Статус: Участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 19
|
Всех приветствую.
Пытаюсь организовать авторизацию пользователей домена со смарт-картами по ГОСТ (Windows 2012R2, windows 10 и КриптоПРО 4.0.9963).
До этого попробовала на встроенных в windows сертификатах и все заработало с пол-пинка. Но после установки КриптоПРО на оба центра сертификации (главный и подчиненный), на все контроллеры домена (сертификат по шаблону "Контроллер домена" тоже перевыпустила на ГОСТовый) и выпуска сертификата "Вход со смарт картой" для пользователя, получаю ошибку "Не удалось проверить ваши учетные данные" (в контейнер "Личные" сертификатов пользователя и в раздел "Опубликованные сертификаты" пользователя в AD выпущенный с сертификат добавила). Прошу помочь ибо идеи кончились.
PS Все делала по инструкци ЖТЯИ.00088-01 92 01, может есть что то посвежее?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 19
|
Автор: stel_la  Всех приветствую.
Пытаюсь организовать авторизацию пользователей домена со смарт-картами по ГОСТ (Windows 2012R2, windows 10 и КриптоПРО 4.0.9963).
До этого попробовала на встроенных в windows сертификатах и все заработало с пол-пинка. Но после установки КриптоПРО на оба центра сертификации (главный и подчиненный), на все контроллеры домена (сертификат по шаблону "Контроллер домена" тоже перевыпустила на ГОСТовый) и выпуска сертификата "Вход со смарт картой" для пользователя, получаю ошибку "Не удалось проверить ваши учетные данные" (в контейнер "Личные" сертификатов пользователя и в раздел "Опубликованные сертификаты" пользователя в AD выпущенный с сертификат добавила). Прошу помочь ибо идеи кончились.
PS Все делала по инструкции ЖТЯИ.00088-01 92 01, может есть что то посвежее? Такое ощущение, что не работает педаль "Использовать алгоритмы Крипто ПРО CSP на KDC" (если она установлена или снята - ошибка та же самая). Кроме лицензии на Крипто ПРО и Winlogon нужно что-то еще??? Отредактировано пользователем 9 марта 2022 г. 14:21:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177   Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
|
Здравствуйте
Сертификат издателя зарегистрировали на контроллере домена? ЖТЯИ.00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6.6.1. Указания по настройке
У смарт карты включена поддержка Winlogon? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 19
|
Автор: Захар Тихонов Здравствуйте
Сертификат издателя зарегистрировали на контроллере домена? ЖТЯИ.00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6.6.1. Указания по настройке
У смарт карты включена поддержка Winlogon? На контроллере домена выпустила только сертификат DomainController. Корневые сертификаты головного и подчиненного ЦС на котроллерах доменов в соответствующих разделах установлены. При установке драйверов JaCartaUnifiedClient winlogon не включала, т.к. авторизация на встроенных виндовых сертификатах работала без них. Отредактировано пользователем 9 марта 2022 г. 18:23:01(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
|
Если вы в групповые политики установили новый сертификат, то убедитесь что CRL по ссылка из сертификатов доступны и они актуальны (как на контроллере домена, так и на клиенте) |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Цитата:на все контроллеры домена (сертификат по шаблону "Контроллер домена" тоже перевыпустила на ГОСТовый) и выпуска сертификата "Вход со смарт картой" для пользователя, получаю ошибку "Не удалось проверить ваши учетные данные" Добрый день. Скорее всего, с данным случаем не связано, но вдруг, для информации.
У меня подобная ошибка (не по ГОСТ) с шаблоном "Контроллер домена" всплывает с завидной регулярностью - KDC каждые 8 часов запрашивает ключи RSA с минимально разрешенной шаблоном "Контроллер домена" длиной ключа, а ЦС их отклоняет с даже не близкой к реальной причине ошибкой "не удалось проверить подлинность" из-за того, что длина ключа менее 2048 бит. Создаю запрос вручную, увеличиваю длину и все проходит.
Применительно к данному случаю моя мысль в том, что "Не удалось проверить ваши учетные данные" тоже может быть даже не близко к реальной причине.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 19
|
Автор: two_oceans Цитата:на все контроллеры домена (сертификат по шаблону "Контроллер домена" тоже перевыпустила на ГОСТовый) и выпуска сертификата "Вход со смарт картой" для пользователя, получаю ошибку "Не удалось проверить ваши учетные данные" Добрый день. Скорее всего, с данным случаем не связано, но вдруг, для информации.
У меня подобная ошибка (не по ГОСТ) с шаблоном "Контроллер домена" всплывает с завидной регулярностью - KDC каждые 8 часов запрашивает ключи RSA с минимально разрешенной шаблоном "Контроллер домена" длиной ключа, а ЦС их отклоняет с даже не близкой к реальной причине ошибкой "не удалось проверить подлинность" из-за того, что длина ключа менее 2048 бит. Создаю запрос вручную, увеличиваю длину и все проходит.
Применительно к данному случаю моя мысль в том, что "Не удалось проверить ваши учетные данные" тоже может быть даже не близко к реальной причине. Это проверяла (без этого бы не работала двухфакторная авторизация на сертификатах "встроенных" в windows поставщиков шифрования), в PKI инфраструктуры ошибок нет, файлы доступны для скачивания.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
|
Вы проверили доступность CRL? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 19
|
Автор: Захар Тихонов Вы проверили доступность CRL? Да. Список отзыва скачивается.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
|
Приложите скриншот из контроллера домена, что сертификат издателя зарегистрировали на контроллере домена ЖТЯИ.00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6.6.1. Указания по настройке
Приложите скриншот что в сертификате указан верных идентификатор контроллера домена, который отображается в КриптоПро CSP.
Пароли на ключи контроллеров домена вы устанавливали? |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
