Страница 1 из 1
Не получается настроить авторизацию по смарт карте
Добавлено: Вт ноя 08, 2022 5:25 pm
kabraksis
Добрый день.
Не получается настроить авторизацию на терминальном сервере (Windows 2012 r2) по токену Rutoken.
Конфиг:
display=1920x1080
video=intel(U)
disk=usb
bpp=32
graphic=abcdefg
CLID=D2A9B02C1E2...
connection
server=10.10...
displayName=RDP Connection
smartcard =rutoken
При такой конфигурации, Wtware не запрашивает ввод пин-кода, а просит ввести Логин и Пароль.
Токен рабочий, авторизация на том же терминальном сервере с рабочей станции Windows проходит успешно.
Что я делаю не так?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Вт ноя 08, 2022 5:26 pm
kabraksis
Логи с терминала отправил в почту.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Вт ноя 08, 2022 6:18 pm
aka
Втварь не умеет авторизацию по смарт-карте при включенной NLA на сервере. Можно пробовать авторизацию ко карте только если выключить NLA на сервере:
https://wtware.ru/win/nla.html
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср ноя 09, 2022 8:32 am
kabraksis
Добрый день.
NLA отключал, сервер перегружал.
Так же принудительный вход по смарт-карте пробовал. Увы, без результатов.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср ноя 09, 2022 10:11 am
kabraksis
Вот скрины без включенного NLA, система просит вставить токен, хотя он установлен.
https://ibb.co/Hq1b4wR
https://ibb.co/3YPfCgJ
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср ноя 09, 2022 11:31 am
aka
Тепeрь не работает Rutoken S. К нему нет нормальных линуксовых драйверов, и свежие версии втвари его больше не поддерживают. Последняя версия втвари, которая понимала Rutoken S:
http://wtware.ru/files/etoken.last/wtware.6.0.58.ru.exe
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср ноя 09, 2022 12:12 pm
kabraksis
Тогда 2 вопроса:
1. Где посмотреть актуальный список поддерживаемых токенов? (других производителей тоже)
2. оффтоп - у нас терминальная ферма с конекшен брокером и несколькими сешен хостами. Когда отключаешь NLA - приходится 2 раза вводить пароль (я так понял на конекшен брокере и на сешен хосте, на который конекшен брокер кинул). Это нормальное поведение?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср ноя 09, 2022 12:21 pm
aka
1. Нет актуального списка поддерживаемых. Есть список токенов, которые могут работать:
http://wtware.ru/docs5/config.html#smartcard
Если токена в спске нет, то из коробки он точно не заработает.
2. ask_password = on
http://wtware.ru/docs5/config.html#ask_password
Некоторые фермы передают пароль в пакете перенаправления, и тогда оно работает без ask_password= Но я не знаю, как это настраивается, код писали по чужим логам.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пт ноя 11, 2022 4:43 pm
kabraksis
А как-то можно посмотреть наши логи, и сказать что нам сделать, чтобы без включенного NLA не происходила инетрактивная авторизация на коннекшен брокере? 2 раза вводить пин-код не очень удобно.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пт ноя 11, 2022 4:56 pm
kabraksis
https://disk.yandex.ru/i/LS_-cSoCypeD9g
Вот так сейчас происходит авторизация, с выключенным NLA и опцией ask_password = on
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 12:00 am
aka
Первый этап - логин на брокера - можно пройти без мышекликания? Если в конфиге терминала указать имя юзера в параметре user= и ввести в втваревом запросе правильный PIN карты, хотя бы на брокера пустит сразу?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 9:57 am
kabraksis
https://disk.yandex.ru/i/Kz5ZU9c2BtaSFg
Конфиг выглядит вот так сейчас.
connection
server=terminal.**SPAM**.local
displayName=RDP Connection
smartcard=etoken
ask_password=on
user=**SPAM**\user001
Результат на видео. Такое ощущение, что неверно пробрасывается PIN.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 12:33 pm
aka
В логе, который у меня в почте, нет строки user=
Покажи новый лог.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 1:14 pm
kabraksis
Отправил новый лог в почту.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 2:33 pm
aka
Такое ощущение, что она вообще всё игнорирует, что втварь ей присывает. И юзера, и пин.
