Регистрация в домене Win 2k/2003 с использованием смарт-карт

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
new user
Junior member
Сообщения: 2
Зарегистрирован: 14 июн 2004, 07:04

Регистрация в домене Win 2k/2003 с использованием смарт-карт

Сообщение new user » 14 июн 2004, 07:45

Здравствуйте !
Тестовая база:
контроллер домена windows 2003 с запущенным CA, без карт-ридера
тонкий клиент с embedded Windows XP с карт-ридером
Проделанная работа:
на win 2003 настроен СА, созданы сертификаты, в AD поставлены галочки использовать smart-card для авторизации пользователя
Проблема:
пользователь не может авторизоваться по смарт-карте
думаю из-за того, что не достаёт сертификата на смарт-карте

Вопрос:
Подскажите пожалуйста как записать сертификат на смар-карту
на сервере должен стоять карт-ридер ?
нужно дополнительно п\о для процедуры записи сертификата ?
если это возможно опишите шаги как правильно настроить сервис
регистрации пользователя в домене
если кто поделится ссылками на ресурсы где можно набраться по этой теме или документацией, буду очень рад :))

Буду очень признателен за рекомендации по решению этой темы
Спасибо !

Аватара пользователя
Dimon78
Advanced member
Сообщения: 128
Зарегистрирован: 28 авг 2003, 09:30
Откуда: Vladivostok
Контактная информация:

Сообщение Dimon78 » 17 июн 2004, 04:57

Тоже самое сейчас делаю.
Мои действия:
Установил центр сертификации.
В нем в разделе шаблоны, создал шаблон вход пользователя со смарт картой, компьютер и шаблон пользователь с автоподачей заявок. установил, чтобы автоматом заявки проверялись. На шаблоне, в разделе безопасности, обязательно должна стоять галка -заявка.
Smart-reader должен быть plug and play. Создаю новую групповую политику для пользователей, которые будут проверяться по смарт-карте, включаю "вход с смарт-картой.
Если все настроено ок и AD работает нормально, то при logon клиента оформится заявка на сертификат и ЦС установит его в локальное хранилище (можно посмотреть через IE). Смотришь есть он или нет-если есть то закидываешь его на смарт-карту. И в AD в пользователи и компьютеры - выбираешь пользователя - свойства- отображение имени - сопоставляешь пользователю сертификат., который в локальном хранилище.
У клиента в свойствах сетевого подкл (на XP) в разделе authen. выставляем : EAP- smartcard or other , в properties использовать смарт карту, подкл. к серверу с ЦС, галочку на доверенном центре сертиф.

В групповой политике - установи, как будет вести себя комп при вытаскивание карты.

После всего этого должно заработать и ты увидишь вставьте смарт карту.


PS может я, что-то упустил и неправильно выразился более грамотные люди поправят.

new user
Junior member
Сообщения: 2
Зарегистрирован: 14 июн 2004, 07:04

Сообщение new user » 18 июн 2004, 14:31

Dimon78,
Сенкую вери мач :)
Все заработало !
похоже помогло "На шаблоне, в разделе безопасности, обязательно должна стоять галка -заявка. "
Как до ума доведу эту тему
попробую выложить здесь маленький мануальчик по этому вопросу

Ещё раз спасибо !

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»