Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Установка и настройка СА + eToken

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

weekstart

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU

Цитата:
Вот я когда-то статью писал по eToken-у

 
Можно поинтересоваться местонахождением этой статьи?
Да и вопросов накопилось довольно много при установке eToken на CA под WIN2000...
Всего записей: 8 | Зарегистр. 26-04-2006 | Отправлено: 17:12 24-07-2006
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
weekstart
А собственно в чем вопрос?

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 17:21 24-07-2006
Keponom

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PJ16rus
а можно по подробнее про  

Цитата:
Остальное, думаю сделал? Имеется ввиду: опубликовал необходимые для выдачи темплейты, выдал себе сертификат Enrollment agent и установил его на машине, откуда выдавать будешь.

проблема аналогичная как и у CybB
Всего записей: 196 | Зарегистр. 09-03-2006 | Отправлено: 15:34 23-08-2006
dark201

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проблема со входом в домен по Etoken. Сервер W2K3 EE он контроллер домена, он же корневой центр сертификации. Шаблоны установлены, рекомендации выше по ветке выполнил, сертификаты в ЦС выданы, не выдан сертификат контроллера домена, во вкладке Безопасность, у него нет AutoEnroll, выдан сертификат подлинности контроллера домена. Сертификат на Etoken сгенерен, при входе не пускает "ошибка проверки учетных данных". Где копать?
Всего записей: 1 | Зарегистр. 28-09-2006 | Отправлено: 14:50 28-09-2006
windofchange

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

"Ошибка 691: Доступ запрещен, поскольку такие имя пользователя и пароль недопустимы в этом домене."
Windows 2003 AD+CA
Windows 2003 VPN
XP клиент  
Без использование смарт карты все ок конечно...
(внутри сети смарт карта работает)
 
Да и возможно с ISA подружить?
Всего записей: 22 | Зарегистр. 11-10-2006 | Отправлено: 17:11 30-01-2007
chromexxx

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не могу настроить вход по etoken для пользователей. С помощью "Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station."
Выдаю сертификат от администратора пользователю. Он нормально записывается на ключ.  
Но при попытке входа в домен получаю "your credentials could not be verified"
Причем на контроллер домена вход осуществляется нормально.
Система win2003 sp1 enterpise
Всего записей: 2 | Зарегистр. 08-02-2006 | Отправлено: 18:11 08-02-2007
Valentyng

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Freeeman ссылочку на статью кинь............   замучился сертификаты переделывать, а проблема все таже..... у контролера домена левый сертификат......... невозможно проверить данные.
 
Добавлено:
переставил СА, поудалял все старые сертификаты,  поудалял все локально, и завел все снова, все заработало...... теперь такой баг  -  при попытке сделать юзеру сертификат используя себя как агента, (сертификат создал)
дохожу в експлорере до форм  создания кеев юзерам.
Експлорер пытаеться загрузить актив х и на этом зытыкаеться..... все настройки безопасности поотключал, актив икс разрешил  на свой машине везде.....
Скажите что не так???
где то в политиках наверно???? только где???
 
Добавлено:
проще говоря не устанавливаеться элемент  Microsoft® ActiveX.....
Всего записей: 2 | Зарегистр. 28-03-2007 | Отправлено: 09:09 30-03-2007
Valentyng

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решил перестановкой СА, причем файлы при установке выбирал не из дефолтовой папки из папки от 4пака....  вроде пашет )))
Всего записей: 2 | Зарегистр. 28-03-2007 | Отправлено: 15:38 30-03-2007
vmix



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
 
Очень хотелось почитать Вашу статью, дайте ссылку, плз!
Всего записей: 163 | Зарегистр. 22-10-2002 | Отправлено: 19:51 06-04-2007
windofchange

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Блин, HELP!  все работало, все было хорошо,  отключили электричество, время на UPS не хватило, все сервера отключились,  запустились,  теперь не входят по eToken  пишет "не разрешен вход в систему. не удаеться проверить учетные данные." вроде все нормик, по паролю все ок, не могу понять в чем делло =\
Всего записей: 22 | Зарегистр. 11-10-2006 | Отправлено: 12:41 17-05-2007
LYNX



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date: date
Time: time
User: N/A
Computer: computer_name
Description: Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
 
Решение было найдено в http://support.microsoft.com/kb/903220/en-us . Суть: в AD необходимо включить группу Domain Controllers в CERTSVC_DCOM_ACCESS , куда она по умолчанию не входит. Это справедливо для Srv2k3SP1.  

