RSS Feed Partner-Programm
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagRussian flagHindi flagPolish flagHebrew flagIndonesian flag                                
By N2H
Über | Artikel | Dienstleistungen | Software | Kontakt

Progressive Security Modelle mit integrierten Microsoft Technology

Industrial SharePoint-Architektur mit einem Fokus auf Sicherheit und Governance

Secure Code SharePoint Design und Corporate Security Code Reviews

Wegweisende SharePoint / Microsoft Security Artikel und Forschung

Articles & Research

Latest Free Software SharePoint

ARB Security Solutions veröffentlicht regelmäßig kostenlos SharePoint-Software, einschließlich WebParts, Client-Anwendungen, Framework-Erweiterungen und andere Verschiedene Komponenten.
Die jüngste ist Freeware:

Titel: Einfache Rollup SharePoint WebPart
Datum der Veröffentlichung: 10/22/2009

Zurück Zwei Free WebPart Releases:

SecureCenter Für SharePoint

Durch die SharePoint-Sicherheit Integratoren, für SharePoint-Security-Integratoren.

SharePoint Security Assurance Program ™

Für außen vor SharePoint-Installationen, ist Sicherheit ein wichtiger akut Einsatz Sorge. Erfahren Sie, wie durch die tägliche Sicherheits-Scans lassen sich externe Business-Anwender und Partner, dass sie im Vertrauen zusammenarbeiten zu achten!

Security Assurance WebPart:



Diese Audit-Prozess mit der SharePoint-Security Assurance Program ™

Gratis Online SharePoint Security Tools

CAC Enabled Anonym SharePoint-Websites

Von: Noni Hernandez
Enterprise Architect

Wenn Sie arbeitete / gearbeitet haben oder planen, über die Arbeitsbedingungen in der DoD-Umfeld, wird die Sicherheit ein Thema sein, dass Ihre Träume verfolgt. Nicht, dass Sicherheit nicht weit verbreitet in der Privatwirtschaft, sondern wegen der Art unserer Arbeit ist die Sicherheit oberste Priorität, wenn nicht die Priorität Nummer eins. That being said, ich arbeite mit der DoD PKI für den letzten Jahren so mir bewusst ist, der Umfang und die Auswirkungen der Bereitstellung eines sicheren IT-Umgebung. Vor kurzem war ich mit bringen alle unsere öffentlich zugänglichen Server zu einem sicheren Standard-Aufgabe. Dies beinhaltete den Einsatz einer Lastenausgleich ISA 2006 Array und dem Schutz aller unserer Leistungen durch die NIPRNET oder kommerziellen Internet. Eines meiner Projekte war die Sicherung unserer SharePoint-Farm nur den Zugang über unseren ISA-Array. Normalerweise wäre dies eine Aufgabe im Schlaf abgeschlossen, je nach Modell, das die Authentifizierung genutzt werden. Allerdings wird ein DoD-Element bringt auf spezifische Anforderungen, die erfüllt sein müssen, um den Schutz unserer Daten zu gewährleisten. Geben Sie die CAC, oder Common Access Card, und die Nutzung des DoD PKI zur Durchsetzung einer sicheren Umgebung.

Von Natur aus, ISA 2006 hat eine große Unterstützung für das Client-Zertifikat-Authentifizierung Modell, aber es gibt einige Einschränkungen. Die im wesentlichen darauf ISA erlaubt nur eine solche Verbindung durch Abfrage Ihrer Domain ein aktives Mitglied der Domäne zu authentifizieren. Das ist völlig in Ordnung, außer für die Vorstellung, eine öffentlich zugängliche Seite mit wenigen Informationen, auf einer anonymen Zugriff Modell. Hier beginnen die Dinge schwierig werden. Wie ich bereits sagte, eine Anforderung vom DoD überliefert ist, alle öffentlich zugänglichen Servern über CAC-Authentifizierung sicher. Dies bedeutet, Gewährung des Zugangs zu Ihrer öffentlichen Website zu jedermann mit einem gültigen CAC. Wenn Sie Ihre anonymen Website veröffentlichen und den direkten Zugriff auf Ihre Farm, dann den Einsatz dieses Szenario ist ziemlich einfach, aber verlassen Sie Ihren Server anfälliger für mögliche unbefugte darauf zugreifen, indem das den direkten Zugriff. Also natürlich müssen wir auf unserer Site über unsere ISA-Array zu veröffentlichen, um diese Schicht in Sicherheit zu sorgen. Hier traf ich zuerst in Probleme. Wenn Sie einen Zugang, in ISA dann ermöglicht Client-Zertifikat-Authentifizierung konfigurieren, muss der Benutzer ein aktives Mitglied in der Domäne mit ihren CAC registriert sein, um dieses Konto. Wenn Sie sich für die Zertifikat-Anforderung auf dem Webserver zu verlassen und die Authentifizierungs-Anfrage auf den Hörer zu "No Authentication" und die Authentifizierung Delegation zu "Keine Delegation, sondern direkt Client authentifizieren können, werden Sie wahrscheinlich erhalten 408/Request Timeout-Fehler beim Versuch, die Seite zuzugreifen. Ich war zu dieser Fehlermeldung für Woche nach dem Versuch zahlreiche Kombinationen um damit arbeiten zu stecken.

Nach vielen schlaflosen Nächten (und noch schlimmer, Alpträume!) Versuchen, eine Lösung für dieses Problem zu erzeugen, habe ich endlich über die Lösung nur nach einer entsprechenden Aufforderung auf einen anderen Server hinter unserem Array zu sichern. So, hier ist die Methode, die ich entwickelt, um den Nutzern den Zugang zu unserem anonymen SharePoint-Website zu ermöglichen, mit der einzigen Bedingung wird sie einen gültigen CAC.

Schritt 1.

Auf Ihrem ISA-Array, anstatt einen SharePoing Site Publishing-Regel oder eine Web-Site Publishing-Regel, wählen Sie "Nicht-Web-Server-Protokoll Publishing-Regel". Geben Sie ihm einen aussagekräftigen Namen, damit Ihre Administratoren können auf einfache Weise ermitteln, was die Regel durchführt, entschied ich mich für 'HQ Anonym SharePoint-Website [CAC Enabled]. Nachdem Sie auf Weiter geben Sie die IP entweder die einzelnen Server oder den Lastenausgleich IP eingesetzt, um die Website zu gelangen. Nach einem Klick auf Weiter, dann müssen Sie auf Neu, um eine modifizierte Version des HTTPS-create / SSL-Protokoll, nannte ich sie 'HTTPS [HQ Anon] "wieder spiegeln seine Auslastung. Nach einem Klick auf Weiter müssen Sie zunächst eine eingehende TCP-Protokoll mit dem Port Range von 443 bis 443 zu schaffen. Dies ist im Wesentlichen Strippen Festlegung der Methoden, die von ISA, dh Kompression, Maskierung benutzt, um eine SSL-Verbindung zulassen, aber immer noch erzeugt eine Proxy-Verbindung zu unserem internen Website, um die Daten zu schützen. Nach einem Klick auf OK, dann mußt du das Gleiche zu tun und zu schaffen und Outbound-Verbindung mit den gleichen Parametern benötigen, können diese das Client-Zertifikat auf Anfrage zurück an den Endverbraucher für eine erfolgreiche Handshake verabschiedet. Nach einem Klick auf OK und dann auf Fertig stellen, sollten Sie Ihre neue Protokoll in der 'Dropdown-Liste gewählte Protokoll "zu sehen. Klicken Sie auf Weiter und wählen Sie das Netzwerk, das Hören für diese Anträge wird höchstwahrscheinlich "Externe" und klicken Sie dann auf die Schaltfläche Adresse. Da ich mit einem Lastenausgleich Array Ich habe bereits eine VIP bereit, für diese Website veröffentlicht genutzt werden, so wähle ich "angegebene IP-Adresse .. ' und wählen Sie dann die IP Ich werde mit dieser Website zu veröffentlichen und dann auf Hinzufügen, damit dieser Regel ist nur Beantwortung von Anfragen an die angegebene IP. Nachdem Sie die IP-Adresse und klicken Sie auf OK, klicken Sie auf Fertig stellen, um die Schaffung der Regel abgeschlossen.

Schritt 2.

Nachdem Sie die Regel, doppelklicken Sie auf die neue Regel erstellt, um die Eigenschaften anzuzeigen. Klicken Sie auf "An" und ändern Sie die Registerkarte "Antrag auf Festsetzung der veröffentlichten Server" auf "Anfragen kommen scheinen von dem ISA Server-Computer". Sobald Sie sich vergewissert haben, alle Einstellungen sind aus den Schritten 1 und 2 zu korrigieren klicken Sie dann auf "Übernehmen" und "OK". Dies sollte den Abschluss des ISA-Konfiguration Teil!

Schritt 3.

Auf Ihrer SharePoint-Farm, müssen Sie die IIS-Einstellungen zu öffnen und navigieren Sie dann zu Ihrem anonymen Website und zeigen Sie die Eigenschaften. Wenn Sie die Eigenschaften zu öffnen, navigieren Sie zu dem Verzeichnis-Seite "Sicherheit" und klicken Sie dann auf Bearbeiten im Abschnitt Sichere Kommunikation. Hier müssen Sie die Option "Sicheren Kanal verlangen ',' Require Client-Zertifikate", und dann 'Certificate Trust List ". Klicken Sie zum Erstellen einer neuen Liste Trust, klicken Sie auf "Weiter" und klicken Sie dann auf "Aus Datei hinzufügen". Sie müssen wählen Sie das DoD Root CA 2 und ich habe auch DoD CLASS Set 3 Root-CA von wo aus Sie haben diese Zertifikate gespeichert. Klicken Sie auf "Weiter" und dann einen Namen geben, dh DOD CTL, klicken Sie auf "Weiter" und dann auf Fertig stellen. Nach dem Klicken auf "OK" den ganzen Weg bis zum Directory Security Seite der anonymen Website-Eigenschaften, sind Sie fertig!

