аутентификации на сервере терминалов windows 2003 (5.2)

Внимание, вопрос!

Стоит задача по аутентификации пользователя на сервере терминалов windows 2003 (5.2), с тонкого клиента по аппаратному ключу.

Большинство решений требуют службу каталогов AD на на мой взгляд это не нужная служба, которая просто занимает два лишних сервера. (лишний трафик, dns, и еще много чего). Подскажите пожалуйста решение которое позволяло производить аутентификацию через RDP, и не требовала AD.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

Внимание, ответ!

Вопрос не к нам, а к Микрософту: где еще они умеют хранить открытые ключи пользователей и чем еще они могут проверять сертификаты пользователя при доступе через RDP?
Нам пока не известна альтернатива AD.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

Насколько я знаю - требуется не столько AD, сколько контроллер домена. По крайней мере, мы делали похожую модель: поднятие клиентом VPN соединения с авторизацией по токену (не rutoken!) и последующем подключении его к терминалу.

При небольшой нагрузке и достаточных ресурсах железа - серверную часть вместе с контроллером домена можно организовать в виде множества виртуальных серверов на одной Linux-машине. Правда, лицензии, понятное дело, будут нужны на каждую виртуальную M$ машину. Из экспериментов с VMWare на CentOs 4.5 - под три w2k3 сервера хватает одной двухядерной (Amd X2) машинки с 1 гигом оперативки.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

ето не серьезно!
AD должно быть как минимум два для безопасности, и разумеется на разных машинах.
Дело в том что это решение на мой взгляд, слишком универсально и не надежно, "т.к. универсальный ключ не может быть хорошим". Вообще продукты майкрософт слишком новы чтоб быть надежными. Виндовс 2K первая многопользовательская, многозадачная операционка.

Нужно искать решение с сторонним аппаратным сервером доступа, типа radius.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

vvs пишет:

Нужно искать решение с сторонним аппаратным сервером доступа, типа radius.

Для этого придется во-первых допиливать драйвера, чтобы токен соответствовал open-sc стандарту, а во-вторых - обучать радиус работать со smart-картами. :) Не думаю, что это кому-то так сильно нужно в мире open-source, а за деньги свой сервер авторизации предлагает практически любой поставщик токенов, что, на мой взгляд, еще более ненадежно, чем продукты от майкрософт.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

"а за деньги свой сервер авторизации предлагает практически любой поставщик токенов"


Будьте любезны поясните что сие значит???

Re: аутентификации на сервере терминалов windows 2003 (5.2)

Решение найдено!!!! только это секрет!.... шутка.  Это то что я хотел, решение на UNIX компании SAN. Да сдохнет маздайный windows!!

Re: аутентификации на сервере терминалов windows 2003 (5.2)

vvs пишет:

Решение найдено!!!! только это секрет!.... шутка.  Это то что я хотел, решение на UNIX компании SAN. Да сдохнет маздайный windows!!

SAN - это не компания, а схема хранения данных: Storage Area Network или как-то так.

Если Вы имеете ввиду Sun Microsystems - то не дай Вам бог сталкиваться с их программными решениями, особенно на их же железе. Дорого и не производительно.

Re: аутентификации на сервере терминалов windows 2003 (5.2)

Я заказал оборудование на тест. Напишу позже как все работает.
к размышлению!
http://ru.sun.com/products/workstations … sktop4.pdf
http://ru.sun.com/products/workstations/clients.html
http://ru.sun.com/info/it/Sun3.pdf
по поводу моей темы, система идентификации, которую я искал - actividentity.com

Re: аутентификации на сервере терминалов windows 2003 (5.2)

vvs пишет:

по поводу моей темы, система идентификации, которую я искал - actividentity.com

Вот как раз замену их продукции я и пытался найти в rutoken. Но, увы, местным разработчикам оно, похоже, не надо. :(