CAC सक्रिय बेनामी Sharepoint साइटें
द्वारा: Noni Hernandez
Enterprise वास्तुकार
यदि आप काम / या काम किया है योजना DoD वातावरण में काम करने पर, सुरक्षा का विषय होगा कि सत्ता अपने सपने. ऐसा नहीं है कि सुरक्षा प्रचलित नहीं है, निजी क्षेत्र में हमारा काम है लेकिन सुरक्षा के स्वरूप को देखते हुए एक सर्वोच्च प्राथमिकता है नहीं तो संख्या एक प्राथमिकता. उस ने कहा, मैं पिछले कुछ वर्षों के लिए किया गया है DoD PKI के साथ काम कर रहे तो मैं गुंजाइश और सुरक्षित अभिकलन वातावरण प्रदान करने के नतीजों से पूरी तरह वाकिफ हूँ जा रहा है. हाल ही में मैं एक सुरक्षित मानक हमारे सार्वजनिक रूप से उपलब्ध सर्वर के सभी लाने के साथ काम सौंपा गया था. यह एक 2006 सरणी और NIPRNET या वाणिज्यिक इंटरनेट के माध्यम से हमारे उपलब्ध सेवाओं के सभी सुरक्षा इसा संतुलित लोड की तैनाती शामिल है. अपनी परियोजनाओं में से एक ही हमारे इसा सरणी के माध्यम से उपयोग की अनुमति देकर हमारे SharePoint फार्म हासिल था. आम तौर पर इस एक है एक सोने में पूरा प्रमाणीकरण मॉडल के आधार पर काम हो जाएगा उपयोग किया जा रहा है. हालांकि, एक जा रहा है DoD तत्व विशिष्ट आवश्यकताओं कि हमारे डेटा की सुरक्षा सुनिश्चित करने के मिले किया जाना चाहिए पर लाता है. CAC, या साझा प्रवेश कार्ड दर्ज करें, और DoD PKI का उपयोग एक अधिक सुरक्षित वातावरण लागू करने के लिए.
स्वाभाविक, 2006 ईसा ग्राहक प्रमाणपत्र प्रमाणीकरण मॉडल के लिए बहुत अच्छा समर्थन दिया है, लेकिन वहाँ कुछ दिक्कतें हैं. मुख्य एक जा रहा है ईसा केवल आपके डोमेन querying के लिए अपने डोमेन के एक सक्रिय सदस्य को प्रमाणित द्वारा ऐसे कनेक्शन देगा. इस सीमित जानकारी के साथ एक पृष्ठ पर सार्वजनिक रूप से उपलब्ध होने की धारणा को छोड़कर बिल्कुल ठीक है, एक गुमनाम उपयोग मॉडल पर. यह वह जगह है जहाँ चीजों को मुश्किल हो शुरू करते हैं. जैसा कि मैंने पहले कहा, एक आवश्यकता DoD द्वारा नीचे हाथ के CAC प्रमाणीकरण के द्वारा सभी सार्वजनिक रूप से उपलब्ध सर्वर सुरक्षित है. यह आपका सार्वजनिक स्थल पर एक वैध CAC के साथ किसी को पहुँच देने का मतलब है. यदि आप अपने गुमनाम साइट प्रकाशन कर रहे हैं और अपने खेत तक सीधी पहुंच दे, तो इस स्थिति की तैनाती नहीं बल्कि साधारण है, लेकिन आप बस प्रत्यक्ष अभिगम देकर अपने संभव अनाधिकृत उपयोग के लिए संवेदनशील सर्वर जा रहे हैं. तो स्वाभाविक रूप से हम अपने इसा सरणी के माध्यम से इस साइट प्रकाशित की जरूरत है कि सुरक्षा की परत प्रदान करेगा. यह वह जगह है जहाँ मैं पहले की समस्याओं में भाग गया. यदि आप इसा में एक का उपयोग नियम तो ग्राहक प्रमाणपत्र प्रमाणीकरण सक्षम करने को विन्यस्त हैं यूजर को अपनी CAC के साथ अपने डोमेन में एक सक्रिय सदस्य है कि खाते में दर्ज की आवश्यकता है. यदि आप वेब सर्वर पर प्रमाणपत्र अनुरोध छोड़ चुनें और श्रोता पर प्रमाणीकरण अनुरोध करने के लिए 'नहीं' प्रमाणीकरण और 'को नहीं प्रतिनिधिमंडल प्रमाणीकरण प्रतिनिधिमंडल, लेकिन ग्राहक सीधे प्रमाणित', तो आप सबसे अधिक संभावना होगी 408/Request प्राप्त कर सकते हैं सेट त्रुटि का समय समाप्त हो जब पृष्ठ का उपयोग करने का प्रयास. मैं इस त्रुटि संदेश पर कई युग्म के प्रयास में इस कार्य को करने के बाद हफ्ते के लिए फंस गया था.
कई रातों की नींद हराम करने के बाद (और यहां तक कि, बुरे बुरे सपने!) इस समस्या का समाधान बनाने की कोशिश कर रहा है, मैं अंत में केवल हमारे सरणी के पीछे एक सुरक्षित सर्वर का अनुरोध किया जा रहा है के बाद समाधान के पार आए. तो यहाँ मैं विधि विकसित की है हमारे अनाम SharePoint साइट के लिए उपयोगकर्ता पहुँच की अनुमति, ही जा रहा है कि वे एक वैध CAC है शर्त के साथ.
चरण 1.
अपने बजाय एक SharePoing साइट प्रकाशन नियम या एक वेब साइट प्रकाशन नियम, सृजन 'चुनें धूम्रपान के इसा सरणी पर वेब सर्वर प्रोटोकॉल प्रकाशन' नियम. यह एक सार्थक नाम दें तो आपके व्यवस्थापक को आसानी से पहचान क्या शासन प्रदर्शन कर रहा है पाएगा, मैं 'चुना मुख्यालय बेनामी SharePoint साइट [CAC सक्रिय]'. आप क्लिक करने के बाद अगले आईपी या तो अलग अलग सर्वर या आईपी संतुलित लोड करने के लिए साइट तक पहुँचने का उपयोग करें. क्लिक अगले, तुम HTTPS का एक संशोधित संस्करण बनाने के नए क्लिक करने के लिए की जरूरत है / SSL प्रोटोकॉल हूँ के बाद, मैं इसे 'HTTPS [मुख्यालय anon नाम]' फिर से इसका इस्तेमाल को दर्शाते हैं. क्लिक करने के बाद अगले आपको पहले एक भीतर टीसीपी 443 को पोर्ट रेंज 443 प्रोटोकॉल का उपयोग कर बनाने की आवश्यकता होगी. यह मूल रूप से नीचे ईसा, अर्थात् संपीड़न, मास्किंग द्वारा इस्तेमाल तरीके अलग करना है, एक SSL कनेक्शन की अनुमति है लेकिन अभी भी हमारे आंतरिक साइट पर एक प्रॉक्सी कनेक्शन पैदा करने के लिए डेटा की रक्षा करना. क्लिक ठीक है, आप एक ही बात करते हैं और बना सकते हैं और एक ही मापदंड के साथ Outbound कनेक्शन की आवश्यकता होगी करने के बाद, यह इजाजत नहीं दी जाएगी ग्राहक प्रमाणपत्र का अनुरोध के लिए एक सफल हाथ मिलाने के लिए अंत उपयोगकर्ता के लिए वापस आ गया. क्लिक करने के बाद और फिर ठीक है तुम खत्म करो 'चुने' प्रोटोकॉल ड्रॉपडाउन सूची में अपने नए प्रोटोकॉल देखना चाहिए. अगला पर क्लिक करें और नेटवर्क है कि इन अनुरोधों को सुनने के लिए होगा, सबसे ज्यादा होने की संभावना 'चुनें' विदेश और फिर क्लिक करें बटन को पता. मैं एक लोड संतुलित सरणी का उपयोग कर रहा हूँ मैं पहले से ही एक वीआईपी के लिए तैयार है इस साइट के लिए प्रकाशित होने के बाद से इस्तेमाल किया है, तो मैं 'का चयन निर्दिष्ट IP पता ..' और फिर IP चुनें मैं इस साइट प्रकाशित करें और फिर क्लिक करें तो यह नियम केवल अनुरोधों का जवाब इस विशिष्ट आईपी के लिए भेज दिया जाता है जोड़ें का उपयोग करेंगे. तुम्हारे जाने के बाद आई पी और क्लिक करें का चयन करें, ठीक क्लिक करने के लिए शासन का निर्माण पूरा खत्म करो.
चरण 2.
तुम्हारे जाने के बाद शासन, डबल क्लिक करें नया नियम बनाया है गुण देखें. '' करने के लिए पट्टी पर क्लिक करें और 'के लिए अनुरोध प्रकाशित' सर्वर स्थापित करने के लिए 'परिवर्तन का अनुरोध करने से आई दिखाई इसा सर्वर' कंप्यूटर. एक बार जब आप सत्यापित कर दिया है सभी सेटिंग्स कदम 1 से 2 सही हैं और फिर 'क्लिक करें' लागू करें और 'ठीक है'. इस इसा विन्यास भाग निष्कर्ष निकालना चाहिए!
कदम 3.
आपके SharePoint खेत पर, आप के लिए आईआईएस सेटिंग्स को खोलने की आवश्यकता होगी और फिर अपने गुमनाम साइट पर जाएँ और गुण देखें. तुम कब संपत्तियों खुला, निर्देशिका सुरक्षा पृष्ठ पर जाएँ और फिर सुरक्षित संचार अनुभाग पर क्लिक करें संपादित करें. यहाँ आप 'चुनें जरूरत सुरक्षित' चैनल आवश्यक हूँ, 'ग्राहक' प्रमाणपत्र, और 'तो सक्षम प्रमाणपत्र विश्वास' की सूची की आवश्यकता है. नई पर क्लिक करें एक नए ट्रस्ट की सूची पर क्लिक करें और फिर अगला 'पर क्लिक करें से जोड़ें बनाने के लिए फ़ाइल'. संग्रहीत तुम DoD रूट CA 2 का चयन करें और मैं भी DoD श्रेणी जहाँ आप इन प्रमाणपत्र है से निर्धारित रूट 3 सीए की आवश्यकता होगी. क्लिक करें और फिर अगला एक नाम, अर्थात् DOD सीटीएल पर क्लिक करें देना और फिर अगले खत्म करो. के माध्यम से सब ठीक तरह से बेनामी संपत्ति साइट की निर्देशिका सुरक्षा पृष्ठ पर क्लिक करने के बाद, आप कर रहे हैं!
तो आप के रूप में, यह सच नहीं है एक जटिल प्रक्रिया को देखें. लेकिन चीजों की भव्य योजना में, हम सब जानते हैं कि हमें लगता है कि और अधिक से अधिक के समाधान इंजीनियर जटिल बातें करते हैं. मैं इस के दोषी से अधिक रहा हूँ, मैं सो सप्ताह की हार के लिए यह साबित करना! यह विन्यास गाइड एक दिखावा पर सेट है कि आप कुछ प्रारंभिक कॉन्फ़िगर आइटम है, और है कि आप एक ही बात मैंने किया पर बंद हो गए. अगर नहीं किया जा रहा है इस वजह से अपने बाल खोने के लिए, और सिर्फ पागलपन में तुम्हारा वंश शुरू कर दिया है, तो आप को पता है कि वहाँ कुछ चरणों कि इस स्तर तक पहुँचने से पहले पूरा किया जाना चाहिए रहे हैं की जरूरत है.
-------
आप इस पोस्ट के लिखने सहमत करने के लिए धन्यवाद Noni! मुझे लगता है कि हर कोई सहमत होगा इस DoD के लिए एक बहुमूल्य योगदान - SharePoint समुदाय है!
संबंधित पोस्ट:
- पहली SharePoint साथ इसा सर्वर को लागू करने में कदम
- दोहरी है सैन और SharePoint खोजने के समाधान ()
- SharePoint और SmartCards (CAC कार्ड)
- SharePoint (ASP.NET 2.0) फार्म प्रमाणीकरण
- SharePoint दावा एक ब्राउज़र आधारित अनुप्रयोग के रूप में प्रमाणीकरण Architectures समझाया आधार - भाग 3 - SharePoint
अनुच्छेद या अनुसंधान दायर SharePoint के अंतर्गत | SharePoint वास्तुकला.
