012 r2) по токену Rutoken.

Конфиг:
display=1920x1080
video=intel(U)
disk=usb
bpp=32
graphic=abcdefg
CLID=D2A9B02C1E2...
connection
server=10.10...
displayName=RDP Connection
smartcard =rutoken

При такой конфигурации, Wtware не запрашивает ввод пин-кода, а просит ввести Логин и Пароль.

Токен рабочий, авторизация на том же терминальном сервере с рабочей станции Windows проходит успешно.

Что я делаю не так?
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Логи с терминала отправил в почту.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

Втварь не умеет авторизацию по смарт-карте при включенной NLA на сервере. Можно пробовать авторизацию ко карте только если выключить NLA на сервере:

https://wtware.ru/win/nla.html
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Добрый день.
NLA отключал, сервер перегружал.
Так же принудительный вход по смарт-карте пробовал. Увы, без результатов.
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Вот скрины без включенного NLA, система просит вставить токен, хотя он установлен.
https://ibb.co/Hq1b4wR
https://ibb.co/3YPfCgJ
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

Тепeрь не работает Rutoken S. К нему нет нормальных линуксовых драйверов, и свежие версии втвари его больше не поддерживают. Последняя версия втвари, которая понимала Rutoken S: http://wtware.ru/files/etoken.last/wtware.6.0.58.ru.exe
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Тогда 2 вопроса:
1. Где посмотреть актуальный список поддерживаемых токенов? (других производителей тоже)
2. оффтоп - у нас терминальная ферма с конекшен брокером и несколькими сешен хостами. Когда отключаешь NLA - приходится 2 раза вводить пароль (я так понял на конекшен брокере и на сешен хосте, на который конекшен брокер кинул). Это нормальное поведение?
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

1. Нет актуального списка поддерживаемых. Есть список токенов, которые могут работать: http://wtware.ru/docs5/config.html#smartcard

Если токена в спске нет, то из коробки он точно не заработает.

2. ask_password = on

http://wtware.ru/docs5/config.html#ask_password

Некоторые фермы передают пароль в пакете перенаправления, и тогда оно работает без ask_password= Но я не знаю, как это настраивается, код писали по чужим логам.
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

А как-то можно посмотреть наши логи, и сказать что нам сделать, чтобы без включенного NLA не происходила инетрактивная авторизация на коннекшен брокере? 2 раза вводить пин-код не очень удобно.
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

https://disk.yandex.ru/i/LS_-cSoCypeD9g

Вот так сейчас происходит авторизация, с выключенным NLA и опцией ask_password = on
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

Первый этап - логин на брокера - можно пройти без мышекликания? Если в конфиге терминала указать имя юзера в параметре user= и ввести в втваревом запросе правильный PIN карты, хотя бы на брокера пустит сразу?
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

https://disk.yandex.ru/i/Kz5ZU9c2BtaSFg
Конфиг выглядит вот так сейчас.
connection
server=terminal.**SPAM**.local
displayName=RDP Connection
smartcard=etoken
ask_password=on
user=**SPAM**\user001

Результат на видео. Такое ощущение, что неверно пробрасывается PIN.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

В логе, который у меня в почте, нет строки user=

Покажи новый лог.
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

Отправил новый лог в почту.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

Такое ощущение, что она вообще всё игнорирует, что втварь ей присывает. И юзера, и пин.

Настрой подключение к брокеру в mstsc.exe. Сохрани в .rdp файл, кнопка "Save as..." в mstsc.exe. Проверь, что по клику на этот файл открывается правильное соединение и вся работает.

Затем открой этот .rdp файл обычным Notepad, там обычный текст. Добавь строку:

Код: Выделить всё

enablecredsspsupport:i:0
Сохрани, ещё раз запусти.

Что получится?
kabraksis
Сообщения: 20
Зарегистрирован: Вт дек 04, 2018 4:42 pm

Re: Не получается настроить авторизацию по смарт карте

Сообщение kabraksis »

1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

kabraksis писал(а):
Пн ноя 14, 2022 4:07 pm
1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
mstsc.exe хочет идти через NLA даже если сервер не требует. Втварь не умеет смарт-карту через NLA.
kabraksis писал(а):
Пн ноя 14, 2022 4:07 pm
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
Воооот почему после 2003 (или 2008, не помню) сервера пропал интерес к логину по смарт-картам. Когда мы его только сделали, это работало само. Вставил карту, набрал пин, поехали. А потом что-то сломалось и все забросили это. Я уже и забыл...
Не судьба значит. Когда-нибудь сделаем NLA со смарт-картой, но в ближних планах этого нет. Слишком редко спрашивают.
Python_Kaa
Сообщения: 56
Зарегистрирован: Чт май 14, 2020 2:25 pm
Откуда: Санкт-Петербург

Re: Не получается настроить авторизацию по смарт карте

Сообщение Python_Kaa »

Чисто для общего развития - как можно стимулировать ускорение процесса?
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не получается настроить авторизацию по смарт карте

Сообщение aka »

Напоминать об этом на форуме. О чём пишут - то мы делаем. О чём не пишут, про то забываем. Сейчас по план Remote Desktop Gateway.
Ответить