SmartCardLogon via RDP ругается EventID 5. Почему?

Question

[Ziptar]

Ситуация: AD, 3-d party CA, логин по RDP, сертификат на eToken

При первой попытке зайти через RDP целевой компьютер ругается, что невозможно зайти используя данную смарт-карту, но открывает экран приветствия с приглашением ввести логин/пароль и возможностью выбрать вход со смарт-картой - и вот через экран приветствия по смарт-карте пускает.

Почему так? Куда копать?

Answer 1

[Ziptar]

Отвечаю на свой же вопрос:
При выпуске сертификата использовалась генерация закрытого ключа самим токеном -> eToken Base Cryptographic Provider
Станция, с которой осуществлялся вход, ничего не знала об этом криптопровайдере, а сервер знал.
Соответственно, установка eToken PKI Client на станцию решила проблему.

Comments

[Максим Гришин]

Дык это же требование реализации схемы авторизации по сертификатам с помощью USB-токенов - все рабочие станции должны иметь драйвера для работы с токенами, и серверы тоже. Хотя радует, что RDP-клиент, прокинув USB-устройство, позволил серверу определить его как смарт-карту, даже когда са клиент не понял, как с ним работать.

[Ziptar]

Тут дело не столько в драйверах, сколько в крипто-провайдере.
Если бы закрытый ключ был сгенерирован вне токена и использовал, например, microsoft base cryptographic provider, а затем помещён на токен - проблемы бы не возникло.

RDP-клиент не имеет право прокидывать "какое-то там" неизвестное устройство, он прокинул именно смарт-карту, но не смог корректно подписать закрытым ключом запрос сервера.

Вернее даже так: он не смог корректно подписать закрытым ключом запрос сервера, но потом прокинул смарт-карту, и уже ОС на сервере, умея работать с крипто-провайдером, смогла корректно подписать свой же запрос.