So wie Sie sehen, es ist wirklich nicht ein komplizierter Prozess. Aber in den großen Plan der Dinge, die wir alle wissen, dass wir dazu neigen, mehr zu denken und über die Dinge Ingenieur Lösungen erschweren. Ich bin mehr als schuldig an diesem, verlor ich Woche des Schlafes, um es zu beweisen! Diese Konfiguration Leitfaden ist auf ein Vorwand, den Sie haben einige erste Elemente konfiguriert, und Sie erreichen die Sackgasse an der gleichen Stelle habe ich getan. Wenn nicht wird dir die Haare, weil dieser zu verlieren, und haben gerade erst begonnen deinen Abstieg in den Wahnsinn, dann müssen Sie wissen, dass es einige Schritte, bevor diese Phase abgeschlossen werden sollte.

-------

Wir danken Ihnen für Ihre Bereitschaft, Noni diesem Post schreiben! Ich denke, jeder wird zustimmen ist dies ein wertvoller Beitrag zur DoD - SharePoint-Community!

  • Sagen / Bookmark

Artikel oder Forschung Abgelegt unter SharePoint | SharePoint-Architektur.

4 Kommentare »

  1. [...] Um die BlogosphereCAC Enabled Anonym SharePoint-Websites (SharePoint Shelter) Wenn Sie arbeitete / gearbeitet haben oder planen, über die Arbeitsbedingungen in der DoD-Umfeld, wird die Sicherheit ein Thema sein, dass Ihre Träume verfolgt. Nicht, dass Sicherheit nicht weit verbreitet in der Privatwirtschaft, sondern wegen der Art unserer Arbeit ist die Sicherheit oberste Priorität, wenn nicht die Priorität Nummer eins. That being said, ich arbeite mit der DoD PKI für den letzten Jahren so mir bewusst ist, der Umfang und die Auswirkungen der Bereitstellung eines sicheren IT-Umgebung. Vor kurzem war ich mit bringen alle unsere öffentlich zugänglichen Server zu einem sicheren Standard-Aufgabe. [...]

    Pingback von Windows 7 jetzt mit XP-Modus, um Office 2010 Screenshots, EDS verkaufen Microsoft Hosted Applications - SharePoint Daily - Bamboo Nation - 28. April 2009 @ 6:19

  2. Hallo Noni,

    Ich kämpfen seit fast 2 Wochen meine Arbeit mit SharePoint-Website CAC Karte. Wir haben noch keine ISA 2006-Umgebung. Ich muss CAC-Authentifizierung direkt auf WEB-Server zu implementieren. unten ist das Szenario.

    Ich habe MOSS2007 Web-Site in Windows Server 2008 mit Windows-Authentifizierung (AD) erstellt. Ich brauche diese Seite mit CAC-Authentifizierung zu machen. AD hat alle Client-Zertifikate Benutzerkonten zugeordnet.

    Schritt 1:
    Ich installierte Client-Zertifikat-Mapping-Authentifizierung in IIS7.0 und aktiviert für den Server.
    Ich aktivierte Client Certificate Mapping und legen Sie die ssl Propety zu SslNegotiateCert in IIS7.0.

    Ich versuche, dem Ort, an Client-Browser mit meinem CAC zugreifen und es Anweisungen, um digitales Zertifikat (keine Zertifikate in it) wählen. Wenn ich auf ok dann fragt mich der Windows-Authentifizierung eingeben.

    SCHRITT 2:
    Ich folgte Ihren Schritt 3 oben und Seite spendete 403 Fehler.

    Ich bin verzweifelt auf der Suche nach der Lösung.

    Können Sie bitte mir helfen auf diese Lösung?

    Danke,
    Reddy

    Kommentar von Reddy - 13. November 2009 @ 9:21

  3. Great article, gut strukturiert und geschrieben! Ich arbeitete mit einer SharePoint Portal in die Vergangenheit und wir planen für die Zukunft; CAC enbabling der Website erzogen wurde. Reddy's Lage gewesen wäre, ein ähnlich wie mir. Gab es Antworten auf Fragen Reddy's? Ich bin nicht mehr auf, dass SP-Portal und das ist nur für mein persönliches Wissen darüber, wie es wäre gearbeitet haben. Nochmals vielen Dank für eine gute lesen

    Kommentar von Bruce - 7. Dezember 2009 @ 12:12

  4. Kommentare zu hinterlassen Sie bitte auf diesen Artikel mit Ihrer CAC / SharePoint Erfahrungen.

    Thank you ... Adam.

    Kommentar von Adam - 26. Januar 2010 @ 1:10 pm

RSS feed für Kommentare zu diesem Beitrag. TrackBack-URL

Leave a comment


w3c Beschwerde W3C-konform | Rechtliche Hinweise | Datenschutz | Kontakt
© 2009 ARB Security Solutions, LLC. | Bereitstellung von SharePoint Security Integration Seit 2003 | Minneapolis, MN
ARB Security Solutions ist nicht mit oder indossiert von Microsoft Corporation verbunden. SharePoint ist ein eingetragenes Warenzeichen der Microsoft Corporation.
Site maintained by Adam Buenz - Microsoft MVP - SharePoint