GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кратко: Есть AD, есть корневой CA, есть подчинённый CA. Подчинённый CA выдаёт сертификаты, в том числе и по шаблону SmartCard User. Всё работает нормально. Но случилось следующее: у одного пользователя в момент авторизации по смарткарте комп завис, перегрузились и теперь зайти при помощи своей карты юзер не может. После ввода PIN кода выдаётся сообщение: "Не удалось произвести вход в систему. Ошибка при использовании этой смарт-карты.".   Эвентлог кажет следующее:   Source: SmartCard Logon Event ID: 5 Description: Произошла ошибка при получении цифрового сертификата от вставленной смарт-карты: Объект уже существует.   Этот юзер со своей картой нормально логинится на других компах, на этом же компе другой юзер спокойно логинится со своей картой.     Есть подозрение, что в момент авторизации винда либо ставит какой-то флаг занятости именно для этой карточки, либо хранит какой-то кэш, который остался после зависания. Где - понять не могу, инфы у мелкософта что-то не найду, eventid.net говорит, что такого не знает.   Что делать, как жить?.. Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 12:18 21-02-2006

Master_Alex Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GreatMouse Скинуть пароль керберос компа. netdom /? Домен админом на станции: netdom resetpwd /server netdom - взять в реските. Всего записей: 525 | Зарегистр. 11-09-2003 | Отправлено: 15:30 21-02-2006 | Исправлено: Master_Alex, 15:33 21-02-2006

GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Master_Alex   Не прошло. Failed to reset password и т.п. Делалось под логином энтерпрайз админа. После чего перегрузился, при попытке логина в систему сообщение "невозможно проверить учётную запись поскольку невозможно подключение к домену". Далее просто выкинул машину из домена и загнал её туда вновь. При логине с карточек ситуация точно такая же, как и раньше.   Есть ещё варианты? Может, всё-таки копнуть в сторону, где возможно хранится кеш с информацией о смарткарте? Хоть намк бы, где копать... Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 12:22 09-03-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору GreatMouse Цитата: невозможно подключение к домену 0. dcdiag & netdiag конечно же уже прогнал и никаких ошибок там нет ? 1. а доступ к домену есть? 2. KDC работает? 3. В логах DC и клиента что? ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 17:41 09-03-2006

GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 0. Ошибок нет ни на одном из DC.   На клиенте нетдиаг все тесты пасс (кроме тех, что скип , но после ЛДАП теста (который тоже пасс) есть примечание: [WARNING] Failed to query SPN registration on DC 'dc.domain.local'. Ну и к остальным DC - то же самое   1. После перезагона компа в домен, естественно, есть. То бишь, и ДФС работает, и \\domain.local.  Однако, при выполнении netdom - говорит, что нет. Ну, соответственно, после него - тоже нет. Сейчас пробовал вторично, опять комп придётся выкидывать из домена и загонять обратно.     2. Хм. Ну, если локальным админом на машину залез - работает? Если после перезаведения компа в домен зашёл энтерпрайз админом - работает?   3. Примерно на момент запуска netdom одна-единственная ошибка на одном из DC:   Цитата:  Event Type:    Error Event Source:    NETLOGON Event Category:    None Event ID:    5722 User:        N/A Computer:    DC Description: The session setup from the computer Comp1 failed to authenticate. The name(s) of the account(s) referenced in the security database is Comp1$.  The following error occurred:   Access is denied.     Только вот с какого бодуна аксес денайд непонятно.     На клиенте: Цитата:   Event Type:    Error Event Source:    Userenv Event Category:    None Event ID:    1053 User:        NT AUTHORITY\SYSTEM Computer:    Comp1 Description: Не удалось определить имя пользователя или компьютера. (Отказано в доступе. ). Обработка групповой политики прекращена.     и   Цитата:  Event Type:    Error Event Source:    AutoEnrollment Event Category:    None Event ID:    15 User:        N/A Computer:    Comp1 Description: Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007052b).  Не удается обновить пароль.  Текущий пароль был задан неверно.   Подача заявки выполнена не будет.     То бишь, пароль компа оно не принимает, но и ресетнуть его не даёт? Делал ресет аккаунта компа на DC через ADUC - безрезультатно. Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 18:58 09-03-2006 | Исправлено: GreatMouse, 19:02 09-03-2006

Master_Alex Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: На клиенте нетдиаг первый раз про такое слышу чтоб на клиенте он работал netdiag - со проблемного контроллера (или всех) + dcdiag /a Всего записей: 525 | Зарегистр. 11-09-2003 | Отправлено: 16:27 13-03-2006

GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хм... А почему бы netdiag-у не работать на клиенте, если он, как и netdom, входит в состав windows support tools и распространяется вместе с дистрибутивом XP?   А какой контроллер считать проблемным? Тот, который ошибку регистрирует? Так ни на нём, ни на каком-либо другом контроллере при выполнении netdiag или dcdiag ошибок нет. Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 06:26 14-03-2006

