SharePoint Security RSS Feed RSS Feed SharePoint Security Live SupportARB Security Solutions Partner Program Partner-Programm
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagJapanese flagRussian flagHindi flagPolish flagHebrew flagIndonesian flagUkrainian flag                              
Über | Artikel | Dienstleistungen | Software | Kontakt
Absichern von SharePoint Services

Progressive Security Modelle mit integrierten Microsoft-Technologie

SharePoint Consulting Services Architecture
SharePoint Architektur mit Sicherheits-und Governance

Industrial SharePoint Architektur mit einem Fokus auf Sicherheit und Governance

SharePoint Consulting Services Architecture
SharePoint Security Code Reviews

Secure Code SharePoint Design und Corporate Security Code Bewertungen

SharePoint Development Consulting Services
SharePoint Security Research

Wegweisende SharePoint / Microsoft Security Artikel und Forschung

SharePoint Security Labs

Artikel & Research

Latests SharePoint Development Beiträge

Latests SharePoint Security Beiträge

CAC Enabled Anonym SharePoint-Websites

Von: Noni Hernandez
Enterprise Architect

Wenn Sie haben gearbeitet oder Plan über die Arbeitsbedingungen innerhalb der DoD Umwelt, Sicherheit wird ein Thema, dass Ihre Träume verfolgt werden. Nicht, dass Sicherheit nicht weit verbreitet in der Privatwirtschaft, aber angesichts der Art unserer Arbeit ist die Sicherheit oberste Priorität, wenn nicht die Priorität Nummer eins. Davon abgesehen, habe ich mit dem DoD-PKI arbeitet seit den letzten Jahren so dass ich voll und ganz bewusst von der Tragweite und der Bereitstellung einer sicheren IT-Umgebung bin. Kürzlich war ich mit bringen alle unsere öffentlich zugänglichen Servern an einen sicheren Standard beauftragt. Dies beinhaltete den Einsatz einer Load Balancing ISA 2006 Array und dem Schutz aller unserer Leistungen durch die NIPRNet oder kommerziellen Internet. Eines meiner Projekte war die Sicherung unserer SharePoint-Farm nur durch den Zugang über unseren ISA-Array. Normalerweise wäre dies eine Aufgabe in einem Schlaf beendet, je nach Modell werden die Authentifizierung genutzt werden. Allerdings bringt, ein DoD-Element auf die besonderen Anforderungen erfüllt, um den Schutz unserer Daten gewährleisten muss. Geben Sie die CAC, oder Common Access Card, und die Nutzung des DoD PKI, um eine sicherere Umgebung zu erzwingen.

Von Natur aus, ISA 2006 hat große Unterstützung für das Client-Zertifikat-Authentifizierung Modell, aber es gibt einige Einschränkungen. Die wichtigste davon wird ISA erlauben nur eine solche Verbindung durch die Abfrage Ihrer Domain zu einem aktiven Mitglied der Domäne zu authentifizieren. Das ist völlig in Ordnung, außer für die Vorstellung, eine öffentlich zugängliche Seite mit wenigen Informationen, über einen anonymen Zugang Modell. Dies ist, wo die Dinge zu bekommen tricky beginnen. Wie gesagt ich früher, eine Forderung des DoD übergeben ist, alle öffentlich verfügbaren Server-Authentifizierung via CAC sicher. Dies bedeutet, Gewährung des Zugangs zu Ihrer öffentlichen Website zu jedermann mit einem gültigen CAC. Wenn Sie die Veröffentlichung Ihrer Website anonym sind und einen unmittelbaren Zugang zu Ihrem Hof, dann den Einsatz dieses Szenario ist recht einfach, aber verlassen Sie Ihren Server anfällig für mögliche unbefugtem Zugriff, indem Sie einfach den direkten Zugriff. Also natürlich müssen wir diese Website durch unseren ISA-Array zu veröffentlichen, um diese Ebene an Sicherheit bieten. Dies ist, wo ich zum ersten Mal zu Problemen führte. Wenn Sie die Konfiguration eine Zugriffsregel in ISA dann ermöglicht Clientzertifikatauthentifizierung sind, muss der Benutzer ein aktives Mitglied in der Domäne mit ihren CAC registriert sein, um dieses Konto. Wenn Sie die Zertifikat-Anforderung auf dem Webserver zu verlassen und die Authentifizierungs-Anfrage auf den Hörer zu "Keine Authentifizierung und" Authentifizierung Delegation zu "Keine Delegation, aber die Kunden können direkt authentifizieren", werden Sie wahrscheinlich erhalten 408/Request out-Fehler beim Versuch, die Seite zugreifen Zeitüberschreitung. Ich war zu dieser Fehlermeldung für Wochen nach dem Versuch zahlreiche Kombinationen, um diese Arbeit zu machen stecken.

