Здравствуйте !
Тестовая база:
контроллер домена windows 2003 с запущенным CA, без карт-ридера
тонкий клиент с embedded Windows XP с карт-ридером
Проделанная работа:
на win 2003 настроен СА, созданы сертификаты, в AD поставлены галочки использовать smart-card для авторизации пользователя
Проблема:
пользователь не может авторизоваться по смарт-карте
думаю из-за того, что не достаёт сертификата на смарт-карте
Вопрос:
Подскажите пожалуйста как записать сертификат на смар-карту
на сервере должен стоять карт-ридер ?
нужно дополнительно п\о для процедуры записи сертификата ?
если это возможно опишите шаги как правильно настроить сервис
регистрации пользователя в домене
если кто поделится ссылками на ресурсы где можно набраться по этой теме или документацией, буду очень рад )
Буду очень признателен за рекомендации по решению этой темы
Спасибо !
Регистрация в домене Win 2k/2003 с использованием смарт-карт
Модераторы: Trinity admin`s, Free-lance moderator`s
- Dimon78
- Advanced member
- Сообщения: 128
- Зарегистрирован: 28 авг 2003, 09:30
- Откуда: Vladivostok
- Контактная информация:
Тоже самое сейчас делаю.
Мои действия:
Установил центр сертификации.
В нем в разделе шаблоны, создал шаблон вход пользователя со смарт картой, компьютер и шаблон пользователь с автоподачей заявок. установил, чтобы автоматом заявки проверялись. На шаблоне, в разделе безопасности, обязательно должна стоять галка -заявка.
Smart-reader должен быть plug and play. Создаю новую групповую политику для пользователей, которые будут проверяться по смарт-карте, включаю "вход с смарт-картой.
Если все настроено ок и AD работает нормально, то при logon клиента оформится заявка на сертификат и ЦС установит его в локальное хранилище (можно посмотреть через IE). Смотришь есть он или нет-если есть то закидываешь его на смарт-карту. И в AD в пользователи и компьютеры - выбираешь пользователя - свойства- отображение имени - сопоставляешь пользователю сертификат., который в локальном хранилище.
У клиента в свойствах сетевого подкл (на XP) в разделе authen. выставляем : EAP- smartcard or other , в properties использовать смарт карту, подкл. к серверу с ЦС, галочку на доверенном центре сертиф.
В групповой политике - установи, как будет вести себя комп при вытаскивание карты.
После всего этого должно заработать и ты увидишь вставьте смарт карту.
PS может я, что-то упустил и неправильно выразился более грамотные люди поправят.
Мои действия:
Установил центр сертификации.
В нем в разделе шаблоны, создал шаблон вход пользователя со смарт картой, компьютер и шаблон пользователь с автоподачей заявок. установил, чтобы автоматом заявки проверялись. На шаблоне, в разделе безопасности, обязательно должна стоять галка -заявка.
Smart-reader должен быть plug and play. Создаю новую групповую политику для пользователей, которые будут проверяться по смарт-карте, включаю "вход с смарт-картой.
Если все настроено ок и AD работает нормально, то при logon клиента оформится заявка на сертификат и ЦС установит его в локальное хранилище (можно посмотреть через IE). Смотришь есть он или нет-если есть то закидываешь его на смарт-карту. И в AD в пользователи и компьютеры - выбираешь пользователя - свойства- отображение имени - сопоставляешь пользователю сертификат., который в локальном хранилище.
У клиента в свойствах сетевого подкл (на XP) в разделе authen. выставляем : EAP- smartcard or other , в properties использовать смарт карту, подкл. к серверу с ЦС, галочку на доверенном центре сертиф.
В групповой политике - установи, как будет вести себя комп при вытаскивание карты.
После всего этого должно заработать и ты увидишь вставьте смарт карту.
PS может я, что-то упустил и неправильно выразился более грамотные люди поправят.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей