RSS Feed ARB Client Site Login Partner-Programm
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagRussian flagHindi flagPolish flagHebrew flagIndonesian flag                                
By N2H
Über | Artikel | Dienstleistungen | Software | Kontakt

Progressive Security Modelle mit integrierten Microsoft Technology

Industrial SharePoint-Architektur mit einem Fokus auf Sicherheit und Governance

Secure Code SharePoint Design und Corporate Security Code Reviews

Wegweisende SharePoint / Microsoft Security Artikel und Forschung

Articles & Research

Latest Free Software SharePoint

ARB Security Solutions veröffentlicht regelmäßig kostenlos SharePoint-Software, einschließlich WebParts, Client-Anwendungen, Framework-Erweiterungen und andere Verschiedene Komponenten.
Die jüngste ist Freeware:

Titel: Einfache Rollup SharePoint WebPart
Datum der Veröffentlichung: 10/22/2009

Zurück Zwei Free WebPart Releases:

SharePoint und SmartCards (CAC-Karten)

Haben Sie arbeitete mit SharePoint und SmartCards?

Ich habe, wie in den meisten militärischen / Bund-Umgebungen finden Sie, dass die Nutzer den Zugang der Regel Ihre SharePoint-Instanz durch den Einsatz eines CAC (Common Access Card)-Karte. Es ist das gleiche wie bei jeder anderen SmartCard nur ein wenig mehr im allgemeinen aufgepeppt mit einigen anderen Informationen, angehängt nichts wirklich enorm Phantasie. Hier ist ein Beispiel für eine CAC-Karte aus der Armee übernommen. Mil Website:

cac card SharePoint and SmartCards (CAC Cards)

Die Methodik und Zweck zwischen einer CAC-Karte und eine SmartCard sind so ziemlich die gleichen. Sie sind so eingesetzt, dass ein Benutzer auf alle Arten von Objekten mit Client-Zertifikat authentifizieren kann. Im Bundes-Kugeln sind jedoch CAC-Karten allgemein verbindlich.

Aber mit SharePoint, SmartCards Art sind lästig. Es gibt einige Einschränkungen für die Einrichtung Ihrer Umgebung innerhalb von SharePoint in Bezug auf die Aufrechterhaltung CAC Compliance, einige, die verarbeitet werden können mit inhärenten IIS-Einstellungen, andere, gut, erfordern individuelle Entwicklung.

Für viele Menschen, die Umsetzung der Smartcard Sicherheitsarchitektur in ihre SharePoint-Umgebung eine relativ schmerzlose. Wenn Sie wissen, dass alle Benutzer von Active Directory-Konten besitzen, dann sind Sie bereit zu gehen, da dies einige wenige Einstellungen in IIS erhalten Sie die meisten der Weg dorthin. Die Art und Weise dies geschehen kann, ist durch ein Konzept namens Clientzertifikatzuordnung. Client-Zertifikat wird im Wesentlichen Mapping-Abfrage für das Client-Zertifikat aus der Smartcard und anzeigen, die zu einer bereits vorhandenen Windows-Konto. Im Wesentlichen ist dies nicht viel anders, als die Konfiguration, die Sie am Ende bei der Nutzung der integrierten Windows-Authentifizierung, da Sie immer noch gültigen Windows-Identität zum Vergleich die Betreiber gegen gelegt haben. Wenn dies der Fall ist, die Probleme, die Sie stoßen sind von Natur aus auf IIS gebunden. Sie größte Veränderung ist in der IIS-Metabasis, da du auf die Metabasis-Eigenschaft, die SSL-Client-Verbindung Verhandlungen orchestriert zu manipulieren. Bedeutung, werden Sie sagen, SharePoint, stets die Bescheinigung, die bei der Lösung Client-Zertifikat neu ausgehandelt werden Deadlocks zu verhandeln. Dies wird durch Festlegung der SSLAlwaysNegoClientCert Metabasis-Eigenschaft auf true getan.

