Keamanan SharePoint RSS Feed RSS Feed SharePoint Dukungan Keamanan LiveARB Keamanan Program Mitra Solusi Program Mitra
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagJapanese flagRussian flagHindi flagPolish flagHebrew flagIndonesian flagUkrainian flag                              
Tentang | Artikel | Services | Software | Kontak
Mengamankan SharePoint Services

Keamanan Progresif Desain Menggunakan Teknologi Microsoft Terpadu

Konsultasi Arsitektur SharePoint Services
SharePoint Arsitektur Dengan Keamanan Dan Pemerintahan

SharePoint Industri Arsitektur Dengan Fokus Pada Keamanan Dan Pemerintahan

Konsultasi Arsitektur SharePoint Services
Kode Keamanan SharePoint Ulasan

Secure SharePoint Kode Desain Dan Ulasan Kode Corporate Security

Pengembangan Jasa Konsultasi SharePoint
Keamanan SharePoint Penelitian

Perintis SharePoint / Artikel Keamanan Microsoft Dan Penelitian

SharePoint Security Labs

Artikel & Penelitian

Pengembangan SharePoint Latests Posts

Keamanan SharePoint Latests Posts

CAC Diaktifkan Situs Sharepoint Anonymous

Oleh: Noni Hernandez
Enterprise Architect

Jika Anda bekerja / telah bekerja atau berencana untuk bekerja dalam lingkungan Departemen Pertahanan, keamanan akan menjadi topik yang menghantui mimpi Anda. Bukan berarti keamanan tidak lazim di sektor swasta, tetapi mengingat sifat dari keamanan pekerjaan kita adalah prioritas utama jika tidak nomor satu prioritas. Yang sedang berkata, saya telah bekerja sama dengan Departemen Pertahanan PKI untuk beberapa tahun terakhir jadi saya sepenuhnya menyadari lingkup dan implikasi menyediakan lingkungan komputasi aman. Baru saja saya ditugaskan dengan membawa semua server kami publik tersedia untuk standar aman. Deploying ini melibatkan beban seimbang ISA 2006 array dan melindungi semua layanan yang tersedia kami melalui NIPRNET atau internet komersial. Salah satu proyek saya adalah mengamankan kami pertanian SharePoint hanya memungkinkan akses melalui array ISA kita. Biasanya ini akan menjadi tugas diselesaikan dalam tidur seseorang, tergantung pada model yang digunakan otentikasi. Namun, menjadi elemen DoD membawa pada persyaratan tertentu yang harus dipenuhi untuk memastikan perlindungan data kami. Masukkan CAC, atau Kartu akses umum, dan pemanfaatan PKI Departemen Pertahanan untuk menegakkan lingkungan yang lebih aman.

Inheren, ISA 2006 memiliki dukungan yang besar untuk model sertifikat otentikasi klien, tetapi ada beberapa kendala. Yang utama adalah ISA hanya akan memungkinkan seperti sambungan dengan query domain Anda untuk mengotentikasi anggota aktif dari domain Anda. Ini adalah hal yang baik-baik saja, kecuali gagasan memiliki halaman publik tersedia dengan informasi yang terbatas, pada model akses anonim. Di sinilah mulai mendapatkan hal-hal rumit. Seperti yang saya katakan sebelumnya, salah satu persyaratan yang diturunkan oleh DoD adalah untuk mengamankan semua server publik tersedia melalui otentikasi CAC. Ini berarti memberikan akses ke situs umum Anda kepada siapapun dengan CAC yang valid. Jika Anda mempublikasikan situs anonim Anda dan memberikan akses langsung ke peternakan Anda, kemudian menyebarkan skenario ini agak sederhana, tetapi Anda meninggalkan server Anda rentan terhadap akses yang tidak sah yang mungkin hanya dengan memberikan akses langsung. Jadi secara alami kita perlu mempublikasikan situs ini melalui array ISA kami untuk memberikan lapisan keamanan. Di sinilah saya pertama kali berlari ke dalam masalah. Jika Anda mengkonfigurasi aturan akses di ISA kemudian memungkinkan otentikasi klien memerlukan sertifikat pengguna menjadi anggota aktif dalam domain Anda dengan CAC mereka terdaftar untuk account tersebut. Jika Anda memilih untuk meninggalkan permintaan sertifikat pada server web dan mengatur permintaan otentikasi pada pendengar untuk 'No Authentication' dan delegasi otentikasi No delegasi ke ', tapi klien dapat mengotentikasi langsung', kemungkinan besar Anda akan menerima 408/Request timeout kesalahan saat mencoba untuk mengakses halaman tersebut. Aku terjebak pada pesan kesalahan ini selama berminggu-minggu setelah mencoba berbagai kombinasi untuk membuat karya ini.

Setelah tidur malam banyak (dan bahkan lebih buruk lagi, mimpi buruk) berusaha untuk menciptakan solusi untuk masalah ini!, Aku akhirnya menemukan solusi hanya setelah diminta untuk mengamankan server lain array di belakang kami. Jadi di sini adalah metode saya dikembangkan untuk memungkinkan akses pengguna ke situs anonim SharePoint kami, dengan ketentuan hanya karena mereka memiliki CAC berlaku.

Langkah 1.

Pada array ISA Anda, bukan menciptakan SharePoing Penerbitan Aturan Situs atau Web Publishing Situs Aturan, pilih 'Non-Web Server Protokol Penerbitan Peraturan'. Berikan nama yang bermakna sehingga admin Anda akan dapat dengan mudah mengidentifikasi apa aturan kinerja, saya memilih 'HQ Anonymous SharePoint Situs [CAC Diaktifkan]'. Setelah Anda klik next masukkan IP server baik perorangan atau beban seimbang IP digunakan untuk mencapai lokasi. Setelah mengklik berikutnya, Anda akan perlu klik baru untuk membuat versi modifikasi dari HTTPS / protokol SSL, saya menyebutnya 'HTTPS [HQ Anon]' untuk kembali mencerminkan pemanfaatannya. Setelah mengklik berikutnya Anda harus terlebih dahulu membuat protokol TCP Inbound menggunakan Port Range 443-443. Hal ini pada dasarnya pengupasan bawah metode yang digunakan oleh ISA, kompresi yaitu, masking, untuk memungkinkan koneksi SSL tapi masih menghasilkan koneksi proxy ke situs internal kami untuk melindungi data. Setelah mengklik OK, Anda harus melakukan hal yang sama dan membuat dan koneksi Outbound dengan parameter yang sama, ini akan membolehkan permintaan sertifikat klien untuk dilewati kembali kepada pengguna akhir untuk jabat tangan yang sukses. Setelah mengklik OK dan Finish Anda akan melihat protokol baru Anda di 'daftar dropdown Protokol Dipilih'. Klik Next dan pilih jaringan yang akan mendengarkan permintaan ini, kemungkinan besar 'klik Eksternal' dan kemudian tombol Alamat. Karena saya menggunakan array beban seimbang Saya telah memiliki VIP siap untuk digunakan untuk situs ini diterbitkan, jadi aku pilih 'alamat IP Tertentu ..' dan kemudian pilih IP saya akan gunakan untuk menerbitkan situs ini dan kemudian klik Tambah jadi aturan ini hanya menjawab permintaan yang dikirim ke IP tertentu. Setelah Anda memilih IP dan klik OK, klik Finish untuk menyelesaikan pembuatan aturan.

Langkah 2.

Setelah Anda membuat aturan, klik dua kali aturan baru untuk melihat properti. Klik pada 'Untuk' tab dan mengubah 'Permohonan untuk server diterbitkan' pengaturan 'Permintaan muncul datang dari komputer ISA Server'. Setelah memverifikasi semua pengaturan sudah benar dari langkah 1 dan 2 kemudian klik 'Terapkan' dan 'OK'. Ini harus menyimpulkan bagian konfigurasi ISA!

Langkah 3.

Pada peternakan SharePoint Anda, Anda akan perlu membuka pengaturan IIS dan kemudian arahkan ke situs anonim Anda dan melihat properti. Bila Anda memiliki sifat terbuka, navigasikan ke halaman Keamanan Direktori dan kemudian klik Edit pada bagian Komunikasi Secure. Di sini Anda akan perlu memilih 'saluran Mengharuskan aman', '' Require sertifikat klien, dan kemudian 'daftar sertifikat kepercayaan Aktifkan'. Klik New untuk membuat daftar Trust baru, klik Next dan kemudian klik 'Tambah dari File'. Anda harus memilih Departemen Pertahanan Root CA 2 dan saya juga telah DoD KELAS 3 Root CA dari mana Anda memiliki sertifikat ini disimpan. Klik berikutnya dan kemudian memberikan nama, yaitu DOD CTL, klik Finish berikutnya dan kemudian. Setelah mengklik OK semua jalan melalui ke halaman Keamanan Direktori sifat situs anonim, Anda selesai!

Jadi seperti yang Anda lihat, itu benar-benar bukan suatu proses rumit. Tapi dalam skema besar hal, kita semua tahu bahwa kita cenderung lebih berpikir dan lebih rumit untuk insinyur solusi. Saya lebih dari bersalah dalam hal ini, aku kehilangan minggu tidur untuk membuktikannya! Panduan konfigurasi diatur pada berpura-pura bahwa Anda memiliki beberapa item dikonfigurasi awal, dan bahwa Anda mencapai jalan buntu pada titik yang sama saya lakukan. Jika tidak sedang kehilangan rambut Anda karena ini, dan baru saja mulai keturunan Anda menjadi gila, maka Anda perlu tahu bahwa ada beberapa langkah yang harus diselesaikan sebelum mencapai tahap ini.

-------

Terima kasih Noni atas persetujuan untuk menulis posting ini! Saya pikir semua orang akan setuju ini merupakan kontribusi yang berharga untuk DoD - SharePoint komunitas!

  • Share / Bookmark

Pasal Atau Penelitian Filed Under SharePoint | SharePoint Arsitektur .

6 Komentar »

  1. [...] Sekitar BlogosphereCAC Diaktifkan Anonymous SharePoint Situs (SharePoint Shelter) Jika Anda bekerja / telah bekerja atau berencana untuk bekerja dalam lingkungan Departemen Pertahanan, keamanan akan menjadi topik yang menghantui mimpi Anda. Bukan berarti keamanan tidak lazim di sektor swasta, tetapi mengingat sifat dari keamanan pekerjaan kita adalah prioritas utama jika tidak nomor satu prioritas. Yang sedang berkata, saya telah bekerja sama dengan Departemen Pertahanan PKI untuk beberapa tahun terakhir jadi saya sepenuhnya menyadari lingkup dan implikasi menyediakan lingkungan komputasi aman. Baru saja saya ditugaskan dengan membawa semua server kami publik tersedia untuk standar aman. [...]

    Pingback oleh Windows 7 Sekarang Dengan Mode XP, Office 2010 Screenshots, EDS Menjual Microsoft Hosted Aplikasi - SharePoint Harian - Bangsa Bambu - 28 April 2009 @ 06:19

  2. Hi Noni,

    Saya telah berjuang selama hampir 2 minggu untuk membuat saya SharePoint tempat kerja dengan kartu CAC. Kami tidak memiliki ISA 2006 lingkungan. Aku perlu menerapkan otentikasi CAC langsung ke server WEB. Berikut ini adalah skenario.

    Saya telah menciptakan MOSS2007 situs web di server Windows 2008 dengan otentikasi windows (AD). Aku perlu membuat situs dengan otentikasi CAC. AD memiliki sertifikat klien semua dipetakan ke account pengguna.

    LANGKAH 1:
    Saya telah menginstal Klien otentikasi pemetaan Sertifikat IIS7.0 dan diaktifkan untuk server.
    Klien saya diaktifkan Sertifikat Pemetaan dan mengatur propety ssl untuk SslNegotiateCert di IIS7.0.

    Saya mencoba mengakses situs dari browser klien dengan CAC saya dan ia meminta untuk memilih sertifikat digital (tidak ada sertifikat di dalamnya). Ketika saya klik ok kemudian mendorong saya otentikasi windows prompt.

    STEP2:
    Aku mengikuti langkah Anda 3 di atas dan situs mulai memberikan error 403.

    Saya mati-matian mencari solusi.

    Tolong membantu saya pada solusi ini?

    Terima kasih,
    Reddy

    oleh Reddy - Komentar November 13, 2009 @ 09:21

  3. Great artikel, terstruktur dan tertulis! Saya bekerja dengan SharePoint portal di masa lalu dan kami sedang merencanakan untuk masa depan; CAC enbabling situs dibesarkan. Reddy situasi akan menjadi salah satu mirip dengan saya. Apakah ada tanggapan atas pertanyaan Reddy's? Saya tidak lagi pada portal SP dan ini hanya untuk pengetahuan pribadi saya tentang cara itu akan telah bekerja. Thanks lagi untuk membaca yang baik

    Komentar oleh Bruce Desember - 7, 2009 @ 12:12

  4. silakan tinggalkan komentar pada artikel ini dengan / Anda CAC pengalaman SharePoint.

    Terima kasih ... Adam.

    Komentar oleh adam - 26 Januari 2010 @ 01:10

  5. Hei guys,

    Maaf saya belum sekitar dalam beberapa saat, sudah sangat sibuk di sini dengan peristiwa besar di Karibia. Saya baru saja membaca posting Anda Reddy dan ingin membahas lebih lanjut jika Anda belum mencapai solusi kerja. Aku akan periksa kembali di sini lebih sering sekarang optempo telah diperlambat sedikit!

    Terima kasih kepada semua orang yang membaca sedikit uraian saya dan sangat bermanfaat atau membaca yang baik, ini adalah usaha pertama saya di posting menghasilkan dan saya benar-benar menikmatinya! Saya telah meningkat sedikit lebih jauh ke lubang kelinci ISA jadi mungkin posting lain dapat ditulis ... Adam?

    Ambil semua orang peduli!

    Noni

    Komentar oleh Noni - 8 Juli 2010 @ 08:56

  6. Tentu saja! Saya juga akan suka membaca posting yang lain. Saya pikir Anda masih memiliki email saya ...

    Komentar oleh adam - 12 Juli 2010 @ 07:50

RSS feed untuk komentar di posting ini. Trackback URL

Tinggalkan komentar


Adam Buenz Profil MVP Microsoft Certified PartnerSharePoint TI HijauMicrosoft Small Business SpecialistW3C keluhan W3C Compliant | Pemberitahuan Hukum | Privasi | Kontak
© 2003-2010 Solusi Keamanan ARB, LLC. | SharePoint Keamanan Menyediakan Integrasi Sejak 2003 | Minneapolis, MN
Solusi Keamanan ARB tidak didukung oleh Microsoft Corporation. SharePoint adalah merek dagang dari Microsoft Corporation.
Situs Dikelola Oleh Buenz Adam - Yayasan MVP SharePoint Adam Buenz Profil LinkedIn