Настрой подключение к брокеру в mstsc.exe. Сохрани в .rdp файл, кнопка "Save as..." в mstsc.exe. Проверь, что по клику на этот файл открывается правильное соединение и вся работает.
Затем открой этот .rdp файл обычным Notepad, там обычный текст. Добавь строку:
Сохрани, ещё раз запусти.
Что получится?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 4:07 pm
kabraksis
1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн ноя 14, 2022 8:10 pm
aka
kabraksis писал(а): ↑Пн ноя 14, 2022 4:07 pm
1. После создания и сохранения RDP файла - при клике на этот файл, запрашивает указать username и pin, после этого автоматом попадаю на сешен хост (т.е. всё хорошо).
mstsc.exe хочет идти через NLA даже если сервер не требует. Втварь не умеет смарт-карту через NLA.
kabraksis писал(а): ↑Пн ноя 14, 2022 4:07 pm
2. При добавлении в файл enablecredsspsupport:i:0 происходит всё тоже самое, что и через wtware (Приходится искать на конекшен брокере нужного юзера, вводить Pin, потом проваливаемся на сешен хост, ищем руками нужного юзера и вводим Pin, попадаем в рабочую среду).
Воооот почему после 2003 (или 2008, не помню) сервера пропал интерес к логину по смарт-картам. Когда мы его только сделали, это работало само. Вставил карту, набрал пин, поехали. А потом что-то сломалось и все забросили это. Я уже и забыл...
Не судьба значит. Когда-нибудь сделаем NLA со смарт-картой, но в ближних планах этого нет. Слишком редко спрашивают.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Вт ноя 15, 2022 3:06 pm
Python_Kaa
Чисто для общего развития - как можно стимулировать ускорение процесса?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Вт ноя 15, 2022 5:25 pm
aka
Напоминать об этом на форуме. О чём пишут - то мы делаем. О чём не пишут, про то забываем. Сейчас по план Remote Desktop Gateway.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Чт ноя 24, 2022 11:32 am
AndreyEver
+1 Pin с NLA
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 11:33 am
kabraksis
https://www.aladdin-rd.ru/company/press ... tov-wtware
Не понятно что Алладин сертифицировал, если по факту с терминальными фермами Втварь нормально не умеет работать.
Можете дать примерные сроки, когда NLA с токенами заработает?
Очень горячий для нас вопрос...
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 11:34 am
Samosval
+1
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 11:38 am
alex2022
Так же интересуют решение данного вопроса - корректная работа NLA + Token
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 11:48 am
Elistan
Так же возникла необходимость в данном функционале.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 1:01 pm
Python_Kaa
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Пн дек 26, 2022 5:04 pm
aka
Втварь умеет перенаправлять токены через RDP. С терминальными фермами перенаправление токенов через RDP тоже нормально работает. Это проверили и сертифицировали.
При перенаправлении токена через RDP втварь внутрь токена не залазит и ничего о пине и сертификатах не знает. Терминал пересылает байтики запросов от сервера токену и обратно, основной геморрой перенаправления - переоформлять виндовые запросы в линуксовые.
Для того, чтобы авторизоваться в NLA по токену, не нужно перенаправлять токен в RDP. Терминал сам должен спросить пин, самостоятельно залезть в токен и подписаться нужным сертификатом. Ничего общего с функционалом "перенаправление токена через RDP".
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср май 24, 2023 2:16 pm
Sergeant_48
Так же интересует вопрос Pin с NLA.
Нет ли подвижек?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Ср май 24, 2023 8:15 pm
aka
Нет.
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Чт май 25, 2023 12:04 pm
Sergeant_48
aka писал(а): ↑Ср май 24, 2023 8:15 pmНет.
Есть ли это в планах? И если есть, то примерные сроки?
Re: Не получается настроить авторизацию по смарт карте
Добавлено: Чт май 25, 2023 1:51 pm
aka
Сроков нет. Когда-нибудь, когда сделаем остальное более востребованное.