05.07.2006 18:46:19Winlogon - сертификат не вытаскивается с токена Ответов: 5
Denis
Добрый день!
Проблема возникла при тестировании Winlogon.
Использую standalone КриптоПро УЦ. Создал сертификат, записал его на etoken (R2). Поместил такой же сертификат в атрибут пользователя в Active Directory. Через Winlogon добавил считыватель etoken, зарегистрировал его. В общем, старался все делать по инструкции.
В качестве клиента машина с Win2003 Server.

При попытке войти в домен возникает следующая ошибка: The requested key container does not exist on the smart card.

В event логе следующее:
An error occurred while retrieving a digital certificate from the inserted smart card. Keyset does not exist

Причем, ошибка возникает при правильном и неправильном наборе пин-кода. Как будто система к токену не обращается вовсе..

Если смотреть через панель КриптоПро CSP - service - view certificates in container, то сертификат находится прекрасно. Etoken properties также показывает свою информацию об этом токене.

Не подскажите, где может быть собака зарыта?
 
Ответы:
06.07.2006 13:51:02Василий
Можно уточнить "старался все делать по инструкции" - о какой инструкции это? И, какими средствами делали запрос и установку сертификата на токен?
07.07.2006 19:49:16Denis
Спасибо. Да, действительно дело было в том, что устанавливал я его как-то криво и не с первого раза получилось, перевыпустил и теперь все читается нормально.

Инструкции имелись в виду:
"КриптоПро Winlogon. Установка и развертывание.pdf"
"Поддержка КриптоПро Winlogon в КриптоПро УЦ.pdf"

Но теперь ошибка при входе в домен - на контроллере вот такое сообщение:
This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.

В NTAuthCA добавлял, юзеру в AD добавил, какой сертификат ему нужен?
08.07.2006 11:42:16maxdm
Нет подходящего сертификата для KDC - или GUID неверный, или dns-имя, а, самое частое, - в сертификате нет расширения "шаблон сертификата" - "domain controller".
08.07.2006 11:51:49maxdm
Да, и для использования в Winlogon сертификат пользователя не нужно записывать в AD. Сомневаюсь, что это есть в нашей документации.
10.07.2006 14:50:52Denis
При загрузке сервера
"The Kerberos Key Distribution Center service hung on starting." всегда.
Но служба якобы работает.
При перезапуске службы следующие две ошибки:

A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 10:8:26.0000 7/10/2006 Z
Error Code: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Extended Error:
Client Realm:
Client Name:
Server Realm: WINLOGON.LOCAL
Server Name: cifs/CRYTOCA
Target Name: cifs/CRYTOCA@WINLOGON.LOCAL
Error Text:
File: 9
Line: ae0
Error Data is in record data.


A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 10:8:26.0000 7/10/2006 Z
Error Code: 0xd KDC_ERR_BADOPTION
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: WINLOGON.LOCAL
Server Name: host/dcw.winlogon.local
Target Name: host/dcw.winlogon.local@WINLOGON.LOCAL
Error Text:
File: 9
Line: ae0
Error Data is in record data.

Судя по описанию ошибок на сайте микрософта, не зарегистрирован SPN для KDC.