RDP авторизация PIN + Login/Pass
 

Добрый день.
Не подскажите есть ли возможность реализовать 2-х факторную авторизацию на терминальном сервере следующего характера:

- Пользователь получает токен с его сертификатом и PIN для доступа/использования им.
- При установке RDP соединения пользователь выбирает свой сертификат с подключенного токена, вводит PIN, а затем логин и пароль в случае успешного PIN.

На текущий момент при такой схеме пользователю достаточно ввести PIN и авторизация (логин+пасс) уже не вводятся. PIN заменяет логин/пароль.

Задача в общем то простая: есть front-end TS (в домене, развёрнута PKI, выпущены ключи и записаны на токены). При текущих настройках кроме порта 3389 приходится публиковать порты 88 (Kerberos), 389 (LDAP). Это тоже надо исключить. Подключение должно осуществляться только в рамках RDP (3389), подключения идут с совершенно разных доменов(без доверительных отношений) и stand-alone компьютеров.

Спасибо.

АП.