Аутентификация по смарт-картам
Модератор: Модераторы
Сообщений: 29
• Страница 2 из 3 • 1, 2, 3
Harry33 » 30 авг 2004, 13:58
goris
В Trusted CA необходимо вписать корневой сертификат сервера CA
В Trusted CA необходимо вписать корневой сертификат сервера CA
Знания, которые нельзя применить - бесполезны
goris » 30 авг 2004, 14:14
Так... Для начала спасибо огромное за помощь 
Теперь по пунктам. 1, 2 - получилось без проблем.
Насчет 3 и 4... Не понимаю, как и чем эти пункты отличаются.... По поводу шаблонов сделал только вот что. Через оснастку CA добавил в Policy Settings новые шаблоны - Smartcard User, Enrollment Agent и Exchange User.
Вот, в общем-то и все, что я сделал...
В пункте 5 тоже не понимаю, что имеется в виду.
Пункт 6 - проходит нормально.
Теперь по пунктам. 1, 2 - получилось без проблем.
Насчет 3 и 4... Не понимаю, как и чем эти пункты отличаются.... По поводу шаблонов сделал только вот что. Через оснастку CA добавил в Policy Settings новые шаблоны - Smartcard User, Enrollment Agent и Exchange User.
Вот, в общем-то и все, что я сделал...
В пункте 5 тоже не понимаю, что имеется в виду.
Пункт 6 - проходит нормально.
Harry33 » 30 авг 2004, 14:19
goris
А на Exchange установлен MS Exch Key Managment Service?
А на Exchange установлен MS Exch Key Managment Service?
Знания, которые нельзя применить - бесполезны
goris » 30 авг 2004, 14:34
Не уверен...
Это будет влиять на аутентификацию по смарткартам?..
И по остальным пунктам - разъясните пожалуйста, что чего означает?
Это будет влиять на аутентификацию по смарткартам?..
И по остальным пунктам - разъясните пожалуйста, что чего означает?
Harry33 » 30 авг 2004, 15:22
3. Если необходимо выдавать сертификаты, шаблоны которых не присутствуют, то надо добавить шаблоны этих типов сертификатов.
4. В оснастке CA/Policy setting указываются типы сертификатов, которые может выдавать и обрабатывать этот сервер. Вот в этих самых политиках добавь SmartCard Users.
4. В оснастке CA/Policy setting указываются типы сертификатов, которые может выдавать и обрабатывать этот сервер. Вот в этих самых политиках добавь SmartCard Users.
Знания, которые нельзя применить - бесполезны
goris » 30 авг 2004, 15:23
Я продвинулся вперед
Для начала, я понял, что страшно туплю. Сертификаты надо записывать на токен с одной и той же рабочей станции - станции по выдаче сертификатов.
На ней надо зайти под человеком с сертификатом Enrollment Agent`а, открыть страницу http://%ЦентрСерт%/certsrv/certsces.asp
И все благополучно сгенерить на токен.
Что я и сделал, и с этим радостно помчался на другую тачку логиниться в домен. Вставил токен, он долго-долго с ним возился, и (о чудо!) выдал мне другую ошибку с кодом 0xC00000BB.
В журнале появились следющие записи:
1) Отказ входа в систему:
Причина: Ошибка при входе
Пользователь: [мой логин]@домен
Домен:
Тип входа: 2
Процесс входа: User32
Пакет проверки: Kerberos
Рабочая станция: GORIS Код состояния: 0xC00000BB
Код подсостояния 0x0
Предположения?
Для начала, я понял, что страшно туплю. Сертификаты надо записывать на токен с одной и той же рабочей станции - станции по выдаче сертификатов.
На ней надо зайти под человеком с сертификатом Enrollment Agent`а, открыть страницу http://%ЦентрСерт%/certsrv/certsces.asp
И все благополучно сгенерить на токен.
Что я и сделал, и с этим радостно помчался на другую тачку логиниться в домен. Вставил токен, он долго-долго с ним возился, и (о чудо!) выдал мне другую ошибку с кодом 0xC00000BB.
В журнале появились следющие записи:
1) Отказ входа в систему:
Причина: Ошибка при входе
Пользователь: [мой логин]@домен
Домен:
Тип входа: 2
Процесс входа: User32
Пакет проверки: Kerberos
Рабочая станция: GORIS Код состояния: 0xC00000BB
Код подсостояния 0x0
Предположения?
goris » 30 авг 2004, 15:44
Мдя... Тихо, мирно, сам с собой я веду беседу.
Еще вопрос созрел
Для аутентификации по смарткартам в домене должен быть каким-либо образом настроен протокол Kerberos? Или ничего дополнительно настраивать не надо?
Еще вопрос созрел
Для аутентификации по смарткартам в домене должен быть каким-либо образом настроен протокол Kerberos? Или ничего дополнительно настраивать не надо?
Harry33 » 30 авг 2004, 15:47
goris
Нет керберос трогать не надо
Нет керберос трогать не надо
Знания, которые нельзя применить - бесполезны
goris » 30 авг 2004, 15:57
Ясно...
Вот порылся на мелкомягкий.com, нашел ихнюю статью именно об этой самой ошибке. Они предлагают описать им проблему, а потом они, мол, решат, высылать тебе патчик или нет. Редиски...
Кстати при попытке залогиниться на станцию с Win2k ошибка за таким же номером, но пишет: The network request is not supported. Please try again and contact to administrator.
Может быть где-то в AD или в групповых политиках надо ставить для конкретного юзера галочку, что ему РАЗРЕШАЕТСЯ логиниться со смарткарты? В AD я только видел галку, чтоб юзер был ОБЯЗАН пользоватся смарткартой...
И еще... Надо ли рестартовать контроллер домена, чтоб он принял во внимание ЦС?
Вот порылся на мелкомягкий.com, нашел ихнюю статью именно об этой самой ошибке. Они предлагают описать им проблему, а потом они, мол, решат, высылать тебе патчик или нет. Редиски...
Кстати при попытке залогиниться на станцию с Win2k ошибка за таким же номером, но пишет: The network request is not supported. Please try again and contact to administrator.
Может быть где-то в AD или в групповых политиках надо ставить для конкретного юзера галочку, что ему РАЗРЕШАЕТСЯ логиниться со смарткарты? В AD я только видел галку, чтоб юзер был ОБЯЗАН пользоватся смарткартой...
И еще... Надо ли рестартовать контроллер домена, чтоб он принял во внимание ЦС?
Harry33 » 30 авг 2004, 16:18
goris
Нет, контроллер рестартовать не надо, ты групповые политики поправил у себя?
Нет, контроллер рестартовать не надо, ты групповые политики поправил у себя?
Знания, которые нельзя применить - бесполезны
Сообщений: 29
• Страница 2 из 3 • 1, 2, 3
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40