 
Спасибо помог мучался с такой же проблемой.
Всего записей: 126 | Зарегистр. 01-10-2003 | Отправлено: 11:12 28-12-2007
reply007

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток, помогите разобраться.
Есть домен 2003, отдельный сервер сертификатов на базе Win2k3EE (root, enterprise). Настроены шаблоны для аутентификации по смарткартам (Aladdin eToken). Выдан сертификат на основе шаблона Smartcard User и записан на eToken, при попытке аутентификации с клиента (пробовал с Win2k3SE и WinXPSP2) выдает ошибку "The server authenticating you report an error 0xC00000BB". В логах появляется ошибка Kerberos ID 3  Error Code: 0xd KDC_ERR_BADOPTION
Микрософт по этому поводу говорит: KDC has no support for padata type и говорит, что необходимо проверить доступность СА с клиента и что сам СА функционирует.
PKI enterprise говорит что все в порядке, сертификат у контролера домена есть.
Всего записей: 3 | Зарегистр. 07-04-2006 | Отправлено: 14:39 21-02-2008
bloodseller

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сертификат агента подачи заявок установил.
шаблоны опубликовал.
 
пытаюсь сделать запрос от имени другого пользователя
выдает
Выберите шаблон, в котором есть ЦС.
 
из шаблонов предлагает только "вход со смарт картой" и "пользователь со смарт картой"...
созданных мною шаблонов в упор не видит...
 
где копать?
 
Добавлено:

Цитата:
Експлорер пытаеться загрузить актив х и на этом зытыкаеться..... все настройки безопасности поотключал, актив икс разрешил  на свой машине везде.....
Скажите что не так???
где то в политиках наверно???? только где???  

 
я это решил выставив в эксплорере запуск ВСЕГО ЧТО ТОЛЬКО МОЖНО было выставить в положение "разрешить"
Всего записей: 17 | Зарегистр. 16-12-2006 | Отправлено: 16:56 01-07-2008
bloodseller

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Текущий выбранный сертификат KDC был действителен, но сейчас он недействителен, а замену ему найти не удается.  Вход со смарт-картой будет работать неправильно, если не устранить эту ошибку.  Попросите системного администратора проверить состояние инфраструктуры открытого ключа домена.  Состояние цепочки указано в данных ошибки.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
 
подскажите, плиз, что с этим делать?
Всего записей: 17 | Зарегистр. 16-12-2006 | Отправлено: 15:26 04-07-2008
shuroop

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый. У меня аналогичная с bloodseller проблема.
Win 2003SP2 St Ed является контроллером домена на нем при утановке ЦС выбираю Корневой ЦС предприятия. Ставлю галочку в Изменить параметры создания пары ключей и сертификата ЦС. Жму Далее и выбираю eToken Base Cryptographic provider. Алгоритм хеширования SHA-1. Длина ключа 1024. Пишу имя ЦС. Далее eToken запрашивает ввод PIN-кода. После ввода PIN-кода мастер предлагает изменить пути к базе и логам — оставляю без изменения. Указываю общую папку в которую сохраняю сертификат.
В оснастке Центр Сертификации добавляю шаблоны Агента подачи заявок и Вход со смарт картой.  
Далее лезу в Default Domain Policy -> конфигурация компьютера -> конфигурация Windows -> Параметры безопасности -> поитики открытого ключа.  
В параметрах автоматической подачи заявок ставлю галочки во всех пунктах
В доверенные корневые центры сертификации импортирую сертификат из общей папки
В параметрах автоматического запроса сертификата нет ничего. Создаю параметр запроса — контроллер домена.
Делаю gpupdate /force.
 
