Тема от Тимофей

  • Тимофей
  • Посетитель
  • Неактивен

Как использовать токен для нескольких уч. записей (WinSRV2016)?

Добрый день. Прошу по возможности помочь с возникшими трудностями при организации защиты административных учетных записей. Что имеем:
Центр сертификации Windows Server 2016
Создан шаблон для рутокен (скопирован шаблон Smartcard Logon)
Администратор предприятия получил сертификаты (Administrator и Enrollment Agent)
Администратор предприятия в certmgr. msc - Personal - Certificates (All Tasks - Advanced Options - Enroll Behalf Off)
Выбирает сертификат, выбирает пользователя и записывает на токен ключ.

Аутентификация для пользователя на сервере работает нормально, но вот в чем проблема.
Если я на данный токен записываю ключи еще для нескольких пользователей, аутентификация под ними на этом же сервере не проходит. Я выбираю нужного пользователя из смарт карт в mstsc.exe и при подключении автоматом выбирается пользователь, ключ которого я записывал первым.

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Добрый день.
У вас в списке сертификатов при подключении mstsc появляются все сертификаты, которые есть на токене?
Или в списке доступных только один, который указан в Панели Управления Рутокен как "по-умолчанию"?
Попробуйте поменять настройку в реестре Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP\PP_USER_CERTSTORE на 1.

Ответ от Тимофей (2022-02-18 17:36:44 отредактировано Тимофей)

  • Тимофей
  • Посетитель
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Аверченко Кирилл пишет:

Добрый день.
У вас в списке сертификатов при подключении mstsc появляются все сертификаты, которые есть на токене?
Или в списке доступных только один, который указан в Панели Управления Рутокен как "по-умолчанию"?

При подключении через mstsc доступен выбор любого сертификата их тех что были получены, но вне зависимости от выбора подключается через сертификат, который был установлен первым.

Аверченко Кирилл пишет:

Попробуйте поменять настройку в реестре Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP\PP_USER_CERTSTORE на 1.


Поменял, никаких изменений.
Попробовал авторизоваться напрямую в вирт. машину через esxi, результат такой же.

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Тимофей пишет:

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.

Добрый день! Winlogon умеет аутентифицировать только по сертификату, который является дефолтным.
Поэтому перед аутентификацией придется устанавливать сертификат в качестве дефолтного.
Но вообще использовать один носитель для учеток разных пользователей - не очень хорошая идея.
Лучше выдать каждому свой токен.
https://forum.rutoken.ru/uploads/images/2022/02/00afc6018e5be59d482e8deb98613a92.png

Ответ от Тимофей (2022-02-18 17:44:17 отредактировано Тимофей)

  • Тимофей
  • Посетитель
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Vladimir Ivanov пишет:
Тимофей пишет:

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.

Добрый день! Winlogon умеет аутентифицировать только по сертификату, который является дефолтным.
Поэтому перед аутентификацией придется устанавливать сертификат в качестве дефолтного.
Но вообще использовать один носитель для учеток разных пользователей - не очень хорошая идея.
Лучше выдать каждому свой токен.

Так пользователь то один, это я.
Просто все учетные записи имеют определенных доступ к разным сервисам инфраструктуры (естественно кроме учетных записей, имеющих доступ ко всей инфраструктуре (Ent и Domain админы)), сеть защищена еще одним фактором. Токен нужен для исключения возможности авторизации в системе из вне.

Попробовал сменить на другую уч. запись. результат тот же =(

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Как выпускали сертификат? Через Aktiv Rutoken CSP или Microsoft Base CSP?

Ответ от Тимофей

  • Тимофей
  • Посетитель
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Vladimir Ivanov пишет:

Как выпускали сертификат? Через Aktiv Rutoken CSP или Microsoft Base CSP?

В настройках шаблона указывал Aktiv Rutoken CSP

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Как использовать токен для нескольких уч. записей (WinSRV2016)?

Добрый день!

Вы пробовали переключать дефолтный сертификат?