Während dies funktioniert, ist es nicht meine ideale Situation für große Netzwerke. Ich habe viele Benutzer, dass, obwohl CAC / SmartCard-Karten, die nicht in der Active Directory-Struktur geben wird, dass ich gegen Programm haben. Dies stellt ein großes Problem für mich, weil meine Mapping als Vergleichsoperator wird konsequent ziehen einen falschen Wert auf die passende Rückkehr zum Scheitern verurteilt. Ich kann auch nicht wirklich vorstellen, die Durchführung jeder Art von Management, das von Vorteil sein bei dieser Art von Szenario würde, da habe ich für die Benutzer-Passwort, das kann in der Regel für eine militärische Einheit, werden Mammut kennen würde. Neben den gleichen Linien hätte ich tatsächlich meine Setup-1-zu-1-Mapping-Szenario. Ich möchte nicht, diese Aufgabe in keiner Weise verpflichten Aktien oder Form. Wenn ich diesen Weg ging, würde ich mit einem Management-Szenario gesteckt werden, werden würde, dass im Interesse eines besseren Wortes, unüberschaubar.
Glücklicherweise sind die durch den Einsatz von ASP.NET ist es möglich, Dinge zu injizieren in der ASP.NET-Anforderung Strom. Dies ist eine gute Sache. Mit mehreren Authentifizierungsmethoden, die im Bereich der SharePoint angeboten werden, werden sie als HTTP-Module umgesetzt werden. Zum Beispiel, wenn Sie mit Ihrem FBA SharePoint-Instanz es wird mittels HTTP-Module als auch.

Wie ein HTTP-Modul funktioniert, ist recht einfach. Erstens wird eine SharePoint-Web-Anfrage an II eingereicht werden. Das Web-Anfrage wird an ASP.NET, zugeordnet werden, die die Seite über den ASP.NET 2.0-Engine, die im Wesentlichen eine Web-Anfrage hand-off analysieren wird. Hier wird das HTTP-Modul in Kraft tritt. Sobald der Web-Antrag reichte aus, um ASP.NET gibt es eine Abfrage in der HTTP-Module, die in den Konfigurationsdateien auf dem Server zu bestimmen, existieren, wenn nicht jemand abzufangen und zu manipulieren, möglicherweise den Antrag ab. Obwohl nur bestimmte Module Wirkung kann, werden alle HTTP-Module, die verfügbar sind geladen.

Wenn Sie diese in Aktion sehen wollen, können Sie den HTTP-Module, die derzeit von der SharePoint-Website instanziiert durch einige kleine Code mit den Context.ApplicationInstance.Modules Abholung innerhalb eines WebPart OnLoad-Ereignis.

Im nächsten Beitrag in dieser Serie, werde ich darüber sprechen, wie wir dieses Problem kann durch den Bau eines benutzerdefinierten HTTP-Modul zu lösen, und wie können wir unsere Client-Zertifikate durch die Speicherung in Datenbanken zu verwalten, um sich auf Windows-Konten gegenüber. Im Anschluss werden wir sehen, wie wir dieses Konzept weiter nutzen kann, um eine benutzerdefinierte Rolle Anbieter, der Stecker in die HTTP-Modul, um einen Mechanismus, um Nutzern, von denen nicht gutheißen, eine Rolle auf einen Standard-anonymen Website weitergeleitet, ebenso bieten wird umgesetzt so stark benannt implementieren Rollen für die SharePoint-Umgebung.

  • Share / Bookmark

In Verbindung stehende Pfosten:

  1. Dual-San und SharePoint-Suche (Solution)
  2. Zertifikate erstellen mit Dual San Attribute
  3. Ist sharepointsecurity.com Too Busy?
  4. CAC Enabled Anonym SharePoint-Websites
  5. Http.sys Kernel-Treiber und aspnet_filter.dll

Artikel oder Forschung Abgelegt unter SharePoint-Sicherheit.

35 Kommentare »

  1. Dies kann auch durch Verwendung von ISA 2006 an die CAC auf DoD überprüfen und dann entweder erreicht werden pass eine anonyme Anforderung an die SharePoint-Farm oder Karte das Konto auf AD und danach ein Kerberos-Ticket auf die SharePoint-Farm mit Kerberos Constrained Delegation. Es ist eine schöne glatte Null-Code-Lösung.

    Kommentar von Jon - 1. Juni 2007 @ 1:50 pm

  2. That's what I unter bestimmten Umständen benutzt haben, und auf diese Weise in ein paar andere. Es ist eine versunkene Kosten mit ISA sowohl von der Hardware, Implementierung und Management-Perspektiven, dass einige Segmente des DoD etwas abseits von ihm als eine Lösung zu entwöhnen zu machen.

    Ich habe nicht versucht 100%, was ich beschreibe hier über ISA (dh nicht-Mapping-AD Benutzer CAC / SmartCard verhört Informationen), aber ich will in ihm einen Schuss zu suchen.

    Ich mag es mit Kerberos in der Regel so, wie Sie es beschreiben, aber wegen der Geschwindigkeit, Überlegungen und Arbeiten mit dem TGT ist, um eine einheitlichere Anmelden Umgebung für andere Anwendungen zu erstellen.

    Kommentar von Adam Buenz - 9. Juni 2007 @ 12:48

  3. Hallo Ich arbeite auch auf eine militärische Seite, und ich bin versucht, CAC-Authentifizierung für meine SharePoint-Website erforderlich, und ich bin mit einer Menge Probleme. Der nächste wir bekam, war die Nutzer aufgefordert wurden, zweimal mit dem CAC-Karten authentifizieren. Durch eine Chance hast du Dokument in Ihrer Prozedur das Einrichten dieser Funktion?

    Kommentar von Lauren Adler - 12. Juli 2007 @ 8:24

  4. Ich weiß nicht wirklich ein Schritt für Schritt, weil dort draußen ist die architektonische Unterschiede zwischen den Umgebungen so gewaltig sein kann.

    Wie genau machst du deine Authentifizierung? Haben Sie nur überprüfen Sie die IIS-Einstellungen, um Client-Zertifikate zu akzeptieren?

    Kommentar von Adam Buenz - 12. Juli 2007 @ 8:54

  5. Adam,
    Great post, ich bin gespannt erwarten die "nächste in der Reihe". Eine Aufgabe wie die, die Sie beschreiben, wurde gegeben, um mich im Wesentlichen, meine Einführung in SharePoint, CAC, Active Directory ... you name it habe ich nicht mit ihm noch gearbeitet! (So entschuldige ich mich, wenn ich Missbrauch Terminologie oder auf andere Weise verraten Inkompetenz.)
    Grundsätzlich wird die Benutzer müssen in der Lage, über ihre Login Benutzername / Passwort oder über CAC (von außerhalb oder Out-of-Wald n. Chr.), mit Benutzername / Passwort und Offsite-CAC Liquidation als der gleiche Benutzer.
    Ich habe eine auf die Anwendung eines HTTP-Modul und wie die Nicht-AD-Benutzer Arbeit zu erledigen, aber ich freue mich sehr auf, herauszufinden, wie Sie die Authentifizierung CAC zu einem AD-Eintrag fest. Ich weiß, Sie sind alle verschieden Arten von beschäftigt, aber ich wäre sehr zu Dank verpflichtet für jeden Rat, den Sie anbieten können. Danke!
    Brian

    Kommentar von Brian - 22. August 2007 @ 2:14 pm

  6. Hallo Adam,

    Ich versuche zu errichten CAC-Karte Unterzeichnung für InfoPath 2003-Formulare auf einem SIPR SPS-3.0-Umgebung (die wir derzeit nicht auf Zeichen mit einer CAC).

    Any help would be appreciated oder einen Punkt in die richtige Richtung. Ich bin kein Programmierer noch ... ... aber ich bin schnell zu studieren.

    Ich bin ein Multi-Media Illustrator von MOS, sondern ein InfoManagement / Automation Kerl in der Praxis.

    Kommentar von SFMOSS - 10. März 2008 @ 2:56

  7. Adam,

    Vielen Dank für diesen Beitrag. Es geht auf viele der Fragen, die ich ins Gesicht. Ich bin gerade dabei, das Portal für ein SP USAF ACC-Client, mit räumlich getrennten Einheiten im ganzen Land und in unterschiedlichen Befehlen. Der AD-info ist nicht zwischen Befehlen geteilt, so musste ich FBA zu verwenden. Meine Frage ist: Gibt es trotzdem, um die Identität des CAC-Karte zu bestimmen? Wie würde ich anzeigen, dass Identität eine Rolle in meiner Rolle FBA-Anbieter? Die Beseitigung der Benutzername / Passwort-Prozess wäre ein großes Plus für den Kunden, aber ich bin nicht sicher, ob es möglich ist. Wenn es nicht, dann gibt es keinen wirklichen Punkt im Umgang mit der CAC-Karte überhaupt.
    Ich bin aufrichtig danken Ihnen für Ihre Hilfe bei zeigte mir in die richtige Richtung.

    Kommentar von VegasGuy - 26. März 2008 @ 9:29 pm

  8. Wir haben Situationen, in denen ein Benutzer verfügt über zwei verschiedene CAC's mit der gleichen UPN. Eine CAC gibt es Navy Reserve CAC die andere ist ihre zivilen CAC. Der UPN ist AD muss eindeutig sein, damit diese Person kann nur ein Konto haben, muss aber zwei. Gibt es einen Lösung und hat alle anderen in dieser Situation laufen?

    Kommentar von Brian - 28. August 2008 @ 10:11

  9. Adam,
    Great Post! Ich habe eine Voraussetzung für die CAC-Karte Anmeldung für SharePoint Server 2007 (MOSS). Jede Hilfe bei ISA-Ansatz oder FBA im Detail.
    Vielen Dank im Voraus

    Kommentar von Lindy - 30. Dezember 2008 @ 2:13 pm

  10. Ich habe auf dieser CAC-Authentifizierung durch unseren ISA 2006 Array zu unserem "MySite" und die regelmäßige Portal, aber ich bin mit Fragen ermöglichen CAC-Authentifizierung zu unserem anonymen Website. Ich habe mich es intern mit einer Viele-zu-eins-Authentifizierung Modell, es ist nur mit einem externen Benutzer hat unsere ISA 2006 Array, das verursacht mir Fragen zu arbeiten. Einsicht wäre sehr dankbar!

    Kommentar von Noni Hernandez - 13. Januar 2009 @ 1:49 pm

  11. Hey Adam,

    Great post! Es ist immer an der Spitze der Google-Ergebnisse für die CAC / Smart Card und SharePoint. :-)

    Haben Sie irgendwelche Updates über das HTTP-Modul oder die Möglichkeit des Einsatzes einer Mitgliedschaft Anbieter?

    Kommentar von Joel - 28. Januar 2009 @ 6:34 pm

  12. Ausgezeichnete Post. Beschreibt genau, was ich für ein Air Force Space Command SP Umsetzung zu tun. Hast du den Follow-up-Post.

    Kommentar von JDK - 4. Februar 2009 @ 1:44 pm

  13. Ausgezeichnet Post. Hast du den Follow-up-Stellen?

    Kommentar von VR - 27 Februar 2009 @ 9:29 pm

  14. Das Follow-up-Post für diese wird immer in Kürze! Es hat eine Weile gedauert, bis zusammen bekommen, aber wird sich lohnen, die warten. :)

    Kommentar von Adam Buenz - 2. März 2009 @ 8:45

  15. Ich versuche, Authentifizierung und Autorisierung mit CAC Umsetzung in SharePoint. Ich habe einen eigenen httpModule in der Pipeline für meine SharePoint Portal setzen, aber wenn ich so viel wie versuchen, die context.Request.clientCertificate.isPresent ()-Wert zu lesen, stürzt das Portal so hart, dass ich von der Datensicherung wiederherstellen müssen. Der gleiche Code funktioniert, wenn ich es in die Pipeline eines Nicht-SharePoint-, HTML-Seite. Hat jemand etwas Ähnliches gesehen? Hat jemand bekommen dies funktioniert?

