| ||||
| ||||
Добрый день! Проблема возникла при тестировании Winlogon. Использую standalone КриптоПро УЦ. Создал сертификат, записал его на etoken (R2). Поместил такой же сертификат в атрибут пользователя в Active Directory. Через Winlogon добавил считыватель etoken, зарегистрировал его. В общем, старался все делать по инструкции. В качестве клиента машина с Win2003 Server. При попытке войти в домен возникает следующая ошибка: The requested key container does not exist on the smart card. В event логе следующее: An error occurred while retrieving a digital certificate from the inserted smart card. Keyset does not exist Причем, ошибка возникает при правильном и неправильном наборе пин-кода. Как будто система к токену не обращается вовсе.. Если смотреть через панель КриптоПро CSP - service - view certificates in container, то сертификат находится прекрасно. Etoken properties также показывает свою информацию об этом токене. Не подскажите, где может быть собака зарыта? | ||||
Ответы: | ||||
| ||||
Можно уточнить "старался все делать по инструкции" - о какой инструкции это? И, какими средствами делали запрос и установку сертификата на токен? | ||||
| ||||
Спасибо. Да, действительно дело было в том, что устанавливал я его как-то криво и не с первого раза получилось, перевыпустил и теперь все читается нормально. Инструкции имелись в виду: "КриптоПро Winlogon. Установка и развертывание.pdf" "Поддержка КриптоПро Winlogon в КриптоПро УЦ.pdf" Но теперь ошибка при входе в домен - на контроллере вот такое сообщение: This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. В NTAuthCA добавлял, юзеру в AD добавил, какой сертификат ему нужен? | ||||
| ||||
Нет подходящего сертификата для KDC - или GUID неверный, или dns-имя, а, самое частое, - в сертификате нет расширения "шаблон сертификата" - "domain controller". | ||||
| ||||
Да, и для использования в Winlogon сертификат пользователя не нужно записывать в AD. Сомневаюсь, что это есть в нашей документации. | ||||
| ||||
При загрузке сервера "The Kerberos Key Distribution Center service hung on starting." всегда. Но служба якобы работает. При перезапуске службы следующие две ошибки: A Kerberos Error Message was received: on logon session Client Time: Server Time: 10:8:26.0000 7/10/2006 Z Error Code: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Extended Error: Client Realm: Client Name: Server Realm: WINLOGON.LOCAL Server Name: cifs/CRYTOCA Target Name: cifs/CRYTOCA@WINLOGON.LOCAL Error Text: File: 9 Line: ae0 Error Data is in record data. A Kerberos Error Message was received: on logon session Client Time: Server Time: 10:8:26.0000 7/10/2006 Z Error Code: 0xd KDC_ERR_BADOPTION Extended Error: 0xc00000bb KLIN(0) Client Realm: Client Name: Server Realm: WINLOGON.LOCAL Server Name: host/dcw.winlogon.local Target Name: host/dcw.winlogon.local@WINLOGON.LOCAL Error Text: File: 9 Line: ae0 Error Data is in record data. Судя по описанию ошибок на сайте микрософта, не зарегистрирован SPN для KDC. | ||||