Iniciar sesión con smart cards

30/03/2006 - 22:17 por ruli12 | Informe spam
Tengo montado un laboratorio para implantar tarjetas inteligentes en la
empresa y poder iniciar sesión y cifrar y firmar correos electrónicos.

He montado una entidad certificadora raíz de empresa, generado certificados
digitales en las smart cards y me puedo logar sin dificultad.

El problema lo tengo a la hora de conectarme desde una ubicación remota a un
servidor, por ejemplo desde una oficina remota por terminal server o desde
casa conectado a través de la VPN. Si introduzco usuario y contraseña es
instantáneo, pero si lo hago con las smart card tengo un retraso
considerable, del orden de 1-2 minutos.

¿A qué puede deberse? En principio había pensado que podría ser por temas de
comprobación de CRLs, pero si éstas están en directorio activo, no debería
haber mayor retraso entre logarme en un equipo de la LAN, que en un equipo en
la WAN.

¿Alguna idea de por dónde investigar?

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
31/03/2006 - 13:26 | Informe spam
No tengo experincia con el tema, pero pienso que debe influir la forma de
inicio de sesión.
Con clientes XP, cuando se inicia sesión, el sistema siempre trata de usar
"cached-credentials" y por lo tanto la validación se hace con el perfil
local. Y por lo tanto es casi instantánea.

En cambio cuando se usan SmartCards, esto no es así, la validación se hace
siempre contra el DC, lo cual hace que el proceso sea considerablemente más
lento.

Aunque eso de "1 o 2 minutos" me parece también demasiado tiempo :-(
Yo apuntaría por el lado de la resolución de nombres, o ver si es la
conexión.
Para comparar, prueba iniciar sesión con un usuario "nuevo" (que nunca haya
iniciado sesión en esa máquina) a ver cuánto demora


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




ruli12 wrote:
Tengo montado un laboratorio para implantar tarjetas inteligentes en
la empresa y poder iniciar sesión y cifrar y firmar correos
electrónicos.

He montado una entidad certificadora raíz de empresa, generado
certificados digitales en las smart cards y me puedo logar sin
dificultad.

El problema lo tengo a la hora de conectarme desde una ubicación
remota a un servidor, por ejemplo desde una oficina remota por
terminal server o desde casa conectado a través de la VPN. Si
introduzco usuario y contraseña es instantáneo, pero si lo hago con
las smart card tengo un retraso considerable, del orden de 1-2
minutos.

¿A qué puede deberse? En principio había pensado que podría ser por
temas de comprobación de CRLs, pero si éstas están en directorio
activo, no debería haber mayor retraso entre logarme en un equipo de
la LAN, que en un equipo en la WAN.

¿Alguna idea de por dónde investigar?
Respuesta Responder a este mensaje
#2 ruli12
31/03/2006 - 15:50 | Informe spam
Guillermo, en el inicio de sesión con smart cards también existe una caché de
credenciales. He probando, porque lo leí en otro foro, con un portátil, a
conectarlo a la red e iniciar sesión con una smart card. Después, ya
desconectado de la red, sigues pudiendo iniciar sesión con smart card.

Cierto que hay una política donde puede requerir que para desbloquear un
equipo contacte con el DC, pero hay que tenerla activada, y sólo es para
desbloquear.

Cuando inicias sesión en un equipo que está en la misma subred del servidor
de certificate services y que un controlador de dominio, el tiempo es de
12-13" con un modelo concreto de smart card y 6" con token USB de Aladdin.
Esos son tiempos razonables.

En el otro extremo está el caso de conectarse desde casa, a través de VPN, o
desde una oficina remota, pero no conectarse al propio equipo, donde sí
funcionaría la cache, sino conectarse por escritorio remoto a un servidor de
la ubicación central. Conectándose con usuario y contraseña es inmediato, del
orden de 1 segundo. En cambio validándose con smart card o token usb, estamos
hablando de 1-2 minutos.

Eso es lo que no entiendo. Aquí no debería entrar en juego la latencia de la
red, porque en ambas situaciones (usuario/contraseña y certificado digital en
una smart card) estamos "sufriendo" la misma latencia y ancho de banda
disponible.

"Guillermo Delprato [MS-MVP]" wrote:

No tengo experincia con el tema, pero pienso que debe influir la forma de
inicio de sesión.
Con clientes XP, cuando se inicia sesión, el sistema siempre trata de usar
"cached-credentials" y por lo tanto la validación se hace con el perfil
local. Y por lo tanto es casi instantánea.

En cambio cuando se usan SmartCards, esto no es así, la validación se hace
siempre contra el DC, lo cual hace que el proceso sea considerablemente más
lento.

