Smart Card Authentication сделать

другое 2020-03-19 01:52:11 Время чтения: null

Smart Card Authentication сделать

https://www.cnblogs.com/AlexanderYao/p/4307304.html

 

1, сетевая среда для сборки:

+1 машина с тремя наборами виртуальных машин взять одного теста физического сегмента сети: 172.16.188.x, следующим образом:

имя машины IP Операционная система эффект
суждение 172.16.188.1 сервер выигрыша 2008 R2 / VM Домен сервера AD, сертификат сервера AD, сервер IIS
имеют 172.16.188.10 сервер выигрыша 2008 R2 / VM Удаленный сервер Desktop (также ранее Terminal Server)
win7 172.16.188.100 win7 / VM Аналоговые Win7 клиент
хр 172.16.188.101 Win XP sp3 / физические машины Аналоговые XP клиент

 

2, настроить сервер сертификатов

1) в йот, первый добавить доменные службы Active Directory, веб-сервер (IIS), а затем добавить сертификат службы Active Directory, который будет создать веб-сайт CertSrv в IIS для запроса сертификата и выдачи. При добавлении службы сертификатов, он будет генерировать корневой сертификат CA, например, секретный-DOM-CA, все последующие сертификаты, принятых этим сертификатом.

2) шаблоны сертификатов управления: Open Администрирование -> Центр сертификации -> Шаблоны сертификатов, щелкните правой кнопкой мыши «управление». В всплывающем «Certificate Templates Console», изменить «смарт-карты входа» и «умные пользователи карты» Right Свойства -> вкладка Безопасность -> Добавить пользователя домена могут читать + регистрацию. Вы также можете создать новый шаблон сертификата путем копирования существующего шаблона.

3) шаблон сертификата: Open Администрирование -> Центр сертификации -> Сертификат Шаблоны, щелкните правой кнопкой мыши на «Новый» -> Шаблон сертификата для выпуска, выберите «Smart Card Logon» и «умные пользователи карты,» OK.

4) Измените атрибут CA: Open Администрирование -> Центр сертификации -> имя CA (например, секретный-DOM-CA), Right Properties -> Безопасность, добавить пользователей домена могут читать + запросить сертификат.

 

3, настроить IIS сервер

1) добавить поддержку https: "Edit Bindings" Открыть Администрирование - -> Internet Information Services (IIS) Manager> По умолчанию веб-сайт-> щелчок правой По умолчанию для поддержки как HTTP + HTTPS, если нет, то вручную добавить HTTPS, SSL сертификаты могут выбрать, например dom.secret.company.com.

2) Добавить CertSrv Аутентификация: Поскольку пользователю войти Certsrv и подать заявление, он будет генерировать учетные данные пользователя, поэтому, чтобы избавиться от анонимной проверки подлинности, а также добавить базовую аутентификацию + Digest. Нажмите CertSrv Сайт -> Authentication, соответственно, отключить / включить его.

3) Если вы не связываются SSL, будет сообщено «чтобы завершить свидетельство о регистрации, ЦС должен быть настроен на использование HTTPS аутентификации сайта.»

 

4, среда домена конфигурации

1) и домен: 3 дополнительная машина была заменена на имя домена и secret.company.com добавил, перезапуск после домена. При этом инструменты управления временем -> Active Directory пользователи и компьютеры -> Компьютеры появятся в присоединенных к домену машин, а именно тер, win7, хр.

2) Добавление пользователя домена: Администрирование -> Active Directory пользователи и компьютеры -> пользователей для добавления пользователей в тесте.

3) Установка ePass3000: все машины установлены ePass3000 диск, обратите внимание, чтобы проверить «операционную систему для поддержки смарт-карты входа или VPN», как говорят, должен быть установлен только на машине, подающие заявки.

 

5, подать заявление на получение сертификата

1) CertSrv Лог: Любой из приводимой машины установлен на ePass, откройте IE ввода https://dom.secret.company.com/certsrv (Примечание: Если прямой вход в IP-адрес 172.16.188.1 и выше, будет IE8 Новости «сертификат безопасности сайта имеет проблемы,» поскольку отождествляет сертификата доменного имени, а не IP, IP, чтобы создать сертификат, удостоверяющий личность, если связывание, то выходной IP-адрес не будет сообщено), используя логин тестового пользователя ,

2) заявление на получение сертификата: В случае вставки ePass3000, нажмите на приложения для сертификата -> Advanced Application Certificate -> Создать и отправить запрос к этому ЦС, в первый раз, чтобы установить плагин CertEnrollCtrl. При этом шаблон сертификата выпадающий должен иметь «умные пользователь карты» и «Smart Card Logon» Эти два, и только пользователи по умолчанию + основные EFS, если только эти два, или просто не имеет один, а газету «не смогло найти сертификат шаблон. Вы не имеете ошибку разрешения от ЦС запроса сертификата или при доступе к Active Directory «пожалуйста, обратитесь к разделу» 2 Настройка сервера сертификатов. " СНТ выпадающий должна быть «Feitian ePassNG RSA Cryptographic Service Provider», если нет, то объясните ePass на этой проблеме установки драйверов машины, например, как я не могу выйти из этого один на Server 2008 R2.

