Авторизация по смарт-карте ruToken и eToken

Хотите поделиться интересным решением, идеей, просто помочь другим не наступать на известные грабли? Или почитать заметки бывалых о работе с терминальными серверами Windows?
Ответить
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Авторизация по смарт-карте ruToken и eToken

Сообщение aka »

1. Берем свежий сервер. Windows 2003 Enterprise SP2. Нужен именно Enterprise, Standart не подойдет (или подойдет?)
Он будет единственным в домене, на нем будет жить контроллер Active Directory и все остальное. Сервер зовут DC.

2. Первый логин.
Add or remove a role
Typical configuration for a first server
Active directory domain name: sc.local
DNS domain name: sc.local
NetBIOS domain name: SC
Do not forward DNS queries

Дальше оно ставится и перегружается. Типа круто, у меня есть AD. Могу зайти администратором домена.

Затем мне нужен IIS, чтоб енролить ключи через веб.
Add or remove a role
Application server (IIS, ASP.NET)
Ставлю галку "Enable ASP .NET"

Затем служба сертификатов.
Start => Settings => Control Panel => Add or Remove Programs => Add/Remove Windows Components => Certification Services. Ругается, что имя домена и компа поменять больше нельзя будет поменять (the machine name and domain membership may not be changed), ну и не надо. Выбираю ставить Enterprise root CA. Спрашивает Common name for this CA, говорю ей scca. Ругается "Ща остановлю IIS". Ругается: "ASP must be enabled ... enable ASP now?" - говорю Yes.

Уфф. Перегружусь для профилактики.

Start => Programs => Administrative Tools => Certification Authority => scca => клик правой кнопкой на Certificate Templates => New => Certificate Template to Issue => Enrollment Agent и затем Smartcard User.

Запускаю эксплорер. Захожу на http://dc/certsrv, логинюсь как Administrator@SC. Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Enrollment Agent.
Submit => Install certificate.
Крута, что-то поставилось.

Ставлю (eToken RTE 3.65) (драйвер ruToken rtDrivers.exe).
Перегружаюсь.

У меня сервер был установлен под VMware. Если вы тоже используете VMware, не пытайтесь использовать ключ с виртуальной машиной через виртуальный USB: это может закончится повреждением ключа. Вместо этого нужно установить драйвер (eToken)(ruToken) на хост-систему.

Запускаю на хост-системе (eToken Properties) (rtCert). Ключ виден, сертификатов в ключе нет.

Запускаю интернетэксплорер. Захожу на http://ip-адрес-сервера/certsrv, логинюсь как Administrator@SC, Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Smartcard user
CSP: (eToken Base Cryptographic Provider) (Aktiv ruToken CSP v1.0)
Submit => Install certificate.
Спрашивает PIN на токен (по умолчанию, PIN для ruToken 12345678). Предупреждает, что центр сертификации неизвестен. Чего-то ставит. "Your new certificate has been successfully installed." (eToken Properties) (rtCert) видит сертификат Administrator@sc.local на ключе!

Запускаю на хост-системе штатный клиент службы терминалов mstsc.exe, ставлю галку Local Resources => Smart cards. Подключаюсь к серверу, и вместо пароля оно спрашивает PIN. Ввожу PIN, и меня пускает на сервер. БЕЗ пароля. Ура, товарищи!
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Авторизация по смарт-карте ruToken и eToken

Сообщение aka »

Up: Windows 2008 server ругается, когда я пытаюсь получить сертификат:
in order to complete certificate enrollment, the web site for the CA must be configured to use https authentification
Простое решение: internet explorer -> Tools -> Internet Options -> Security -> Custom Level.
Download unsigned ActiveX controls: Enable
Initialize and script ActiveX controls not marked as safe for scripting: Enable

Это потенциальная дыра в безопасности, правильнее было бы научить certsrv работать по HTTPS. Как?

Up2: в Windows 2008R2 у меня не получилось залогиниться по токену со встроенного аккаунта Administrator. Создал другого пользователя, и оно заработало.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Авторизация по смарт-карте ruToken и eToken

Сообщение aka »

Чтобы Windows 2008 согласился отключать терминалы при извлечении смарт-карты, надо запустить специальную службу Smart Card Removal Policy service. По умолчанию после установки эта служба автоматически не запускается.
c0.png
c0.png (13.35 КБ) 20780 просмотров
Политика, управляющая поведением сессии после удаления карты:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Interactive logon: Smart card removal behavior
c1.png
c1.png (34.76 КБ) 20780 просмотров
Ответить

Вернуться в «Tips and tricks»