Nach vielen schlaflosen Nächten (und noch schlimmer, Alpträume!) Versucht, eine Lösung für dieses Problem zu schaffen, kam ich endlich in der Lösung nur nach einer entsprechenden Aufforderung auf einen anderen Server hinter unserem Angebot zu sichern. Also hier ist die Methode, die ich entwickelt, um einem Benutzer Zugang zu unseren Anonym SharePoint-Website zu ermöglichen, mit der einzigen Bedingung wobei sie einen gültigen CAC.

Schritt 1.

Auf Ihrem ISA-Array, anstatt einen SharePoing Site Publishing-Regel oder eine Web Site Publishing Rule, wählen Sie "Nicht-Web-Server-Protokoll Publishing Rule". Geben Sie ihm einen aussagekräftigen Namen, damit Ihre Administratoren können leicht erkennen, was die Regel ist die Durchführung, wählte ich 'HQ Anonym SharePoint Site [CAC Enabled] ". Nachdem Sie auf Weiter geben Sie die IP entweder die einzelnen Server oder die IP Load Balancing genutzt werden, um die Site zu erreichen. Nach einem Klick auf Weiter, müssen Sie klicken Sie auf Neu, um eine modifizierte Version des HTTPS / SSL-Protokoll zu erstellen, nannte ich sie 'HTTPS [HQ Anon] "wieder spiegeln seine Auslastung. Nach einem Klick auf Weiter müssen Sie zuerst ein Inbound TCP-Protokoll mit dem Port Range 443-443. Dies ist im Wesentlichen Strippen Festlegung der Methoden, die von ISA, dh Kompression, Maskierung benutzt, um eine SSL-Verbindung zulassen, aber immer noch Erzeugen eines Proxy-Verbindung zu unserer internen Website, um die Daten zu schützen. Nach einem Klick auf OK, Sie müssen das Gleiche tun und zu schaffen und ausgehende Verbindung mit den gleichen Parametern, wird dies ermöglichen das Client-Zertifikat anfordern, um wieder an den Endverbraucher für eine erfolgreiche Handschlag verabschiedet werden. Nach einem Klick auf OK und dann auf Fertig stellen, sollten Sie Ihre neue Protokoll in der "Selected siehe Protokoll" Dropdown-Liste. Klicken Sie auf Weiter und wählen Sie das Netzwerk, das für diese Zugriffe werden hören, am ehesten "externe" und klicken Sie dann auf die Schaltfläche Adresse. Da ich mit einem Lastenausgleich Array Ich habe bereits ein VIP bereit, für diese Website veröffentlicht genutzt werden, so wähle ich "angegebene IP-Adresse .. ' und wählen Sie dann die IP-I benutzen werden, um diese Webseite zu veröffentlichen und klicken Sie dann auf Add so dieser Regel ist nur Beantwortung von Anfragen an diese bestimmte IP. Nachdem Sie die IP und klicken Sie auf OK, klicken Sie auf Fertig stellen, um die Schaffung der Regel vollständig.

Schritt 2.

Nachdem Sie die Regel, doppelklicken Sie auf die neue Regel erstellt, um die Eigenschaften anzuzeigen. Klicken Sie auf "An" und ändern Sie die Registerkarte "Antrag für die veröffentlichten Server 'Einstellung' Requests scheinen aus dem ISA Server-Computer" kommen. Sobald Sie sich vergewissert haben, alle Einstellungen korrekt sind aus Schritte 1 und 2 klicken Sie dann auf "Übernehmen" und "OK". Dies sollte den Abschluss des ISA-Konfiguration Teil!

Schritt 3.

Auf Ihrer SharePoint-Farm, müssen Sie die IIS-Einstellungen zu öffnen und navigieren Sie dann zu Ihrem anonymen Website und die Eigenschaften anzuzeigen. Wenn Sie die Eigenschaften zu öffnen, navigieren Sie zu dem Directory Security-Seite und klicken Sie dann auf "Bearbeiten" auf dem Abschnitt Sichere Kommunikation. Hier müssen Sie wählen Sie "Require secure channel", "Require Client-Zertifikate" und dann "Enable Certificate Trust List". Klicken Sie auf Neu, um eine neue Trust-Liste, klicken Sie auf Weiter und klicken Sie dann auf "Aus Datei hinzufügen". Sie müssen das DoD Root CA 2 wählen und ich habe auch DoD KLASSE 3 Root CA von wo aus Sie haben diese Zertifikate gespeichert werden. Klicken Sie auf Weiter und dann gib ihm einen Namen, dh DOD CTL, klicken Sie auf Weiter und dann Fertig stellen. Nach einem Klick auf OK den ganzen Weg durch den Directory Security Seite der anonymen Website-Eigenschaften, sind Sie fertig!

So wie Sie sehen, es ist wirklich nicht ein komplizierter Prozess. Aber in den großen Plan der Dinge, wie wir alle wissen, dass wir denken eher über und über die Dinge zu komplizieren, Lösungen Ingenieur. Ich bin mehr als schuldig an diesem, ich verlor Wochen schlafen, es zu beweisen! Diese Konfiguration Leitfaden ist auf einen Vorwand, dass Sie zu tun haben einige vorläufige Elemente konfiguriert gesetzt, und dass Sie die Sackgasse an der gleichen Stelle habe ich getan. Wenn ich es nicht an den Haaren, weil diese zu verlieren, und haben soeben Ihren Abstieg in den Wahnsinn begonnen, dann müssen Sie wissen, dass es einige Schritte, die vor Erreichen dieser Stufe abgeschlossen sein soll.

-------

Vielen Dank für die Zustimmung Noni zu diesem Post zu schreiben! Ich denke, jeder wird zustimmen Dies ist ein wertvoller Beitrag zur DoD - SharePoint-Community!

  • Share / Bookmark

Artikel oder Forschung Abgelegt unter SharePoint | SharePoint-Architektur .

6 Kommentare »

  1. [...] Um die BlogosphereCAC Enabled Anonym SharePoint Sites (SharePoint Shelter) Wenn Sie haben gearbeitet oder Plan über die Arbeitsbedingungen innerhalb der DoD Umwelt, Sicherheit wird ein Thema, dass Ihre Träume verfolgt werden. Nicht, dass Sicherheit nicht weit verbreitet in der Privatwirtschaft, aber angesichts der Art unserer Arbeit ist die Sicherheit oberste Priorität, wenn nicht die Priorität Nummer eins. Davon abgesehen, habe ich mit dem DoD-PKI arbeitet seit den letzten Jahren so dass ich voll und ganz bewusst von der Tragweite und der Bereitstellung einer sicheren IT-Umgebung bin. Kürzlich war ich mit bringen alle unsere öffentlich zugänglichen Servern an einen sicheren Standard beauftragt. [...]

    Pingback von Windows 7 jetzt mit XP-Modus, Screenshots Office 2010, EDS, Microsoft Hosted Applications verkaufen - SharePoint Daily - Bamboo Nation - 28 April 2009 @ 06.19 Uhr

  2. Hallo Noni,

    Ich habe für fast 2 Wochen gekämpft, um meine Arbeit mit SharePoint-Website CAC-Karte zu machen. Wir haben noch kein ISA 2006-Umgebung. Ich muss CAC-Authentifizierung direkt an Web-Server implementieren. Unten ist das Szenario.

