RDP ক্লায়েন্ট প্রমাণীকরণের জন্য বৈধ হিসাবে স্মার্ট কার্ড বিবেচনা করে না

আমার আছে:

একটি উইন্ডোজ 7 ক্লায়েন্ট মেশিন। আমি সেই মেশিনের প্রশাসক নই।
একটি উইন্ডোজ 2008R2 সার্ভার, যা আমি রিমোট ডেস্কটপ ব্যবহার করে একটি সেশন খুলতে চাই।
একজন রিমোট ডেস্কটপ গেটওয়ে , উইন্ডোজ 2008R2 চলমান।
একটি স্মার্ট কার্ড।

সার্ভার স্মার্ট কার্ড লগন অনুমতি কনফিগার করা হয়। গেটওয়ে পাশাপাশি স্মার্ট কার্ড প্রমাণীকরণ প্রয়োজন। সমস্ত ক্লায়েন্ট এবং সার্ভার সমস্ত প্রাসঙ্গিক CA সার্টিফিকেটগুলি জানেন এবং বিশ্বাস করে, কোন শংসাপত্র মেয়াদউত্তীর্ণ হয় না, সমস্ত CRL যেখানে প্রকাশ করা উচিত তা প্রকাশিত হয়।

গভীরভাবে , স্মার্ট কার্ডের সার্টিফিকেট একটি আছে এক্সটেন্ডেড কী ব্যবহার এক্সটেনশান (EKU) যা "স্মার্ট কার্ড লগন" ওআইডি ধারণ করে না। এটি যদিও "ক্লায়েন্ট প্রমাণীকরণ" বৈশিষ্ট্য। সার্ভার এবং গেটওয়েটি সনদটি সত্ত্বেও কনফিগার করা হয়েছে: এটি একটি নীতি সেটিং যা "বর্ধিত কী ব্যবহার শংসাপত্রের গুণমান সহ শংসাপত্রগুলির অনুমতি দিন" হিসাবে বর্ণনা করা হয়েছে সেখানে ।

সমস্যাটি

ক্লায়েন্ট একটি .rdp ফাইল ব্যবহার করে যা সার্ভারের নাম নির্দিষ্ট করে এবং গেটওয়ে নাম। যেহেতু গেটওয়েটি একটি গেটওয়ে, এবং কোনও প্রকৃত দূরবর্তী ডেস্কটপ সার্ভার নয় তাই এটিতে কোনও "লগইন স্ক্রীন" নেই। পরিবর্তে, স্মার্ট কার্ড প্রমাণীকরণ ক্লায়েন্ট দ্বারা পরিচালিত একটি GUI উপর নির্ভর করে ( mstsc.exe, উইন্ডোজ এর স্ট্যান্ডার্ড আরডি ক্লায়েন্ট) ব্যবহারকারীকে তার স্মার্ট কার্ডটি নির্বাচন করতে এবং তার পিন কোডটি প্রবেশ করতে দেওয়া। পপআপটি কেমন হওয়া উচিত তা এখানে:

Desired smart card authentication popup

(ফরাসি ভাষাভাষী পপআপের জন্য দুঃখিত; আমার হাতে একটি ব্রিটিশভাষী উইন্ডোজ 7 নেই।)

দুর্ভাগ্যবশত, যে পপআপ এই মত প্রদর্শিত হবে না। পরিবর্তে, আমি এই পেতে:

