Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
?? новеловодам: не могу задать юзеру серт, Entrust не пускает 06.09.04 15:33
Автор: cybervlad <cybervlad> Статус: Elderman Отредактировано 06.09.04 15:34 Количество правок: 1
|
Возникла задачка: сделать аутентификацию при входе в сеть Novell по
сертификатам на смарт-картах.
Взял карт-ридер, карту (eToken в виде карты, но это не суть важно), сгенерил
средствами карты пару ключей, выпустил сертификат "внешним" УЦ.
В это время коллега поставил специальный тестовый серверок NetWare,
укомплектовал его триальными версиями eDirectory и NMAS, проинсталлировал
дополнительные методы аутентификации и "сдал" мне админские права.
Далее, действуем "по инструкции":
1) Создаем (юзаем ConsoleOne) в контейнере Security контейнер
NDSPKI:TrustedRoot, в нем NDSPKI:TrustedRoot Object и подгружаем в него
самоподписанный корневой сертифиат УЦ, которым выпускали сертификат юзеру.
Сертификат загружается удачно, при нажатии педали "Контроль" пишет "Valid"
(т.е. разночтений в реализации RSA с процессором карты и УЦ у них нет).
2) Hастраиваем медод "Universal Smart Card". Для этого в его свойствах на
вкладке "сертификат" указываем контекст нашего TrustedRoot.
/* До этого момента все хорошо. Теперь надо настраивать юзера */
3) Выбираем свойства юзера и пытаемся приписать ему сертификат. Для этого
нажимаем на вкладку Security. И тут выпадает окно "Entrust Logon", в котором
предлагается выбрать файл с Entrust Profile и сказать пароль.
Откуда это брать? Откуда оно вообще взялось? Коллега, который ставил сервер
что-то намудрил (он не сознается)? В документации - вообще ничего нет...
Hе дайте помереть идиотом...
|
|
следующие грабли 08.09.04 07:45
Автор: cybervlad <cybervlad> Статус: Elderman
|
Тэкс, эти грабли решились ;) Дело в том, что ConsoleOne была русская, а мануал
английский. В мануале написано "на вкладке Security", я туда честно и жму. А
там еще есть вкладка "Защита", так сертификат надо добавлять на ней,
оказывается. Поубивал бы за такую "локализацию" :(
Зато всплыли другие грабли: сертификат добавляем, жмем педать "Контроль", а
оно говорит - "not valid", указывая в качестве причины "невозможно проверить
цепочку сертификатов до корневого". Соответственно, логин не канает...
Будем рыть дальше...
p.s. Hу неужели никто это не делал?
|
|
|