Aunque eso de "1 o 2 minutos" me parece también demasiado tiempo :-(
Yo apuntaría por el lado de la resolución de nombres, o ver si es la
conexión.
Para comparar, prueba iniciar sesión con un usuario "nuevo" (que nunca haya
iniciado sesión en esa máquina) a ver cuánto demora


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
01/04/2006 - 15:34 | Informe spam
Gracias por el dato de las "cached-credentials". La documentación de
Microsoft de Windows 2000 decía lo contrario :-)

Si interpreto bien, el problema está en el inicio de sesión por escritorio
remoto, y veo que no eres el único
(http://www.derkeiler.com/Newsgroups.../0331.html)
En la KB de MS no encuentro nada :-(
¿Has probado cambiando la configuración de seguridad en las propiedades de
la conexión RDP en TS Configuration?


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




ruli12 wrote:
Guillermo, en el inicio de sesión con smart cards también existe una
caché de credenciales. He probando, porque lo leí en otro foro, con
un portátil, a conectarlo a la red e iniciar sesión con una smart
card. Después, ya desconectado de la red, sigues pudiendo iniciar
sesión con smart card.

Cierto que hay una política donde puede requerir que para desbloquear
un equipo contacte con el DC, pero hay que tenerla activada, y sólo
es para desbloquear.

Cuando inicias sesión en un equipo que está en la misma subred del
servidor de certificate services y que un controlador de dominio, el
tiempo es de 12-13" con un modelo concreto de smart card y 6" con
token USB de Aladdin. Esos son tiempos razonables.

En el otro extremo está el caso de conectarse desde casa, a través de
VPN, o desde una oficina remota, pero no conectarse al propio equipo,
donde sí funcionaría la cache, sino conectarse por escritorio remoto
a un servidor de la ubicación central. Conectándose con usuario y
contraseña es inmediato, del orden de 1 segundo. En cambio
validándose con smart card o token usb, estamos hablando de 1-2
minutos.

Eso es lo que no entiendo. Aquí no debería entrar en juego la
latencia de la red, porque en ambas situaciones (usuario/contraseña y
certificado digital en una smart card) estamos "sufriendo" la misma
latencia y ancho de banda disponible.

"Guillermo Delprato [MS-MVP]" wrote:

No tengo experincia con el tema, pero pienso que debe influir la
forma de inicio de sesión.
Con clientes XP, cuando se inicia sesión, el sistema siempre trata
de usar "cached-credentials" y por lo tanto la validación se hace
con el perfil local. Y por lo tanto es casi instantánea.

En cambio cuando se usan SmartCards, esto no es así, la validación
se hace siempre contra el DC, lo cual hace que el proceso sea
considerablemente más lento.

Aunque eso de "1 o 2 minutos" me parece también demasiado tiempo :-(
Yo apuntaría por el lado de la resolución de nombres, o ver si es la
conexión.
Para comparar, prueba iniciar sesión con un usuario "nuevo" (que
nunca haya iniciado sesión en esa máquina) a ver cuánto demora


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.


Respuesta Responder a este mensaje
#4 ruli12
02/04/2006 - 19:47 | Informe spam
Pues la verdad no veo ninguna configuración de la conexión RDP que pueda
mejorar la conexión en cuanto a que sea usando smart cards o usuario y
contraseña.

¿Se te ocurre algún parámetro que modificar?

"Guillermo Delprato [MS-MVP]" escribió:

Gracias por el dato de las "cached-credentials". La documentación de
Microsoft de Windows 2000 decía lo contrario :-)

Si interpreto bien, el problema está en el inicio de sesión por escritorio
remoto, y veo que no eres el único
(http://www.derkeiler.com/Newsgroups.../0331.html)
En la KB de MS no encuentro nada :-(
¿Has probado cambiando la configuración de seguridad en las propiedades de
la conexión RDP en TS Configuration?


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Respuesta Responder a este mensaje
#5 Guillermo Delprato [MS-MVP]
03/04/2006 - 01:05 | Informe spam
En donde te digo, en la lista Security Layer hay dos opciones
- RDP Security Layer
- Negotiate

Podría ser que lo que demora es la "negotiation" ;-)


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




ruli12 wrote:
Pues la verdad no veo ninguna configuración de la conexión RDP que
pueda mejorar la conexión en cuanto a que sea usando smart cards o
usuario y contraseña.

¿Se te ocurre algún parámetro que modificar?

"Guillermo Delprato [MS-MVP]" escribió:

Gracias por el dato de las "cached-credentials". La documentación de
Microsoft de Windows 2000 decía lo contrario :-)

Si interpreto bien, el problema está en el inicio de sesión por
escritorio remoto, y veo que no eres el único
(http://www.derkeiler.com/Newsgroups.../0331.html)
En la KB de MS no encuentro nada :-(
¿Has probado cambiando la configuración de seguridad en las
propiedades de la conexión RDP en TS Configuration?


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida