Я потратил дня три, пробуя сделать эту авторизацию, после того как
настроил авторизацию по смарт карте (rutoken), паролю AD и OTP (тройная проверка) на
cisco ASA. Хотелось и
вход в Windows (RDP) сделать
по смарт карте, т.к. политиками
можно настроить блокировку, отключение RDP сеанса или вообще выход из системы при отключении смарт карты. Но
все попытки приводили к 2 ошибкам, которые можно увидеть в
логах системы (с которой подключаешься):
ЦитироватьВ сертификате центра распространения ключей для контроллера домена отсутствует DNS-имя домена im-cloud.site в атрибуте "Дополнительное имя субъекта": код ошибки 0xc000006d. Для устранения ошибки администратор домена должен получить сертификат центра распространения ключей с DNS-именем домена в атрибуте "Дополнительное имя субъекта". Используйте службы сертификатов Windows Server при создании шаблона проверки подлинности Kerberos.
и
ЦитироватьРазличающееся имя в поле субъекта сертификата входа со смарт-картой не содержит сведений, достаточных для определения соответствующего домена на компьютере, не входящем в домен. Обратитесь к системному администратору.
Поиск по этим ошибкам в интернете не дал ничего. Один повторяющийся вопрос, причем и на русскоязычных, и на англоязычных, с ответом "У Вас что-то не то с сертификатом".
На сайте рутокена наткнулся на вот такой вариант:
https://dev.rutoken.ru/display/KB/RU1099?ysclid=lmiz9g54g5948645072
Но он не помог, клиентская машина с домашней версией Windows и там нет gpedit.msc (групповых политик)
В общем изучая тему, я понял, что
что-то изменили в политике Kerberos и, для
корректной работы входа надо
настроить правильно сертификат контроллера домена:
Войдите в ЦС или
рабочие станции управления с учетными данными, эквивалентными
администратору домена .
1. Откройте центр сертификации консоль управления
2. Щелкните правой кнопкой мыши
управление шаблонами сертификатов >
3. В консоли
шаблона сертификата щелкните правой кнопкой мыши шаблон
Проверки подлинности Kerberos в области сведений и выберите
дублировать шаблон.
4. На вкладке
Совместимость :
- Снимите флажок Показать последующие
- Выберите Windows Server 2016 в списке Центров сертификации
- Выберите Windows 10 или Windows Server 2016 в списке получателей сертификата.
5. На вкладке
Общие- Пишем "Проверка подлинности контроллера домена (Kerberos)" в отображаемом имени шаблона (или любое понятное Вам имя)
- Настройка срока действия и периода продления в соответствии с потребностями предприятия
6.На вкладке
Имя субъекта выполните следующие действия.
- Нажмите кнопку (переключатель) Строится на основании данных Active Directory , если она еще не выбрана.
- Выберите Отсутствует в списке Формат имени субъекта .
- Выберите DNS-имя из списка Включить эту информацию в альтернативное имя субъекта .
- Очистка всех остальных элементов
7. На вкладке
Шифрование выполните следующие действия.
- Выберите поставщик хранилища ключей в списке Категория поставщика
- Выберите RSA в списке Имя алгоритма. (подставилось само)
- Введите 2048 в текстовом поле Минимальный размер ключа. (тоже было)
- Выберите SHA256 в списке хэша запроса. (а вот это надо менять, там sha1 по умолчанию)
Предварительный этап выполнен. Но надо указать, какие сертификаты заменяет наш новый шаблон. Для этого, на вкладке
"Устаревшие шаблоны" нажмите
Добавить.- В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата контроллера домена и нажмите кнопку ОК > Добавить.
- В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата проверки подлинности контроллера домена и нажмите кнопку ОК > Добавить.
- В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата проверки подлинности Kerberos и нажмите кнопку ОК > Добавить.
- Нажмите кнопку ОК и закройте консоль шаблоны сертификатов
Добавляем сертификат в
консоли Центра Сертификации:
- ПКМ на "Шаблоны сертификатов"
- Создать > Выдаваемый шаблон сертификата
- В открывшемся окне выбираем созданный нами шаблон "Проверка подлинности контроллера домена (Kerberos)" созданный нами выше.
Заходим на контроллер домена,
mmc, оснастка
"сертификаты > учетная запись компьютера > Личное, ПКМ на Сертификаты > Все задачи > Запросить новый сертификат"Выбираем наш созданный сертификат, он создается...
И тут я "пошел" пробовать вход по Rutoken, а он продолжал выдавать мне те же ошибки.. Еще день я потратил, думая что же не так, пересоздал дважды сертификат Центра сертификации.. хотел уже создать сертификат пользователя не через политику AD.. Потом до мня дошло:
Надо удалить все старые сертификаты контроллера домена!!! кроме сертификата "Компьютер" (а он здесь причем) (у меня 2 DC я сделал на обеих). Перезагрузил их..
И, уже не веря в удачу, попробовал залогинится по сертификату. И какой же был кайф, когда вместо "попытка входа в систему неудачна" мне выдало предупреждение о сертификате RDP!Спасибо за внимание, надеюсь моя инструкция кому-нибудь пригодится)