Master_Alex Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GreatMouse Цитата: почему бы netdiag-у не работать на клиенте а ну если тот что идёт в тулзах с ХР то да, никогда на клиентах его не юзал Всего записей: 525 | Зарегистр. 11-09-2003 | Отправлено: 11:47 14-03-2006

maomao Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нужна информация по   Microsoft Windows logon by means of     a certificates-based logon using certificates stored on smartcards or  tokens     Есть например продукт   Abylon LOGON Secure Windows logon with a smartcard   With abylon LOGON offers abylonsoft a simple and flexible possibility of the Logon at your computer (Only Windows NT, 2000, XP). You can register any certificate smartcard, an USB-Token (e. g. Aladdin eToken) or alternatively also an 'EC MoneyCard' (with chip) and 'Health Insurance Cards'. After insert your 'EC MoneyCard' or 'Health Insurance Card' into the smartcard READER, the Logon occurs completely automatically. With certificate-based tokens (certificate smartcard or USB-Token) you must enter only your appropriate certificate password. According to the option, the computer 'Looked', 'Look out' or 'Shut down' after removing the smartcard.     Здесь есть и триал и sn можно подобрать   но из документации - куцый faq на немецком     Есть   SafeGuard Cerbalon  Utimaco есть doc но нет ни  demo ни  eval.     Utimaco делал Cerbalon совместо с MS   Эта технология должна войти в Vista.     Windows Logon with eID     Longhorn   Winlogon re-architecture   Allows additional authentication methods such as EID, biometrics without GINA replacement   Native End-to-End client-server integration of eID Smart Card Logon   PKInit – IETF standard, Smart Card, Kerberos – client and KDC, Active Directory   Provide new account mappings in Active Directory through AltSecId field   UPN, Subject Name , RFC822 Name, Hash of Public Key, Issuer/Serial Number     XP/2000/2003   Productized & supported Partner solution   Utimaco Cerbalon Solution   A new way to use the Belgium eID Card for Windows Logon       Может есть где бодее полный комплект (doc,SDK) по этой технологии   (возможно на открытых проектах под MS Windows ) ?   Проблема в том что сертификат non-Windows PKI и карточки нет в списке поддерживаемых MS. Всего записей: 319 | Зарегистр. 05-02-2003 | Отправлено: 13:34 16-03-2006 | Исправлено: maomao, 13:39 16-03-2006

GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тэээкс... Первая грабля решилась сама собой. Правда, перевыпустил сертификат по-новой (по истечению срока действия старого), начало работать.   Теперь грабля нумер 2.     Ни с того, ни с сего перестал работать смарткард логин У ВСЕХ юзеров. Объясняет, что невозможно проверить учётку юзера. Стандартным образом (логин, пароль) всё работает. Сертификаты не просрочены. Оба CA (корневой и подчинённый) живые.   На клиентах в эвентах одно и то же: Цитата:   Event Type:    Error Event Source:    Kerberos Event Category:    None Event ID:    9 Date:        16.10.2006 Time:        10:31:43 User:        N/A Computer:    comp1 Description: The client has failed to validate the Domain Controller certificate for dc.domain.com. The error data contains the information returned from the certificate  validation process. Contact your system administrator to determine why the Domain Controller certificate is invalid.   For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 13 20 09 80               . .€         Проверил собственные сертификаты на CA. Валидны, проблем нет... Мелкософт такую ошибку не знает. И на контроллерах ошибок не обнаружено. Где копать?   PS Оп-па... На контроллерах домена нашлось кое-что...     Цитата:   Event Type:    Warning Event Source:    KDC Event Category:    None Event ID:    20 Date:        17.10.2006 Time:        8:49:40 User:        N/A Computer:    DC Description: The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found.  Smartcard logon may not function correctly if this problem is not remedied.  Have the system administrator check on the state of the domain's public key infrastructure.  The chain status is in the error data.   For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 00 00 00 00 00 00 00 00   ........ 0008: 00 00 00 00 00 00 00 00   ........     Только вот на мелкософте по данной сслыке рекомендации по настройке смарткарт логона с использованием чужих корневых СА. А вот по поводу сертификата KDC что-то ничего пока найти не могу... Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 10:12 16-10-2006 | Исправлено: GreatMouse, 09:29 17-10-2006

GreatMouse Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всё. Всем спасибо за внимание, всё решили. Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 10:19 18-10-2006

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите пожалуйста знающие люди - есть ли какой-то хак чтобы включить на машине не входящий в AD аутентификацию с помощью смарт-карты ? Всего записей: 29394 | Зарегистр. 15-09-2001 | Отправлено: 12:55 11-04-2017

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: есть ли какой-то хак чтобы включить на машине не входящий в AD аутентификацию с помощью смарт-карты Про EIDAuthenticate слышал и всячески ощупал эту штуку - в принципе конечно можно использовать её (она платная но наверное можно отломать самодельную защиту), но хотелось бы использовать нативные средства. Всего записей: 29394 | Зарегистр. 15-09-2001 | Отправлено: 13:10 13-04-2017

rossomahamail Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Всё. Всем спасибо за внимание, всё решили. Рассказать как решили видимо религия не позволила Всего записей: 10 | Зарегистр. 27-10-2009 | Отправлено: 08:06 19-03-2024

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SmartCard авторизация

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование