Flux RSS Programme Partenaires
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagRussian flagHindi flagPolish flagHebrew flagIndonesian flag                                
By N2H
A propos | articles | Services | Logiciels | Contact

Progressive Security dessins en utilisant la technologie intégrée de Microsoft

Industrial SharePoint architecture mettant l'accent sur la sécurité et la gouvernance

Secure SharePoint Code Design and Reviews Corporate code de la sécurité

Pionnier SharePoint / Microsoft Articles de sécurité et de la recherche

Articles & Research

Latest Free Software SharePoint

ARB Security Solutions publie régulièrement des logiciels libres SharePoint, y compris WebParts, les applications clientes, Framework Extensions, ainsi que divers autres composants.
Le logiciel gratuit le plus récent est:

Titre: Simple Rollup WebPart SharePoint
Date de publication: 10/22/2009

Précédent Two Free WebPart de presse:

SecureCenter pour SharePoint

Par des intégrateurs de sécurité de SharePoint, pour les intégrateurs de sécurité de SharePoint.

SharePoint Security Assurance Program ™

Pour faire face à l'extérieur des déploiements de SharePoint, la sécurité est une préoccupation extrêmement importante de déploiement. Découvrez comment grâce à la sécurité quotidienne de balayage, vous pouvez vous assurer aux utilisateurs professionnels et les partenaires extérieurs qu'ils peuvent collaborer en confiance!

Security Assurance WebPart:



Début de la vérification des processus avec SharePoint ™ Security Assurance Programmes

Free SharePoint Online Security Tools

CAC Enabled Anonyme sites SharePoint

Par: Noni Hernandez
Enterprise Architect

Si vous avez travaillé ou ont travaillé ou plan sur l'environnement de travail au sein du DoD, la sécurité sera un sujet qui hante vos rêves. Pas que la sécurité n'est pas courante dans le secteur privé, mais étant donné la nature de notre travail de sécurité est une priorité absolue si elle n'est pas la priorité numéro un. Cela étant dit, je travaille avec l'ICP DoD pour les dernières années et je suis pleinement conscient de la portée et les implications de fournir un environnement informatique sécurisé. Récemment, j'ai été chargé d'amener tous nos serveurs accessibles au public à un niveau sûr. Cela impliquait le déploiement d'un équilibrage de charge réseau ISA 2006 et de protéger tous nos services disponibles par l'intermédiaire du NIPRNet ou Internet commercial. Un de mes projets a été assurer notre ferme SharePoint en permettant seulement l'accès par le biais de notre groupe ISA. Normalement, ce serait une tâche achevée dans son sommeil, selon le modèle d'authentification utilisés. Toutefois, étant un élément DoD apporte sur les exigences spécifiques qui doivent être remplies pour assurer la protection de nos données. Entrez le CAC, ou Common Access Card, et l'utilisation de l'ICP de DoD pour faire appliquer un environnement plus sécurisé.

Intrinsèquement, ISA 2006 est un grand soutien pour le modèle de certificat d'authentification des clients, mais il existe certaines contraintes. Le principal étant ISA ne permettra un tel lien en interrogeant votre domaine pour authentifier un membre actif de votre domaine. Ceci est parfaitement bien, sauf pour la notion d'avoir une page accessible au public une information limitée, sur un modèle d'accès anonyme. C'est là que les choses commencent à se faire difficile. Comme je l'ai dit précédemment, une exigence rendue par le Département de la défense est de sécuriser tous les serveurs accessibles au public via une authentification par CVC. Cela signifie accorder l'accès à votre site public à n'importe qui avec un CAC valide. Si vous publiez votre site anonyme et donnant un accès direct à votre ferme, puis le déploiement de ce scénario est plutôt simple, mais vous quittez votre serveur vulnérable à l'accès non autorisé possible simplement en donnant un accès direct. Alors, naturellement, nous aurons besoin de publier ce site grâce à notre groupe ISA de prévoir que la couche de sécurité. C'est là que j'ai d'abord rencontré des problèmes. Si vous configurez une règle d'accès dans ISA permettant une authentification par certificat client exige que l'utilisateur est un membre actif dans votre domaine avec leurs CAC enregistrée pour ce compte. Si vous choisissez de quitter la demande de certificat sur le serveur web et de mettre la demande d'authentification sur l'auditeur sur 'No' authentification 'et la délégation d'authentification pour' Aucune délégation, mais le client mai directement authentifier ', vous recevrez probablement une 408/Request timed out erreur lorsque vous tentez d'accéder à la page. J'ai été bloqué sur ce message d'erreur pendant des semaines après avoir tenté de nombreuses combinaisons de faire ce travail.

Après bien des nuits blanches (et pire encore, des cauchemars!) Essaie de créer une solution à ce problème, je suis finalement tombé sur la seule solution après avoir été prié de trouver un autre serveur derrière notre tableau. Donc, voici la méthode que j'ai développé pour permettre à un utilisateur l'accès à notre site SharePoint anonyme, avec la seule condition étant qu'ils ont un CAC valide.

Étape 1.

Sur votre tableau ISA, au lieu de créer un site SharePoing règle de publication ou d'une règle de publication de site Web, sélectionnez «Non-Web Server Protocol règle de publication». Donnez-lui un nom significatif pour que vos admins seront en mesure d'identifier facilement ce que la règle est d'interprétation, j'ai choisi 'HQ Anonyme site SharePoint [CAC Enabled] ». Après avoir cliqué sur Suivant Entrez l'adresse IP soit le serveur de l'individu ou à équilibrage de charge IP utilisés pour accéder au site. Après avoir cliqué sur Suivant, vous aurez besoin de cliquer sur Nouveau pour créer une version modifiée du protocole HTTPS / SSL protocole, Je l'ai nommé 'HTTPS [HQ Anon] «se pencher à nouveau son utilisation. Après avoir cliqué sur Suivant, vous devez d'abord créer un protocole TCP entrants en utilisant la gamme port 443 sur 443. Il s'agit essentiellement de décapage les méthodes utilisées par l'AIS, la compression, masquage, pour permettre une connexion SSL, mais générant toujours une connexion proxy sur notre site interne pour protéger les données. Après avoir cliqué sur OK, vous aurez besoin de faire la même chose et de créer et d'une connexion sortante avec les mêmes paramètres, cela permettra à la demande de certificat client pour être transmis à l'utilisateur final pour une poignée de main réussi. Après avoir cliqué sur OK, puis sur Terminer vous devriez voir votre nouveau protocole sur la «liste déroulante sélectionnée protocole». Cliquez sur Suivant et sélectionnez le réseau qui sera à l'écoute de ces demandes, la plus probable "externes", puis cliquez sur le bouton Adresse. Depuis que je me sers d'un tableau de charge équilibrée J'ai déjà un VIP prêts à être utilisés pour ce site publié, si je choisis 'spécifié adresse IP .. " puis sélectionnez l'adresse IP je vais utiliser pour publier sur ce site, puis cliquez sur Ajouter si cette règle est que les demandes répondant envoyé à cette adresse IP spécifique. Après avoir sélectionné l'adresse IP et cliquez sur OK, cliquez sur Terminer pour achever la création de la règle.

Étape 2.

Après avoir créé la règle, double-cliquez sur la nouvelle règle pour afficher les propriétés. Cliquez sur le champ "À l'onglet" et changer la «Demande de configuration du serveur de publication» à des "demandes semblent provenir de l'ordinateur ISA Server. Une fois que vous avez vérifié tous les paramètres sont corrects à partir des étapes 1 et 2, puis cliquez sur 'Apply' et 'OK'. Cela devrait conclure la partie configuration ISA!

Étape 3.

Sur votre batterie de serveurs SharePoint, vous aurez besoin pour ouvrir les paramètres IIS, puis naviguez jusqu'à votre site anonyme et afficher les propriétés. Lorsque vous avez ouvert les propriétés, accédez à la page Sécurité de répertoire, puis cliquez sur Modifier dans la section Communications sécurisées. Ici, vous devez sélectionner "Exiger un canal sécurisé», «Exiger les certificats clients", puis "Activer liste de certificats de confiance '. Cliquez sur Nouveau pour créer une nouvelle liste d'affectation spéciale, cliquez sur Suivant, puis cliquez sur "Ajouter à partir du fichier '. Vous devrez sélectionner la racine du DoD CA 2 et I ont également mis en DoD CLASSE 3 Root CA de l'endroit où vous avez ces certificats stockés. Cliquez sur Suivant, puis donnez-lui un nom, c'est à dire DOD CTL, cliquez sur Suivant puis sur Terminer. Après avoir cliqué sur OK tout le long à la page Sécurité du répertoire des propriétés du site anonyme, vous avez terminé!

Donc, comme vous voyez, ce n'est vraiment pas un processus compliqué. Mais dans le grand schéma des choses, nous savons tous que nous avons tendance à penser encore et encore compliquer les choses pour concevoir des solutions. Je suis plus que coupable de cela, j'ai perdu des semaines de sommeil pour le prouver! Ce guide de configuration est réglé sur un faux-semblant que vous n'avez certains éléments préliminaires configuré, et que vous avez atteint l'impasse au même point que j'ai fait. S'il n'a pas de perdre vos cheveux à cause de cela, et viennent juste de commencer votre descente dans la folie, puis vous devez savoir qu'il existe certaines mesures qui devraient être achevés avant d'avoir atteint ce stade.

-------

Je vous remercie d'avoir accepté de Noni d'écrire ce post! Je pense que tous seront d'accord que c'est une contribution précieuse pour le DoD - SharePoint communauté!

  • Share / Bookmark

Article ou de recherche Classé dans SharePoint | Architecture SharePoint.

4 Commentaires »

  1. [...] Dans le Anonyme BlogosphereCAC Enabled de sites SharePoint (SharePoint logement) Si vous avez travaillé ou ont travaillé ou plan sur l'environnement de travail au sein du DoD, la sécurité sera un sujet qui hante vos rêves. Pas que la sécurité n'est pas courante dans le secteur privé, mais étant donné la nature de notre travail de sécurité est une priorité absolue si elle n'est pas la priorité numéro un. Cela étant dit, je travaille avec l'ICP DoD pour les dernières années et je suis pleinement conscient de la portée et les implications de fournir un environnement informatique sécurisé. Récemment, j'ai été chargé d'amener tous nos serveurs accessibles au public à un niveau sûr. [...]

    Pingback par Windows 7 Maintenant Avec Mode XP, Office 2010 Screenshots, EDS à vendre des applications Microsoft hébergés - SharePoint Quotidien - Bamboo Nation - 28 avril 2009 @ 6:19

  2. Salut Noni,

    J'ai lutté pendant presque 2 semaines pour faire mes travaux sur le site SharePoint avec carte de CVC. Nous n'avons pas de ISA 2006 environnement. J'ai besoin de mettre en œuvre CAC authentification directement au serveur WEB. est en dessous du scénario.

    J'ai créé MOSS2007 site Web dans Windows Server 2008 avec l'authentification Windows (AD). J'ai besoin de rendre ce site avec l'authentification par CVC. AD a tous les certificats clients mappés à des comptes d'utilisateur.

    ETAPE 1:
    J'ai installé une authentification par certificat client cartographie dans IIS7.0 et activée pour le serveur.
    J'ai activé mappage de certificat client et définir le deviennent propriété de ssl SslNegotiateCert dans IIS7.0.

    J'essaie d'accéder au site à partir du navigateur client avec mon CAC et il invite à choisir un certificat numérique (pas de certificats en IT). Lorsque je clique sur ok puis il me pousse Windows invite d'authentification.

    ETAPE 2:
    J'ai suivi votre étape 3 ci-dessus et le site a commencé à donner erreur 403.

    Je cherche désespérément la solution.

    Pouvez-vous m'aider s'il vous plaît sur cette solution?

    Merci,
    Reddy

    Commentaire par Reddy - Novembre 13, 2009 @ 9:21

  3. Great article, bien structuré et bien écrit! J'ai travaillé avec un portail SharePoint dans le passé et nous avions l'intention pour l'avenir; CAC enbabling le site a été mis en place. Reddy situation aurait été l'un semblable à la mienne. Existait-il des réponses aux questions Reddy's? Je ne suis plus sur ce portail SP et c'est juste pour ma connaissance personnelle sur la façon dont il serait avons travaillé. Merci encore pour une bonne lecture

    Commentaire de Bruce - Décembre 7, 2009 @ 12:12

  4. s'il vous plaît laisser des commentaires sur cet article avec vos expériences CAC / SharePoint.

    Merci ... Adam.

    Commentaire de adam - 26 Janvier 2010 @ 1:10 pm

Flux RSS pour les commentaires sur ce post. TrackBack URL

Laissez un commentaire


w3c plainte W3C Compliant | Avis juridique | Confidentialité | Contact
© 2009 ARB Security Solutions, LLC. | Fournir SharePoint Intégration de la sécurité depuis 2003 | Minneapolis, MN
ARB Security Solutions n'est pas affilié à ou approuvés par Microsoft Corporation. SharePoint est une marque déposée de Microsoft Corporation.
Site géré par Adam Buenz - Microsoft MVP - SharePoint