    Ich habe MOSS2007 Website in Windows Server 2008 mit Windows-Authentifizierung (AD) erstellt. Ich muss diese Seite mit CAC-Authentifizierung zu machen. AD hat alle Client-Zertifikaten zu Benutzerkonten zugeordnet.

    Schritt 1:
    Ich installierte Client Certificate Mapping-Authentifizierung in IIS7.0 und aktiviert für den Server.
    Ich aktivierte Client Certificate Mapping und legen Sie die SSL propety zu SslNegotiateCert in IIS7.0.

    Ich versuche, die Seite vom Client-Browser mit meinem CAC zugreifen und sie auffordert, digitales Zertifikat (keine Zertifikate in ihr wählen). Wenn ich auf OK klicken, dann fragt mich prompt Windows-Authentifizierung.

    STEP2:
    Ich folgte Ihren Schritt 3 oben und Seite begonnen, die 403 Fehler.

    Ich bin verzweifelt auf der Suche nach der Lösung.

    Können Sie mir bitte helfen, mich auf diese Lösung?

    Vielen Dank,
    Reddy

    Kommentar von Reddy - 13 November 2009 @ 09.21 Uhr

  3. Große Artikel, gut strukturiert und geschrieben! Ich arbeitete mit einem SharePoint Portal in die Vergangenheit, und wir waren für die Zukunft planen; CAC enbabling wurde die Website aufgeschaltet wird. Reddy's Lage gewesen wäre, eine ähnliche zu mir haben. Gab es irgendwelche Reaktionen auf Reddy's Fragen? Ich bin nicht mehr auf, dass SP-Portal und das ist nur für mein persönliches Wissen darüber, wie es wäre gearbeitet habe. Nochmals vielen Dank für ein gutes Buch

    Kommentar von Bruce - 7. Dezember 2009 @ 12.12 Uhr

  4. Bitte hinterlassen Sie Kommentare zu diesem Artikel mit Ihrer CAC / SharePoint Erfahrungen.

    Danke ... Adam.

    Kommentar von Adam - 26. Januar 2010 @ 01.10 Uhr

  5. Hey Jungs,

    Leider habe ich nicht etwa in eine Weile, außergewöhnlich beschäftigt sich hier mit den wichtigsten Ereignissen in der Karibik. Ich habe gerade gelesen Ihren Beitrag Reddy und würden gerne weiter diskutieren, wenn Sie nicht bereits eine funktionierende Lösung erreicht haben. Ich werde schauen Sie hier öfter jetzt, dass die optempo hat ein bisschen langsamer!

    Vielen Dank an alle, die meinen kleinen Klappentext gelesen und fand es nützlich oder ein gutes Buch, dies ist mein erster Versuch Erzeugung einer Nachricht wurde und ich habe es wirklich genossen! Ich habe ziemlich viel weiter unten in der ISA Kaninchenbau so vielleicht eine andere Stelle geschrieben werden könnte ... Adam fortgeschritten?

    Achten Sie darauf, alle!

    Noni

    Kommentar von Noni - 8. Juli 2010 @ 08.56 Uhr

  6. Natürlich! Ich würde auch gerne einen anderen Beitrag zu lesen. Ich glaube, Sie haben noch meine E-Mail ...

    Kommentar von Adam - 12. Juli 2010 @ 07.50 Uhr

RSS-Feed für Kommentare zu diesem Beitrag. TrackBack-URL

Hinterlasse einen Kommentar


Adam Buenz MVP anzeigen Certified Microsoft PartnerSharePoint Green ITMicrosoft Small Business SpecialistW3C Beschwerde W3C-konform | Rechtliche Hinweise | Datenschutz | Kontakt
© 2003-2010 ARB Security Solutions, LLC. | Bereitstellung von SharePoint Security Integration Seit 2003 | Minneapolis, MN
ARB Security Solutions wird nicht von Microsoft Corporation übernommen. SharePoint ist ein Warenzeichen der Microsoft Corporation.
Site wird verwaltet von Adam Buenz - SharePoint MVP Foundation Adam Buenz LinkedIn anzeigen