    Kommentar von Tim - 13. März 2009 @ 11:42

  16. Ich habe endlich die Lösung für mein Problem der Veröffentlichung eines anonymen SharePoint-Website, während die einen gültigen CAC zu besuchen abgebildet. Wenn jemand dieses Thema mit sich bitte an mich wenden, damit ich vielleicht in der Lage sein zu helfen!

    Kommentar von Noni Hernandez - 27. März 2009 @ 7:26

  17. Hallo Noni,

    Ich versuche, eine anonyme SharePoint-Website mit einer gültigen CAC-Karte zu implementieren. Können Sie mir per E-Mail, wie hast du das getan?

    Danke

    Kommentar von Venkat - 28. März 2009 @ 9:11

  18. Ich bin Hereinholen Noni nun möglicherweise Bewertung der Post zu diesem Thema zu tun. Ich hoffe, sie stimmen wird!

    Kommentar von Adam Buenz - 28. März 2009 @ 11:55

  19. Ich bin im Prozess des Schreibens ein Konfigurations-Anleitung, die Tag retten wird / Wochen / Monate nach Schweiß, Tränen und Alpträume!

    On another note I am a dude, ein ganz ein männlicher an!

    Kommentar von Noni Hernandez - 1. April 2009 @ 8:15

  20. Noni,

    Thanks a lot. Waiting for you Configuration Guide.

    Kommentar von Venkat - 2. April 2009 @ 10:54

  21. Noni,

    Kommentar von Venkat - 7. April 2009 @ 11:01

  22. Noni,

    Kommentar von Venkat - 7. April 2009 @ 11:01

  23. Noni,

    Können Sie mir bitte per E-Mail, wenn Sie mit dem Führer gemacht werden? Hier ist meine E-Mail forumsub@att.net.

    Danke

    Kommentar von John - 7. April 2009 @ 11:02

  24. Noni, sind Sie fertig Ihre Reiseführer?

    Kommentar von Dvar - 20. April 2009 @ 2:16

  25. Leider ist es so lange ... ich mein Handgelenk gebrochen und ein Finger verrenkt Dinge sind so langsam bewegt. Ich hätte es sehr bald geschehen, sorry for the delay!

    Prost,

    Noni

    Kommentar von Noni Hernandez - 20. April 2009 @ 11:50

  26. Noni,

    hast du dir Anleitung zur Konfiguration CAC an. Bitte E-Mail an kamie.dameron @ af.edu, wenn Sie zu tun. Danke

    Kommentar von Kamie Dameron - 20. April 2009 @ 4:37 pm

  27. Der Leitfaden ist endlich fertig, auf der Hauptseite Adam's! Hope it helps everyone!

    Kommentar von Noni Hernandez - 28. April 2009 @ 6:28

  28. Noni,

    Ich sah den Artikel, den Sie schrieb unter dem Titel CAC Enabled Anonym SharePoint-Websites, ist jedoch, dass das Follow-up zu diesem Artikel, da es nicht das HTTP-Modul erwähnt überhaupt. Wenn nicht, können Sie mir zeigen, um den Artikel.

    Kommentar von Jeremy Weiss - 7. Mai 2009 @ 2:14 pm

  29. Ich benutze CAC-Karten, indem Sie einfach geting der Benutzername aus Parsen der Server-Variable CERT_SUBJECT und dann vergleichen, die Namen, die Namen in der Datenbank meine Web-Anwendung. Bisher funktioniert es). Ich hatte noch keine zwei Benutzer mit dem gleichen Namen. Aber wenn das Zertifikat chaged wird oder einen falschen Namen, kommt CERT_SUBJECT bis leer.

    Kommentar von J. Hughes - 11. Mai 2009 @ 10:29

  30. Ich brauche die Smartcard-Authentifizierung auf AD Benutzer und Passwort auth für externe Benutzer auf der Web-app umzusetzen ... Kann jemand mir ein Stück zu beraten, wie das zu tun? :)
    Ich weiß, wie man das mit verschiedenen Web-Anwendungen, aber nicht mit einem : (

    Kommentar von Dvar - 11. Mai 2009 @ 11:10

  31. Hat jemand versucht, dies mit einer externen Zertifizierungsstelle für Nicht-DoD-Benutzer? Wir sind dabei, uns dieser und wollte ein gewisses Maß an der Schwierigkeit, werden wir es zu tun bekommen.

