Rutoken+Android RDP

Всем доброго времени суток.
В организации поставлена задача перехода на 2ух факторную авторизацию пользователей по RDP.
Схема следующая: Домен-контроллер с пользователями AD + сервер с поднятым RDP, на котором развернут PKI и выданы сертификаты. Токены - Rutoken PKI(обычный, не ФСТЭК). На клиентских машинах под Win7 и Ubuntu все работает. Но часть особо "продвинутых" пользователей хочет "как раньше", пользоваться удаленкой на телефоне под Андроид. Мои действия такие:
1) Ставлю с маркета "панель управления Рутокен";
2) Ставлю с маркета rdp-клиент aFreeRDP SC;
3) Вставляю токен через USB-Host переходник;
4) "Панель управления Рутокен" обнаруживает токен, показывает сертификат на нем;
5) В aFreeRDP SC при нажатии на пиктограмку с токеном, показывает в Available Devices токен;
6) Выставляю галки в настройках подключения на пробросе Рутокена, смарткарте и т.д., игрался разными сочетаниями в общем, но при входе в сессию(стоит NLA), синий экран авторизации, нажимаю параметры входа - смарт-карта и смарт-карту не видит.

Re: Rutoken+Android RDP

П.С: Извиняюсь, видимо, не доигрался с галочками проброса. Оставил только одну "Redirect Rutoken Smartcards", смарт-карту увидел клиент. Но теперь новая проблема: ввожу пин-код, выдает следующую ошибку: "Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте". Что это может быть? Гугл на эту ошибку дает крайне скудную инфу, что-то про длину ключа сертификата и тп.

Re: Rutoken+Android RDP

Здравствуйте.
Попробуйте, пожалуйста, отключить NLA при авторизации.

Re: Rutoken+Android RDP

Николай Киблицкий пишет:

Попробуйте, пожалуйста, отключить NLA при авторизации.

Здравствуйте, у нас он был отключен, но пришлось включить, т.к. при отключенном NLA не получается подключиться с машин на Ubuntu(клиент Remmina).

Re: Rutoken+Android RDP

Хотелось бы понять, влияет ли включение/отключение NLA на работу AndroidRDP.
Попробуйте оставить галку "Redirect Rutoken Smartcards" и отключить NLA, для проверки.

Re: Rutoken+Android RDP

Николай Киблицкий пишет:

Хотелось бы понять, влияет ли включение/отключение NLA на работу AndroidRDP.
Попробуйте оставить галку "Redirect Rutoken Smartcards" и отключить NLA, для проверки.

Отключил NLA, в клиенте Android стоит галка только "Redirect Rutoken Smartcards", Security -"RDP". В настройках сервера уровень безопасность "Согласование", уровень шифрования "совместимый с клиентским", NLA отключен. Ошибка остается.

Re: Rutoken+Android RDP

П.С.: Сейчас обнаружил, что ранее у нас NLA был оказывается отключен. Если его включить, то клиент андроидный не пробивается в синее окно авторизации. Пишет, что не удалось подключиться к серверу. В самом клиенте выставлял все возможные настройки безопасности: RDP/NLA/TLS/Auto - нифига. Причем, не работает не только при включенном NLA. То же самое происходит если повысить уровень безопасности с "Согласования" до "высокий", а уровень шифрования на "TLS". Оба этих параметра(как включенные вместе, так и по отдельности) влияют на недоступность сервера, даже при отключенном NLA.

Re: Rutoken+Android RDP

После проведенного тестирования удалось найти причину ошибки.
Для исправления необходимо, на удаленном компьютере в "Панели управления Рутокен" на вкладке "Настройки" в поле "Настройки криптопровайдера" установить криптопровайдер "Aktiv ruToken CSP v1.0" для вашего типа носителя.https://forum.rutoken.ru/uploads/images/2020/03/1b6405fb288fd89072054e7cf42a3fec.jpg

Re: Rutoken+Android RDP

Николай Киблицкий пишет:

После проведенного тестирования удалось найти причину ошибки.
Для исправления необходимо, на удаленном компьютере в "Панели управления Рутокен" на вкладке "Настройки" в поле "Настройки криптопровайдера" установить криптопровайдер "Aktiv ruToken CSP v1.0" для вашего типа носителя.https://forum.rutoken.ru/uploads/images/2020/03/1b6405fb288fd89072054e7cf42a3fec.jpg

Огромное спасибо! Выставил криптопровайдера, как вы посоветовали, ошибка "Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте" ушла.

Подскажите, а как быть с NLA в Android и Linux-подобных клиентах? Я так понимаю, ваше модифицированный клиент aFREErdpac - это оболочка xfreerdp для Android. Проблема в том, что при включении NLA, как я понимаю, авторизация идет на уровне сети в окошке клиента RDP. В этом окошке смарт-карта не видна, она не определяется. Если же выставить режим безопасности в клиенте "RDP", то пускает в окно авторизации самого сервера, там смарт-карта видна но для этого NLA должен быть отключен.

Re: Rutoken+Android RDP

Скорее всего совместить NLA и логин по смарт картам не получится пока что.
Мы по исследуем данную возможность но пока не можем ни чего гарантировать.

Re: Rutoken+Android RDP

Николай Киблицкий пишет:

Скорее всего совместить NLA и логин по смарт картам не получится пока что.
Мы по исследуем данную возможность но пока не можем ни чего гарантировать.

Хорошо, спасибо. Очень бы хотелось, без NLA вопросы брута стоят остро. Конечно, двухфакторка с токеном проблему эту убирает начисто, но только при условии настройки входа по токену всем пользователям. А хотелось бы иметь некую гибкость в этом вопросе. Все-таки бывают ситуации, когда нужен вход по паролю. По идее, это касается как андроид версии клиента, так и Linux...в винде почему-то рдп клиент видит смарт карту сам и передаёт пин код, а вот линусковые нет. Причём, что-то мне подсказывает, что xfreerdp так может, но графические оболочки, такие как remmina не поддерживают.

Re: Rutoken+Android RDP

Опция логики работы по смарт-карте не реализована в freeRDP с NLA на сегодняшний день. Подробнее по ссылке.
На данную тему была найдена статья: https://github.com/FreeRDP/FreeRDP/issues/3239, за изменениями можно следить в ней.