Не получается настроить авторизацию по смарт карте
Не получается настроить авторизацию по смарт карте
Добрый день.
Не получается настроить авторизацию на терминальном сервере (Windows 2012 r2) по токену Rutoken.
Конфиг:
display=1920x1080
video=intel(U)
disk=usb
bpp=32
graphic=abcdefg
CLID=D2A9B02C1E2...
connection
server=10.10...
displayName=RDP Connection
smartcard =rutoken
При такой конфигурации, Wtware не запрашивает ввод пин-кода, а просит ввести Логин и Пароль.
Токен рабочий, авторизация на том же терминальном сервере с рабочей станции Windows проходит успешно.
Что я делаю не так?
Не получается настроить авторизацию на терминальном сервере (Windows 2012 r2) по токену Rutoken.
Конфиг:
display=1920x1080
video=intel(U)
disk=usb
bpp=32
graphic=abcdefg
CLID=D2A9B02C1E2...
connection
server=10.10...
displayName=RDP Connection
smartcard =rutoken
При такой конфигурации, Wtware не запрашивает ввод пин-кода, а просит ввести Логин и Пароль.
Токен рабочий, авторизация на том же терминальном сервере с рабочей станции Windows проходит успешно.
Что я делаю не так?
Re: Не получается настроить авторизацию по смарт карте
Логи с терминала отправил в почту.
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Втварь не умеет авторизацию по смарт-карте при включенной NLA на сервере. Можно пробовать авторизацию ко карте только если выключить NLA на сервере:
https://wtware.ru/win/nla.html
https://wtware.ru/win/nla.html
Re: Не получается настроить авторизацию по смарт карте
Добрый день.
NLA отключал, сервер перегружал.
Так же принудительный вход по смарт-карте пробовал. Увы, без результатов.
NLA отключал, сервер перегружал.
Так же принудительный вход по смарт-карте пробовал. Увы, без результатов.
Re: Не получается настроить авторизацию по смарт карте
Вот скрины без включенного NLA, система просит вставить токен, хотя он установлен.
https://ibb.co/Hq1b4wR
https://ibb.co/3YPfCgJ
https://ibb.co/Hq1b4wR
https://ibb.co/3YPfCgJ
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Тепeрь не работает Rutoken S. К нему нет нормальных линуксовых драйверов, и свежие версии втвари его больше не поддерживают. Последняя версия втвари, которая понимала Rutoken S: http://wtware.ru/files/etoken.last/wtware.6.0.58.ru.exe
Re: Не получается настроить авторизацию по смарт карте
Тогда 2 вопроса:
1. Где посмотреть актуальный список поддерживаемых токенов? (других производителей тоже)
2. оффтоп - у нас терминальная ферма с конекшен брокером и несколькими сешен хостами. Когда отключаешь NLA - приходится 2 раза вводить пароль (я так понял на конекшен брокере и на сешен хосте, на который конекшен брокер кинул). Это нормальное поведение?
1. Где посмотреть актуальный список поддерживаемых токенов? (других производителей тоже)
2. оффтоп - у нас терминальная ферма с конекшен брокером и несколькими сешен хостами. Когда отключаешь NLA - приходится 2 раза вводить пароль (я так понял на конекшен брокере и на сешен хосте, на который конекшен брокер кинул). Это нормальное поведение?
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
1. Нет актуального списка поддерживаемых. Есть список токенов, которые могут работать: http://wtware.ru/docs5/config.html#smartcard
Если токена в спске нет, то из коробки он точно не заработает.
2. ask_password = on
http://wtware.ru/docs5/config.html#ask_password
Некоторые фермы передают пароль в пакете перенаправления, и тогда оно работает без ask_password= Но я не знаю, как это настраивается, код писали по чужим логам.
Если токена в спске нет, то из коробки он точно не заработает.
2. ask_password = on
http://wtware.ru/docs5/config.html#ask_password
Некоторые фермы передают пароль в пакете перенаправления, и тогда оно работает без ask_password= Но я не знаю, как это настраивается, код писали по чужим логам.
Re: Не получается настроить авторизацию по смарт карте
А как-то можно посмотреть наши логи, и сказать что нам сделать, чтобы без включенного NLA не происходила инетрактивная авторизация на коннекшен брокере? 2 раза вводить пин-код не очень удобно.
Re: Не получается настроить авторизацию по смарт карте
https://disk.yandex.ru/i/LS_-cSoCypeD9g
Вот так сейчас происходит авторизация, с выключенным NLA и опцией ask_password = on
Вот так сейчас происходит авторизация, с выключенным NLA и опцией ask_password = on
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Первый этап - логин на брокера - можно пройти без мышекликания? Если в конфиге терминала указать имя юзера в параметре user= и ввести в втваревом запросе правильный PIN карты, хотя бы на брокера пустит сразу?
Re: Не получается настроить авторизацию по смарт карте
https://disk.yandex.ru/i/Kz5ZU9c2BtaSFg
Конфиг выглядит вот так сейчас.
connection
server=terminal.**SPAM**.local
displayName=RDP Connection
smartcard=etoken
ask_password=on
user=**SPAM**\user001
Результат на видео. Такое ощущение, что неверно пробрасывается PIN.
