RDS logon via Smart-Card (eToken & SSL Cert) without AD, with 3-d party CA. Как?
Требования к сертификату CA подробно описаны на технете, естественно при использовании AD, только этот вариант невозможен в моём случае. В этом плане непонятки вызывают 2 вещи:
1) UPN: если для пользователя-члена домена upn имеет вид user@domain.xx, то какой вид имеет upn для пользователя вне периметра домена?
2) CRL: при использовании домена при smart-card logon требуется оперативный доступ к crl. В1: необходим ли оперативный доступ к crl для той же цели для компьютера вне периметра домена? В2: способен ли winsrv обращаться за crl по smb? URI не диктует протокол доступа и невозбранно позволяет писать smb:// путь к crl в сертификате.
Далее.
Сейчас я "вишу" на том, что mstsc подхватывает сертификат с токена, пытается авторизоваться но не может - в результате открывается окно rdp с приглашением ввести логин и пароль. Самое грустное, что в логе аудита безопасности отсутствуют какие-либо следа попыток логина.
UPD:
хотя как вариант поднять AD и CA, а RDS сервер с 1с пихнуть на виртуалку, но это дико много мороки ради 4х юзеров 1ски. Кроме того это надать всё переделывать и соответствено стопать работу 1ски на пару дней.
Кроме того хотелось бы использовать единый CA и единый сертификат для OVPN и rdp-logon'а. MS CA в плане подружить с OVPN будет вызывать проблемы. Кроме того если внезапно забыть обновить сертификат доступа администратора вовремя - к серваку придётся ехать. далеко :(
Смысл не в количестве, а в качестве. Впрочем, я думаю, что этот вопрос более не актуален. Скорее всего буду пробовать поставить толстый клиент 1с на убунту с вайном и пытаться организовать доступ нескольких пользователей через реализацию rdp для линукс систем. Впрочем, к конкретной проработке этого вопроса ещё не приступал.
Константин Антонов: так в чем качество, поделитесь)я просто серьезно не понял зачем это реализовывать. Конечная цель непонятна. Т.е если есть хаспы на 1с, и их хочется прикрутить к логину по смарткартам, то это одно. А другое это поднимать RCA на винде и выпускать собственные сертификаты для большей секурности и т.п.
Banzaii:
Так-с. Был посыл от начальства переместить 1ску из офиса на удалённый физический сервер в условно неведомых далях; сам сервер стоитза провайдерским натом, отсюда родился овпн-гейт на впске; физический сервер с 1с коннектитсяк впске, клиентытак же коннектятся к ней; овпн использует сертификаты, логин на сервер - обычный логин через рдп локального пользователя.
Ах да, все клиенты удалённые, бухгалтеры работают по домам.
В идеале хотелось бы иметь единую авторизацию с овпн и по рдп с использованием одного сертификата для каждого пользователя; при чём желательно на токене - не столько даже с целью секурности уже, а сколько с ццелью удобства для пользователя и для меня любимого. Сделать единую инсталяшку овпн со всеми прибамбасами, но что бы не пихать сертификат на все ноуты и прочее клиентов, а использовать токен. Кроме того избавится от лишнего ввода пароля на рдп для пользователя, т.к. по факту пользователь сейчас вводит ключ от хранилища сертификата для овпн, и собственно сам пароль для рдп.
В общем, всё это очень громоздко и не удобно; посему на данный момент я просто напросто хочу отказаться от физического сервера и перенести всё на впс. НО. 20 евро за винсервер на впс платить неохота, посему буду рассматривать вариант с убунтой.
Проблема в том, что надо так сделать сначала, а потом уже показать начальству. То есть все эксперименты за свой счёт.
P.S. хаспы давно уже не используем, 1ска работает с программными лицензиями.
Иван Базайченко: прошу прощения за очепятки, пишу быстро и с коцаной клавиатуры. Да и просто хочется отдохнуть после работы. Первый ответ писал в метро с телефона :)
Иван Базайченко: ещё мне подкинули идейку по использованию веб-клиента 1ски, тоже интересно и надо будет подумать на этот счёт, но о лицензионности, кхм, придётся забыть. лицензию на 1сный сервер никто отплачивать не будет конечно.
Но зато это работало бы очень быстро, и очень удобно...
Константин Антонов: т.е получается, если я правильно понял, у вас белого айпишника нет. Раз пришлось городить гейты самостоятельно, так? Или овпн - это приблуда хостера, который предоставляет это тоже как услугу? Попробую ковырнуть чего нить про CA в не доменных сетях, но помнится по опыту различных сервисов требующих сертификатов, без домена оно работало через ж рукава.
Иван Базайченко:
белого айпишника нет, поэтому гейт.
Сам вопрос не актуален, в общем то. Как я уже сказал - буду смотреть в сторону переезда на впс полностью. С линуксами попроще в этом плане. В виндах, как я всё больше убждаюсь на опыте, всё гвоздями прибиваетс к АД, и чем дальше - тем больше. Оно может и не плохо, но не всегда удобно.
Средний
