SmartCardLogon via RDP ругается EventID 5. Почему?
Ситуация: AD, 3-d party CA, логин по RDP, сертификат на eToken
При первой попытке зайти через RDP целевой компьютер ругается, что невозможно зайти используя данную смарт-карту, но открывает экран приветствия с приглашением ввести логин/пароль и возможностью выбрать вход со смарт-картой - и вот через экран приветствия по смарт-карте пускает.
Отвечаю на свой же вопрос:
При выпуске сертификата использовалась генерация закрытого ключа самим токеном -> eToken Base Cryptographic Provider
Станция, с которой осуществлялся вход, ничего не знала об этом криптопровайдере, а сервер знал.
Соответственно, установка eToken PKI Client на станцию решила проблему.
Дык это же требование реализации схемы авторизации по сертификатам с помощью USB-токенов - все рабочие станции должны иметь драйвера для работы с токенами, и серверы тоже. Хотя радует, что RDP-клиент, прокинув USB-устройство, позволил серверу определить его как смарт-карту, даже когда са клиент не понял, как с ним работать.
Тут дело не столько в драйверах, сколько в крипто-провайдере.
Если бы закрытый ключ был сгенерирован вне токена и использовал, например, microsoft base cryptographic provider, а затем помещён на токен - проблемы бы не возникло.
RDP-клиент не имеет право прокидывать "какое-то там" неизвестное устройство, он прокинул именно смарт-карту, но не смог корректно подписать закрытым ключом запрос сервера.
Вернее даже так: он не смог корректно подписать закрытым ключом запрос сервера, но потом прокинул смарт-карту, и уже ОС на сервере, умея работать с крипто-провайдером, смогла корректно подписать свой же запрос.
Простой
Средний