Конфиг выглядит вот так сейчас.
connection
server=terminal.**SPAM**.local
displayName=RDP Connection
smartcard=etoken
ask_password=on
user=**SPAM**\user001
Результат на видео. Такое ощущение, что неверно пробрасывается PIN.
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
В логе, который у меня в почте, нет строки user=
Покажи новый лог.
Покажи новый лог.
Re: Не получается настроить авторизацию по смарт карте
Отправил новый лог в почту.
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Такое ощущение, что она вообще всё игнорирует, что втварь ей присывает. И юзера, и пин.
Настрой подключение к брокеру в mstsc.exe. Сохрани в .rdp файл, кнопка "Save as..." в mstsc.exe. Проверь, что по клику на этот файл открывается правильное соединение и вся работает.
Затем открой этот .rdp файл обычным Notepad, там обычный текст. Добавь строку:
Сохрани, ещё раз запусти.
Что получится?
Настрой подключение к брокеру в mstsc.exe. Сохрани в .rdp файл, кнопка "Save as..." в mstsc.exe. Проверь, что по клику на этот файл открывается правильное соединение и вся работает.
Затем открой этот .rdp файл обычным Notepad, там обычный текст. Добавь строку:
Код: Выделить всё
enablecredsspsupport:i:0
Что получится?
Re: Не получается настроить авторизацию по смарт карте
1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
mstsc.exe хочет идти через NLA даже если сервер не требует. Втварь не умеет смарт-карту через NLA.
Воооот почему после 2003 (или 2008, не помню) сервера пропал интерес к логину по смарт-картам. Когда мы его только сделали, это работало само. Вставил карту, набрал пин, поехали. А потом что-то сломалось и все забросили это. Я уже и забыл...kabraksis писал(а): ↑Пн ноя 14, 2022 4:07 pm 2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
Не судьба значит. Когда-нибудь сделаем NLA со смарт-картой, но в ближних планах этого нет. Слишком редко спрашивают.
-
- Сообщения: 75
- Зарегистрирован: Чт май 14, 2020 2:25 pm
- Откуда: Санкт-Петербург
Re: Не получается настроить авторизацию по смарт карте
Чисто для общего развития - как можно стимулировать ускорение процесса?
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Напоминать об этом на форуме. О чём пишут - то мы делаем. О чём не пишут, про то забываем. Сейчас по план Remote Desktop Gateway.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Не получается настроить авторизацию по смарт карте
https://www.aladdin-rd.ru/company/press ... tov-wtware
Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
Можете дать примерные сроки, когда NLA с токенами заработает?
Очень горячий для нас вопрос...
Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
Можете дать примерные сроки, когда NLA с токенами заработает?
Очень горячий для нас вопрос...
Re: Не получается настроить авторизацию по смарт карте
Так же интересуют решение данного вопроса - корректная работа NLA + Token
Re: Не получается настроить авторизацию по смарт карте
Так же возникла необходимость в данном функционале.
-
- Сообщения: 75
- Зарегистрирован: Чт май 14, 2020 2:25 pm
- Откуда: Санкт-Петербург
Re: Не получается настроить авторизацию по смарт карте
Подозреваю, что речь про опцию https://wtware.ru/docs5/config.html#smartcardkabraksis писал(а): ↑Пн дек 26, 2022 11:33 am https://www.aladdin-rd.ru/company/press ... tov-wtware
Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Втварь умеет перенаправлять токены через RDP. С терминальными фермами перенаправление токенов через RDP тоже нормально работает. Это проверили и сертифицировали.
При перенаправлении токена через RDP втварь внутрь токена не залазит и ничего о пине и сертификатах не знает. Терминал пересылает байтики запросов от сервера токену и обратно, основной геморрой перенаправления - переоформлять виндовые запросы в линуксовые.
Для того, чтобы авторизоваться в NLA по токену, не нужно перенаправлять токен в RDP. Терминал сам должен спросить пин, самостоятельно залезть в токен и подписаться нужным сертификатом. Ничего общего с функционалом "перенаправление токена через RDP".
При перенаправлении токена через RDP втварь внутрь токена не залазит и ничего о пине и сертификатах не знает. Терминал пересылает байтики запросов от сервера токену и обратно, основной геморрой перенаправления - переоформлять виндовые запросы в линуксовые.
Для того, чтобы авторизоваться в NLA по токену, не нужно перенаправлять токен в RDP. Терминал сам должен спросить пин, самостоятельно залезть в токен и подписаться нужным сертификатом. Ничего общего с функционалом "перенаправление токена через RDP".
-
- Сообщения: 3
- Зарегистрирован: Ср май 24, 2023 2:05 pm
Re: Не получается настроить авторизацию по смарт карте
Так же интересует вопрос Pin с NLA.
Нет ли подвижек?
Нет ли подвижек?
-
- Сообщения: 3
- Зарегистрирован: Ср май 24, 2023 2:05 pm
-
- Разработчик
- Сообщения: 12036
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Не получается настроить авторизацию по смарт карте
Сроков нет. Когда-нибудь, когда сделаем остальное более востребованное.