4 टिप्पणियाँ »
आरएसएस के इस पोस्ट. Trackback URL पर टिप्पणियों के लिए फ़ीड
BlogosphereCAC सक्रिय बेनामी SharePoint साइटें (SharePoint शेल्टर) अगर आप काम लगभग [...] / या काम किया है योजना DoD वातावरण में काम करने पर, सुरक्षा का विषय होगा कि सत्ता अपने सपने. ऐसा नहीं है कि सुरक्षा प्रचलित नहीं है, निजी क्षेत्र में हमारा काम है लेकिन सुरक्षा के स्वरूप को देखते हुए एक सर्वोच्च प्राथमिकता है नहीं तो संख्या एक प्राथमिकता. उस ने कहा, मैं पिछले कुछ वर्षों के लिए किया गया है DoD PKI के साथ काम कर रहे तो मैं गुंजाइश और सुरक्षित अभिकलन वातावरण प्रदान करने के नतीजों से पूरी तरह वाकिफ हूँ जा रहा है. हाल ही में मैं एक सुरक्षित मानक हमारे सार्वजनिक रूप से उपलब्ध सर्वर के सभी लाने के साथ काम सौंपा गया था. [...]
7 Windows XP विधि के साथ अब तक Pingback, Office 2010 स्क्रीनशॉट, EDS Microsoft होस्ट आवेदन बेचने के लिए - SharePoint दैनिक - बैम्बू राष्ट्र - अप्रैल 28, 2009 @ 6:19
हाय Noni,
मैं लगभग 2 सप्ताह के लिए संघर्ष कर गया है CAC कार्ड के साथ अपने SharePoint साइट पर काम करते हैं. हम ईसा 2006 वातावरण नहीं है. मैं CAC प्रमाणीकरण सीधे वेब सर्वर को लागू करने की जरूरत है. नीचे परिदृश्य है.
मैं Windows प्रमाणीकरण (ई.) के साथ Windows 2008 सर्वर में MOSS2007 वेब साइट बनाया है. मैं CAC प्रमाणीकरण के साथ इस साइट बनाने की जरूरत है. ई. सभी ग्राहक उपयोगकर्ता खातों के लिए मैप किया प्रमाणपत्र है.
कदम 1:
मैं IIS7.0 में ग्राहक प्रमाणपत्र मानचित्रण प्रमाणीकरण स्थापित और सर्वर के लिए सक्षम होना चाहिए.
मैं ग्राहकों का प्रमाणपत्र और मानचित्रण IIS7.0 में SslNegotiateCert को SSL propety सेट सक्षम होना चाहिए.
मैं अपने CAC के साथ ग्राहक ब्राउज़र से साइट का उपयोग करने की कोशिश और इसे डिजिटल प्रमाणपत्र (आईटी में कोई प्रमाण पत्र) चुन लिए प्रेरित. ठीक पर क्लिक करें तो मैं जब मुझे Windows प्रमाणीकरण त्वरित प्रेरित.
STEP2:
मैं अपने ऊपर चरण 3 और साइट के बाद 403 त्रुटि दे शुरू कर दिया.
मैं सख्त समाधान के लिए देख रहा हूँ.
आप कृपया मुझे इस समाधान पर मदद?
धन्यवाद,
रेड्डी
रेड्डी ने टिप्पणी - नवम्बर 13, 2009 @ 9:21
महान लेख, अच्छी तरह से संरचित और लिखा! मैं एक SharePoint पोर्टल के साथ काम किया अतीत और हम भविष्य के लिए योजना बना रहे थे, CAC साइट enbabling ऊपर लाया गया था. रेड्डी की स्थिति एक खदान के समान होती. वहाँ है रेड्डी सवालों का कोई जवाब नहीं थे? मैं अब नहीं है कि सपा के प्रवेश द्वार पर है और यह है कि यह कैसे काम किया होगा पर मेरे निजी ज्ञान के लिए ही है. एक अच्छा पढ़ने के लिए एक बार फिर धन्यवाद
ब्रूस ने टिप्पणी - दिसम्बर 7, 2009 @ 12:12
कृपया अपने CAC / SharePoint अनुभवों के साथ इस लेख पर टिप्पणी छोड़ दें.
धन्यवाद ... एडम.
एडम ने टिप्पणी - 26 जनवरी 2010 @ 1:10