    Chris

    Kommentar von Chris Thomas - 18. Mai 2009 @ 7:56

  32. Ich kenne die ursprüngliche Thread ist schon etwas älter. DoD hat aber zum größten Teil auf standardisierten ISA für CAC, ursprünglich speziell für OWA und nun für SharePoint / MOSS. Das ist sogar eine DISA STIG (Security Technische Realisierung Guides) für diese. Siehe hier: http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc und hier http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc. Curretnly Microsoft Intelligent Application Gateway (IAG) und seine zukünftige Version Unified Application Gateway (UAG) werden sah dies als wel wie andere Remote-Access-Bedarf zu decken. Wieder eine Lösung keinen Code. DoD Custer haben Zugriff auf die Setup / build docs von DISA.

    Es gibt einige neuere Arbeiten zum Thema KCD finden Sie hier:

    Kerberos Constrained Delegation in ISA Server 2006
    http://technet.microsoft.com/en-us/library/bb794858.aspx

    Der CAC für OWA-Setup / Build Dokumention entwickelt wurde und von den Autoren dieses Artikels geschrieben (der gleiche Ansatz wurde Hebel für den Einsatz mit SharePoint / MOSS und mehr)

    Melden Sie sich bei Outlook Web Access mit Smart Cards
    http://technet.microsoft.com/en-us/magazine/2007.07.smartcards.aspx

    Konfigurieren von Kerberos-Delegation mit IAG SP2
    http://technet.microsoft.com/en-us/library/dd278107.aspx

    Konfigurieren von Kerberos-Authentifizierung (Office SharePoint Server)
    http://technet.microsoft.com/en-us/library/cc263449.aspx

    Ein Benutzer kann nicht auf eine Website zugreifen, die in ISA Server 2006 mit Kerberos-Delegierung veröffentlicht wird, wenn der Benutzer nicht in der gleichen Domäne wie der ISA Server-Computer
    http://support.microsoft.com/kb/942637/en-us

    KCD mit Cross-Forest-Konten
    http://technet.microsoft.com/en-us/library/cc752953.aspx

    Dieselbe Art von Idee, sondern für die Performance Point in diesem Fall.
    Video-Demo: Konfigurieren von Kerberos-Delegierung für Monitoring Server
    http://technet.microsoft.com/en-us/library/dd630733.aspx

    Konfigurieren von Certificate Authentifizierung für OWA - Part I
    http://msexchangeteam.com/archive/2008/10/07/449942.aspx

    Kommentar von SecurityPresentations - 17. Juni 2009 @ 7:15 pm

  33. Sie auf dem Laufenden
    Der Leitfaden ist endlich fertig, auf der Hauptseite Adam's! Hope it helps everyone!

    Kommentar von Noni Hernandez - 28. April 2009 @ 6:28

    Können Sie die URL zur Hauptseite adam, bitte.

    Kommentar von robin - 15. September 2009 @ 1:13 pm

  34. Können Sie bitte die URL für den Führer?

    Kommentar von GReddy - 6. November 2009 @ 10:04

  35. http://www.sharepointsecurity.com/sharepoint/cac-enabled-anonymous-sharepoint-sites/

    Kommentar von Adam - 6. November 2009 @ 10:52

RSS-Feed für Kommentare zu diesem Beitrag. TrackBack-URL

Leave a comment


© 2009 ARB Security Solutions, LLC. | Bereitstellung von SharePoint Security Integration Seit 2003 | Minneapolis, MN
ARB Security Solutions ist nicht mit oder Beziehung zu Microsoft Corporation. SharePoint angegliedert ist ein Warenzeichen der Microsoft Corporation.
Rechtliche Hinweise | Datenschutz | Kontakt

Site maintained by Adam Buenz - Microsoft MVP - Windows SharePoint Services