Actual smart card authentication popup

বিশ্লেষণ

বর্ণিত এখানে , ক্লায়েন্ট অ্যাপ্লিকেশনটি (mstsc.exe) স্মার্ট কার্ডগুলি "OSumerate" OS (উইন্ডোজ 7) কে দেবে। ওএস স্মার্টফোনগুলি সন্ধান করবে যা সার্টিফিকেট ধারণ করে যা কিছু মানদণ্ড পূরণ করে, বিশেষ করে কোনও শংসাপত্রের যে কোনও EKU এক্সটেনশান "স্মার্ট কার্ড লগন" ওআইডি রয়েছে। আসলে গেটওয়েতে কথা বলতে চেষ্টা করার আগে সম্পন্ন করা হয়, চূড়ান্ত লক্ষ্য সার্ভার একা একা। গেটওয়ে এবং সার্ভার আমার শংসাপত্রের সাথে পুরোপুরি সুখী হবে; তারা যে ভাবে কনফিগার করা হয়েছে। যাইহোক, ক্লায়েন্ট ওএস প্রয়োগ একই নিয়ম, নিজস্ব কনফিগারেশন অনুযায়ী। আমার ক্ষেত্রে, উইন্ডোজ 7 আমাকে আমার স্মার্ট কার্ড ব্যবহার করতে অস্বীকার করেছে কারণ স্থানীয় নীতিটি স্থানীয় সেশন খুলতে অস্বীকার করবে (যদিও আমি স্থানীয় সেশন খুলতে চাই না)।

এটি একটি উইন্ডোজ এক্সপি ক্লায়েন্টের সাথে কাজ করতে ব্যবহৃত হয়েছিল, কারণ উইন্ডোজ এক্সপি এর "স্মার্ট কার্ড নির্বাচন পপআপ" এই চেকগুলিকে প্রযোজ্য করে না (উইন্ডোজ এক্সপি আরও বেশি বিধিনিষেধযুক্ত ভাবে ইকুকে পরীক্ষা করে, কারণ এটি EKU এক্সটেনশনের অভাবকে সহ্য করে না, কিন্তু প্রকৃতপক্ষে স্থানীয় সেশনটি খুলতে গেলে এটি কেবলমাত্র এই চেকগুলি প্রয়োগ করে, রিমোট সেশনের জন্য একটি শংসাপত্র নির্বাচন করার সময় নয়)।

আমি যে সমাধান ব্যবহার করতে পারি না

"স্বাভাবিক" সমাধান স্থানীয় ক্লায়েন্ট (উইন্ডোজ 7) এর সাথে একই সার্ভার হিসাবে "কোন বর্ধিত কী ব্যবহার শংসাপত্রের বৈশিষ্ট্য সহ শংসাপত্রগুলিকে অনুমতি দিন" এর সাথে কনফিগার করতে হয়। এইভাবে, স্মার্ট কার্ড নির্বাচন পপআপ এখন স্মার্ট কার্ড দেখানোর জন্য গ্রহণ করে এবং জিনিসগুলি ভাল। আমি অন্য সিস্টেমে এটি পরীক্ষা করেছিলাম। যাইহোক, আমি আমার লক্ষ্য সিস্টেমগুলিতে এটি করতে পারছি না, কারণ স্থানীয় নীতি পরিবর্তন করার জন্য প্রশাসকের অধিকারের প্রয়োজন, যা আমার নেই। একইভাবে, ক্লায়েন্টদের জন্য যা একটি ডোমেনের অংশ, সেটিকে AD সার্ভারে জিপিও থেকে ধাক্কা দেওয়া যেতে পারে, যা আমার উপযুক্ত অধিকারগুলির অভাবের জন্য আবার নিষিদ্ধ।

কেউ বলতে পারে যে এই নীতি সেটিংটি প্রকৃতপক্ষে ক্লায়েন্ট মেশিনে এমন শংসাপত্রের সাথে লগইন করার অনুমতি দেয় যা তার EKU তে যথাযথ ওআইডি নেই এবং এটি একটি অনিশ্চিত পার্শ্ব প্রতিক্রিয়া হিসাবে বিবেচিত হতে পারে। আমি একটি সেশন খুলতে চেষ্টা করছি রিমোট সার্ভার ; আমি একটি সেশন খোলার জন্য শর্ত পরিবর্তন করতে হবে না স্থানীয় ক্লায়েন্ট ।

পুরোনো mstsc.exe সংস্করণগুলি (উইন্ডোজ এক্সপি থেকে) দৃশ্যত কোনও ক্লায়েন্ট প্রমাণীকরণ ছাড়াই সার্ভারে সংযোগ করতে পারে; সেই ক্ষেত্রে, রিমোট সার্ভারটি তার লগইন স্ক্রীন ("বড় নীল-সবুজ পর্দা") প্রদর্শন করবে এবং স্মার্ট কার্ড গণনার পরিচালনা করবে। যেহেতু সার্ভার উপযুক্ত নীতি আছে, তাই এই কাজ করবে। তবে, আমি দুটি কারণে এই ধরনের সমাধান ব্যবহার করতে পারি না:

