RuToken+Windows Domain Logon возможно ли в таком варианте?

Имеется Win2k3 sp2, AD, Root CA
RuToken 32K 060ZEB... Микропрограмма 6; записан сертификат RSA(1024) SHA1 шаблон Пользователь со смарт-картой

Всё работает, пока не поставить галку "Для интерактивного входа в сеть требуется смарт-карта", далее блокируются абсолютно все доменные аккаунты включая EnterpriseAdmin даже для обычной однофакторной аутентификации по имени и паролю. При попытке входа со смарт-картой вылетает типа "Данный тип шифрования не поддерживается контроллером Kerberos-домена"

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Каким образом Вы выписываете сертификат?

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Сертификат выписывается на Администратора домена через Веб интерфейс станции подачи заявок, при этом он без каких-либо сложностей записывается в хранилище ключа

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

По этому сертификату (токену) Вы можете зайти локально на сервер?

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Да, если снят флажок "Для интерактивного входа в сеть требуется смарт-карта".

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Все прекрасно работает, если ключ RSA(512), хотя в стандартных шаблонах длина 1024

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

То есть отличие только в длине ключа?

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Да. Мне только не понятно, почему ВСЕ учетки блокируются. И соответственно, учитывая длину ключа, проблемно выписывать сертификаты для других пользователей от имени администратора или иного, кому это доверенно (цифровая подпись Агента заявок)
P.S. Все проводимые действия от имени администратора домена, как будет с пользователями вообще боюсь себе представить. Если вдруг при попытке входа пользователя будут слетать все аккаунты, - караул. Да и сброс пароля Администратора предприятия тоже занятие не веселое.

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Смоделировали ситуацию - у нас все работает нормально.

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Какая у Вас 2003?

Какая версия драйверов?

(2009-03-30 22:50:37 отредактировано DiVider)

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Версия драйверов последняя. Для полноты картины:
dc - win2k3 x86 sp2 (не R2) AD,DNS,GC и т.д.
Root CA(другой сервер) - win2k3 x86 sp2(не R2) IIS,CA,SQL2k5EE
Система лицензионная
В любом случае это всё тестовый вариант, планирую переход на R2

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Как поставите R2 отпишитесь, пожалуйста, по полученным результатам.

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

На R2, все работает уже пол года как. Следующим этапом будет попытка перехода на ESX, там должно быть еще веселее :)

Re: RuToken+Windows Domain Logon возможно ли в таком варианте?

Спасибо!

В ESX нет поддержки USB, так что непонятно, как все реализовывать :(