Вход со смарт-картой
 

Возникла следующая проблема. Имеется домен 2003 сервер, настроена днс. Установил центр сертификации , сделал все настройки этого центра, опубликовал списки отозванных сертификатов, т.е. старался делать как все описано у майкрософта здесь Далее пошел выдавать сертификат от имени другого пользователя. ВЫбираю "вход со смарт-картой", центр сертификации, администратора и далее пользователя для смарт-карты, делаю запрос сертификата, вставляю смарт-карту и сертификат генерится и пишется на карту, т.е. все проходит отлично. Потом пытаюсь с этой картой зайти на рабочую станцию для которой карточка предназначена. Комп конечно же состоит в домене и для него установлена групповая политика на "требовать смарт-карту". Значит втыкаю ему карту, он просит пин код - ввожу и в итоге получаю ответ "Не разрешен вход в систему. Не удается проверить учетные даные". Уже с ног сбился и немогу найти в чем косяк.

1. Подготовлен ли домен для "SмartCard Logon Method"
- доменконтроллеры получили сертификаты?
- Через ADSI edit ты видишь NTAUTH object?
2. Что у тебя с CRL? в MS smartcard logon ДК обязательно проверяет CRL, без этого не бывает.
тоесть он смотрит на атрибут CDP (crl distribution poin) в сертификате и идет туда.
поэтому посмотри что у тебя написано в CDP и проверь с ДК приходишь ли ты туда. Если запущена прокся, то все усложняется, так как ДК проверяет СРЛ от имени эккаунта- систем. Но это следующие шаги.
3. MS smartcard logon осннован на использовании UPN поэтому проверь, что у тебя написано в SabjectAlternateName в сертификате и что в Активе Директори для тогоже узверя.