我们正在考虑用更强大的东西替换我们校园范围内的磁卡系统。我的“程序员”方面说必须有一个开源的、可扩展的解决方案已经做到了这一点,但我能找到的只是专有的供应商特定的解决方案。
理想情况下,它具有以下内容:
我发现的信息缺乏使我相信我没有在寻找正确的东西......或者这样的解决方案不存在。有没有一些基本的开源解决方案(例如用于数据库的 MySQL,或用于 LMS 的 Moodle,或用于 Web 服务器的 Apache)?
我们将 Cisco 网络设备配置为使用他们的域帐户通过在 Windows 2008R2 服务器上运行的具有网络保护角色的 RADIUS 对网络管理员进行身份验证。这对于在配置设备时通过 SSH 登录交换机非常有用。
我们现在正处于为登录部署智能卡的开始阶段。有谁知道使用智能卡而不是域用户名和密码登录 Cisco 交换机的方法吗?
我们使用的 SSH 客户端是 Putty。工作站是 Windows 7。RADIUS 在 Windows 2008R2 上运行。我们在 Windows 2008 上运行我们自己的证书颁发机构;网络未连接到 Internet。
我们宁愿不必为此功能购买额外的专有设备。
当我通过远程桌面登录我的服务器2012 R2服务器它坐落在登录屏幕10-20秒登录我面前。登录后,我发现在Windows系统事件日志中的三个错误,所有的记录为事件ID 7011与源服务控制管理器:
等待来自 UmRdpService 服务的事务响应时达到超时(30000 毫秒)。
等待来自 ScDeviceEnum 服务的事务响应时达到超时(30000 毫秒)。
由于以下错误,智能卡设备枚举服务服务无法启动:服务没有及时响应启动或控制请求。
显然UmRdpService是 RDP 端口重定向器服务,所以我想当我建立到我的服务器的远程桌面会话时,RDP 正在尝试重定向智能卡。 但是我没有任何类型的智能卡设备连接到我的服务器或我进行远程连接的机器。
我检查了智能卡设备枚举服务服务并注意到它的启动类型是Manual (Trigger Start). 我可以手动启动和停止服务,并且不会记录任何错误。
登录时如何防止这种不必要的延迟?
login windows-service remote-desktop smartcard windows-server-2012
我的 Windows“以域为中心”的公司突然决定从 Windows 7 切换到 Windows 10,我的工作就是让他们准备好的图像通过我们的基于智能卡/令牌的身份验证系统加入我们的域。这是 Windows 7 的一个问题,但是,通过构建证书信任链很容易解决。我不负责在 Windows 7 上完全设置它,所以我不确定整个 Kerberos 进程的内部工作原理。
然而,对于 Windows 10,这一直是一场噩梦。我已经将我的整个过程从 7 镜像到 10,包括所有丢失的证书(我们使用 netdom 通过命令行添加,使用 /securepasswordprompt),但是无论我做什么,我的计算机都不会通过智能卡加入域。他们使用用户名/密码(没有 2FA)添加没有问题,但是使用智能卡,我收到以下错误:
The KDC certificate for the domain controller does not contain the KDC Extended Key Usage (EKU): 1.3.6.1.5.2.3.5: Error Code 0xc0000320. The domain administrator will need to obtain a certificate with the KDC EKU for the domain controller to resolve this error. When using Windows Server Certificate Services create a certificated based on the Kerberos Authentication …
我试图弄清楚如何使用关键扩展集进行合格从属,但我无法弄清楚如何在 MSFT AD CS 中执行此操作。
对于给定的证书,如何确保在颁发的证书上正确设置名称约束?
编辑
到目前为止完成的工作(有关完成的更多工作,请参阅编辑历史记录):
我安装了一个子CA在这里这些方向以下。
名称约束在两个位置之一配置。创建新 CA 时,您可以通过配置 CAPolicy.inf 来施加名称约束,从而为该 CA 定义名称约束。同样,如果您要创建合格的从属 CA 证书,您将在 Policy.inf 文件中定义名称约束。在这两种情况下,都使用以下语法:
Run Code Online (Sandbox Code Playgroud)[NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = TrUe [NameConstraintsPermitted] DNS = "" email="" UPN="" [NameConstraintsExcluded] DNS = .nwtraders.com email = @nwtraders.com UPN = .nwtraders.com UPN = @nwtraders.com URI = ftp://.nwtraders.com DIRECTORYNAME = "DC=NWtraders, DC=com"
我在 subCA 上的 capolicy.inf 是这个
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=LegalPolicy
[LegalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://pki.bitclear.us/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048 …smartcard ssl-certificate certificate-authority smime ad-certificate-services
在我放入服务器的证书开始实际工作之前,我有这种奇怪的无法解释的延迟
它是这样的:
我将证书管理单元添加到 mmc 以管理计算机帐户证书
然后我将一些证书添加到受信任的根证书中,并将一些证书添加到中间证书颁发机构
我添加到受信任根证书的证书是整个组织的,我添加到中间证书颁发机构的证书是我所属的分支。
我使用 cmd 命令“cerutil -f -dspublish RootCA”和“certutil -f -dspublish NTAuthCA”将证书发布到活动目录
我尝试使用智能卡登录,但收到此错误:“处理智能卡时检测到不受信任的证书颁发机构”
我等了一天,然后突然一切正常,我可以登录,我没有收到任何错误,什么都没有。
我到处寻找这种奇怪的延迟,但我没有找到任何具体的东西,有人有任何想法吗?
在 Windows 10 上,有两个应用程序可以远程连接到另一台计算机。一个是旧的远程桌面连接 (mstsc.exe),另一个是现代远程桌面(隐藏在 C:\Program Files\WindowsApps 中的 RdClient.Windows.exe)。我在远程计算机上有自己的应用程序。
SCardEstablishContext作品。SCardEstablishContext返回 0x8010001d (SCARD_E_NO_SERVICE)。为什么 RdClient 会发生这种情况,我该如何解决?