3) Установить сертификат: нажмите на кнопку отправить, ePass начинают генерировать пару ключей. На следующей странице, нажмите на кнопку «Установить сертификат», ePass начинают генерировать сертификаты X.509. Использование средств управления ePass ePassNgMgr.exe, вы можете ясно видеть USB хранился в сертификате тестового пользователя и пары ключей.

 

6, смарт-карты для входа в Windows

В окнах экрана входа в систему вставьте смарт-карту, введите пин-код, который пользователи домена могут войти на тест. Есть две небольшие проблемы:

1) Если ввести отчет о проверке пин-код не действует, пожалуйста, попробуйте установить сертификат CA корня, что корневой сертификат ЦС, чтобы присоединиться к текущей машине «Доверенные корневые центры сертификации».

2) Если USB, что есть более чем один сертификат, будет принимать в окно первого времени входа в систему, и браузер (IE8 +, Chrome, Firefox и т.д.), как правило, предлагает вам выбрать один из них.

 

7, смарт-карта Войти удаленный рабочий стол

1) Сначала вставьте смарт-карту, если даже что хр, когда выход хороший IP нажмите на ссылку непосредственно позволить вам потерять пин-код, если это даже win7 +, будет три способа выбрать, выбрать первые три смарт-карты для входа на.

2) может сообщить о «смарт-карты ошибка: Система привода карты не требуется»: Этот вопрос не был полностью решен, но даже хр нормально, но даже win7 + Server 2008 R2 сообщили это неправильно. Я понимаю, должен быть ePass на драйвер удаленной машине не установлен должным образом, но после того, как открытие обычного входа удаленного рабочего стола смарт-карты на самом деле отображается правильно пройдена.

  • Но во время визита CertSrv-> расширенный запрос сертификата, НСП есть на самом деле нет «Feitian ePassNG RSA Cryptographic Service Provider».
  • Это « Как НСП Оцените эту страницу Установили Find компьютера на » указывает местоположение машины все ПСУ в реестре, если руководство в Feitian СНТ XP записи реестра в целевую машину, включите его снова CertSrv-> Запрос Advanced Certificate когда страница, СНТ выпадающего списка с Feitian, но выбрать News «возможно, выбраны неподдерживаемый тип ключа ПСА определен шаблон. Пожалуйста , измените ключевые категории в шаблоне, или выберите другой ПЕС или шаблон сертификата.», кажется до сих пор не в состоянии ездить правильно установлено + регистрацию, О, это сомнительно!

3) проблемы установки ePass: Можно установить газету «Ошибка инициализации PKCS # 11 Библиотека, 0x0000 0030», нашел ключ, чтобы открыть службу services.msc ngSlotD не создавать или не начать. Вы можете создать себя:

1 СБН создать ngslotd binPath = "% ProgramFiles% \ ngsrv \ ngslotd.exe" старт = автоматическое зависит = SCardSvr 
2 подкожно начала ngslotd

4) Разрешить удаленный рабочий стол: Политика домена по умолчанию, кажется, делает возможным удаленный рабочий стол. Домен Сервер -> Администрирование -> Управление групповой политикой -> Объект групповой политики -> Домен по умолчанию Разработка политики> правой кнопкой редактор, откройте редактор управления групповыми политиками.

  • Конфигурация компьютера -> Политика -> окна настройки -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя -> Разрешить вход в систему с помощью служб удаленных рабочих столов, адд пользователей домена, удаленных рабочих столов пользователей и другие родственные группы.
  • Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Remote Desktop Services -> Remote Desktop Session Хост -> Подключение -> Remote Desktop Services позволяет пользователям удаленно подключаться вместо включен.
  • Если эти параметры будут отключены, можно ориентировать машину - правый Мой компьютер> -> Свойства -> Remote -> выберите пользователя в ... Добавить пользователей домена, пользователей удаленного рабочего стола и другие родственные группы.

 

8, ссылка

1) " Smart Card Logon и проверка подлинности "

2) " USB eToken для пользователя домена Windows , РДП Authentication "

3) " Как найти ПЕС , установленные на компьютере "

 

============= End

 

рекомендация

отwww.cnblogs.com/lsgxeva/p/12521565.html
рекомендация
ранжирование
20191017-7 альфа неделю отчет Законодательный совет 2/2 Scrum + сгореть 06
застежка-молния бомба
[Other] Официальный сайт Andrews SpringBoot быстрый метод интеграции
Класс инструмента XLSXCovertCSVReader (XML)
Тема Пример синхронизации
解决移动端不同分辨率下 按钮上下不居中问题(scale 缩放)
Краткое описание страницы стиль макета
Python — end = Использование
SpringBoot специальное исследование Part20: SpringBoot интеграция конфигурации и использования MyBatis - реализация примечания
Некоторые идеи из 5-летнего опыта автоматизированного тестирования — пусть вас не смущает путь к расширенному тестированию.
файл
более
2024-06-02(0)
2024-06-01(1)
2024-05-31(1)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)
2024-05-24(13)

Код мира

© 2018 codetd.com