উইন্ডোজ 7 থেকে mstsc.exe দৃশ্যত তার নিজস্ব পপআপ সঙ্গে প্রমাণীকরণ করতে জোর দেয়।
সেখানে একটি প্রবেশপথ , যা, চূড়ান্ত লক্ষ্য সার্ভারের বিপরীতে, কোনও "লগইন স্ক্রীন" দেখানোর জন্য নেই। ক্লায়েন্ট স্মার্ট কার্ড প্রমাণীকরণের জন্য একটি গেটওয়ে ব্যবহার করার সময়, ক্লায়েন্ট স্মার্ট কার্ড নির্বাচন অবশ্যই ক্লায়েন্ট সফটওয়্যার দ্বারা পরিচালিত করা হবে।

প্রশ্নটি

সুতরাং এখানে আমার প্রশ্ন: এই সমস্যা থেকে একটি উপায় আছে? আদর্শভাবে, mstsc.exe (একটি কমান্ড-লাইন সুইচ বা একটি .rdp ফাইলে একটি ক্লজ) তে কনফিগারেশন সেটিংস এর কিছু ধরণের যা mstsc.exe না ওএস স্মার্ট কার্ড নির্বাচন পপআপ ব্যবহার করতে, কিন্তু নিজের উপর গণনা করতে, বিনা EKU সম্পর্কে কিছু বলার চেষ্টা করছেন। আমি এই ধরনের বৈশিষ্ট্য কোন ট্রেস পাওয়া যায় নি, কিন্তু প্রমাণ অনুপস্থিতি অনুপস্থিতির প্রমাণ নয়। আমি সহজভাবে এটা মিস হতে পারে।

— Thomas Pornin
সূত্র

সংযোগের জন্য একটি .rdp ফাইল তৈরি করুন, enablecredsspsupport সেট করুন: .rdp ফাইলের ভিতরে i: 0 এবং স্থানীয় সংস্থান ম্যাপিং সক্ষম করার জন্য আপনার স্মার্ট কার্ড বিকল্প আছে কিনা তা নিশ্চিত করুন (এটি ডিফল্ট হয়ে থাকে, যাতে ইতিমধ্যেই কেস না হওয়া পর্যন্ত এটি হওয়া উচিত স্পষ্টভাবে নিষ্পত্তি পরিবর্তন।)

আরো বিস্তারিত জানার জন্য নিম্নলিখিত এন্ট্রি দেখুন: http://blogs.msdn.com/b/rds/archive/2007/01/22/vista-remote-desktop-connection-authentication-faq.aspx#_When_to_use

আমি নই পুরোপুরি নিশ্চিত করুন যে এটি মধ্যস্থতাকারী গেটওয়েটির কারণে আপনার সমস্যার সমাধান করার জন্য কাজ করবে তবে সত্যি বলতে কী, আমি এই সমস্যার জন্য অন্য কোনও সম্ভাব্য সমাধানের কথা ভাবতে পারি না।

— A for A
সূত্র

আমি আগামীকাল চেষ্টা করব, যখন আমি কাজে ফিরে যাব। আপনার বিবরণ থেকে, এটি প্রতিশ্রুতিশীল দেখায়।

— Thomas Pornin

দুর্ভাগ্যবশত, এটি কাজ করে না: ক্লায়েন্ট অবশ্যই সচেতন যে এটি একটি গেটওয়েতে কথা বলা উচিত এবং ব্যবহারকারীর শংসাপত্রগুলির জন্য জিজ্ঞাসা করার সিদ্ধান্ত নেয় আগে গেটওয়ে কথা বলা; এবং enablecredsspsupport এটা কিছুই পরিবর্তন।

— Thomas Pornin

আইএমএইচও, যে মাইক্রোসফট সহ একটি সমর্থন কল warrants।

— A for A