Добавлено:
День добрый. У меня аналогичная с bloodseller проблема.
Win 2003SP2 St Ed является контроллером домена на нем при утановке ЦС выбираю Корневой ЦС предприятия. Ставлю галочку в Изменить параметры создания пары ключей и сертификата ЦС. Жму Далее и выбираю eToken Base Cryptographic provider. Алгоритм хеширования SHA-1. Длина ключа 1024. Пишу имя ЦС. Далее eToken запрашивает ввод PIN-кода. После ввода PIN-кода мастер предлагает изменить пути к базе и логам — оставляю без изменения. Указываю общую папку в которую сохраняю сертификат.
В оснастке Центр Сертификации добавляю шаблоны Агента подачи заявок и Вход со смарт картой.  
Далее лезу в Default Domain Policy -> конфигурация компьютера -> конфигурация Windows -> Параметры безопасности -> поитики открытого ключа.  
В параметрах автоматической подачи заявок ставлю галочки во всех пунктах
В доверенные корневые центры сертификации импортирую сертификат из общей папки
В параметрах автоматического запроса сертификата нет ничего. Создаю параметр запроса — контроллер домена.
Делаю gpupdate /force.
Всего записей: 1 | Зарегистр. 20-09-2006 | Отправлено: 09:53 17-07-2008
bloodseller

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
shuroop

 
вопрос решился путем выполнения
Certutil -dcinfo deleteBad
и перезагрузкой КД.
 
 
теперь бьюсь над проблемой удаленного доступа (VPN) с использованием eToken...
сервер удаленного доступа - отдельная машина. как и КД - win2003ee.
 
три события в логах:
1. Поскольку нет сертификатов, настроенных для входящих клиентов с EAP-TLS, то пользователю "domain\user" отправлен сертификат по умолчанию. Перейдите к политике удаленного доступа и настройте расширенный протокол проверки подлинности (EAP).
2. Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Объект или свойство не найдено.
3. Пользователь "user@domain" подключился, но не прошел проверку подлинности на порте "VPN4-9". Связь была отключена.
 
насколько я понял - у сервера удаленного доступа нету соответствующего сертификата...
вопрос - как его получить...
Всего записей: 17 | Зарегистр. 16-12-2006 | Отправлено: 15:52 19-07-2008
bloodseller

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
классно у меня получается - сам вопрос задаю, сам отвечаю.
вот что значит правильно задать вопрос.
 
проблема решена выдачей сертификата по шаблону "компьютер" с правами автоподачи заявки прошедшим проверку терминальному серверу.
и прописыванием этого сертификата в службе терминалов.
 
 

Цитата:
теперь бьюсь над проблемой удаленного доступа (VPN) с использованием eToken...
сервер удаленного доступа - отдельная машина. как и КД - win2003ee.
 
три события в логах:
1. Поскольку нет сертификатов, настроенных для входящих клиентов с EAP-TLS, то пользователю "domain\user" отправлен сертификат по умолчанию. Перейдите к политике удаленного доступа и настройте расширенный протокол проверки подлинности (EAP).
2. Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Объект или свойство не найдено.
3. Пользователь "user@domain" подключился, но не прошел проверку подлинности на порте "VPN4-9". Связь была отключена.
 
насколько я понял - у сервера удаленного доступа нету соответствующего сертификата...  

Всего записей: 17 | Зарегистр. 16-12-2006 | Отправлено: 13:23 21-07-2008
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Граждане просветлившиеся, Будьте человеками! Напишите МАН хотябы краткий. Не нашел толком ничего полезного для win2k8. Видимо совсем другое дело. ПО офф доке делал( ну вроде как смог), но не работает . При вставлении смарт карты на клиенте получаю отвал( Действительные сертификаты не найдены).
куда копать?
Всего записей: 320 | Зарегистр. 03-10-2006 | Отправлено: 16:16 03-09-2010
N0n4me

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
То есть сам сертификат система видит. Не видит действительного/действующего? Если это так предположу:
1. Срок действия сертификата не начался/закончился.
2. Не верно выбран шаблон для создания сертификата
Всего записей: 35 | Зарегистр. 18-01-2006 | Отправлено: 18:24 03-09-2010
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень может быть пункт 2.
Какже верно выбрать шаблон?
Поискав по теме не радужные переспективы светят. Как автоматизировать или привести к красивому виду эти самые расширенные запросы?
Как получить сертификат агента выдачи?
Хотелось бы уточнить, что машина с которой пытаюсь произвести вход, не в домене, но сертификат CA добавлен в список доверненных издателей
Всего записей: 320 | Зарегистр. 03-10-2006 | Отправлено: 19:10 03-09-2010 | Исправлено: Sterh84, 10:06 04-09-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Установка и настройка СА + eToken


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru