CAC Enabled אנונימי Sharepoint אתרים
מאת: נוני הרננדס
Enterprise Architect
אם אתה עבד / עובד או עובדת על תוכנית בתוך הסביבה DoD, האבטחה תהיה הנושא הזה שרודף החלומות שלך. לא, כי האבטחה אינה נפוצה במגזר הפרטי, אבל בהתחשב באופי של ביטחון העבודה שלנו היא בראש סדר העדיפויות אם לא בעדיפות ראשונה. עם זאת, אני עובד עם PKI DoD של השנים האחרונות כך שאני מודע היטב להיקף ואת ההשלכות של אספקת סביבת מחשוב מאובטחת. לאחרונה הייתי עם להביא את כל המוטל של שרתים הזמינים לציבור שלנו לרמת מאובטח. זה מעורב פריסת לטעון השב"כ 2006 מערך מאוזן והגנה על כל השירותים הזמינים שלנו דרך NIPRNET או מסחרי. אחד הפרויקטים שלי היה באבטחת החווה של SharePoint שלנו רק על ידי מתן גישה באמצעות מערך של ISA שלנו. בדרך כלל זו תהיה משימה הושלמה שינה אחד, בהתאם לדגם אימות להיות מנוצלים. עם זאת, להיות אלמנט DoD מביא על דרישות ספציפיות שיש נפגשו כדי להבטיח את ההגנה על הנתונים שלנו. הזן את CAC או Common Access Card, ועל ניצול של PKI DoD לאכוף סביבה מאובטחת יותר.
מטבעם, השב"כ 2006 יש תמיכה רבה עבור הדגם אישור אימות לקוח, אבל יש אילוצים. העיקרי להיות השב"כ תאפשר קשר כזה על ידי שאילתות תחום שלך כדי לאמת חבר פעיל התחום שלך. זה בסדר גמור, למעט הרעיון של בעל דף מידע זמין לציבור עם מוגבלות, על מודל גישה אנונימית. זה המקום שבו הדברים מתחילים לקבל קצת מסובך. כפי שציינתי קודם לכן, אחד דרישה שנמסרה על ידי DoD היא לאבטח את כל השרתים הזמינים לציבור באמצעות אימות CAC. המשמעות היא מתן הגישה לאתר לציבור שלך מאוד לכל בעל CAC תקף. אם אתה מפרסם באתר שלך אנונימיות ומתן גישה ישירה החווה שלך, ולאחר מכן פריסת התרחיש הזה הוא די פשוט, אבל אתה עוזב שרת פגיע גישה לא מורשית אפשרי שלך פשוט על ידי מתן גישה ישירה. אז באופן טבעי אנחנו צריכים לפרסם את האתר באמצעות מערך השב"כ שלנו על מנת להבטיח כי שכבת אבטחה. זה המקום הראשון שאני נתקל בבעיות. אם מגדירים כלל גישה של ISA מכן המאפשרת אימות אישור הלקוח מחייב את המשתמש להיות פעיל בתחום שלך עם CAC שלהם רשום על חשבון זה. אם תבחר להשאיר את בקשת האישור בשרת האינטרנט ולהגדיר את בקשת אימות על המאזין ל 'אין אימות' ו המשלחת האימות "המשלחת לא, אך הלקוח יכול לאמת ישירות ', אתה קרוב לוודאי מקבל 408/Request שהוקצב שגיאה בעת ניסיון גישה לדף. הייתי תקוע על הודעת שגיאה זו במשך שבועות לאחר שניסה שילובים רבים להפוך את זה לעבודה.
אחרי לילות רבים ללא שינה (ואפילו יותר גרוע, סיוטים!) מנסה ליצור פתרון לבעיה זו, אני סוף סוף נתקלתי הפתרון רק לאחר ביקש לאבטח שרת אחר מאחורי המערך שלנו. אז הנה שיטה אני פותח כדי לאפשר למשתמש גישה אנונימית לאתר SharePoint שלנו, עם התנאי היחיד להיות להם CAC תקף.
שלב 1.
על מערך השב"כ שלך, במקום ליצור SharePoing האתר פרסום כלל או אתר אינטרנט פרסום כלל, בחר 'ללא פרסום פרוטוקול שרת אינטרנט כלל ". תן לה שם עם משמעות כל כך Admins שלך יוכל לזהות בקלות מה הכלל הוא ביצועים, בחרתי 'HQ אנונימי אתר SharePoint [CAC GZIP]'. לאחר שתלחץ הבא להזין את ה-IP או שרת יחיד או על העומס מאוזן IP נוצלו להגיע לאתר. לאחר לחיצה על הבא, יהיה עליך לחץ על חדש כדי ליצור גרסה מותאמת של HTTPS / בפרוטוקול SSL, בשם זה אני 'https [HQ Anon]' שוב כדי לשקף ניצול שלה. לאחר לחיצה על הבא עליך תחילה ליצור באמצעות פרוטוקול TCP נכנס בטווח היציאות 443-443. מדובר בעצם להפשיט את שיטות בשימוש השב"כ, כלומר דחיסה, מסווה, כדי לאפשר חיבור SSL אבל עדיין יצירת חיבור ה-proxy לאתר הפנימיים שלנו כדי להגן על הנתונים. לאחר לחיצה על אישור, תצטרך לעשות את אותו הדבר יוצר חיבור יוצא עם הפרמטרים אותה, זה יאפשר לבקש אישור הלקוח יועברו בחזרה למשתמש הקצה עבור לחיצת יד מוצלחת. לאחר לחיצה על אישור ולאחר מכן סיום היית צריך לראות את הפרוטוקול החדש שלך ברשימה 'פרוטוקול נבחרים' הנפתח. לחץ על הבא בחר את הרשת כי תהיה ההאזנה עבור בקשות אלה, קרוב לוודאי 'חיצוניים' ולאחר מכן לחץ על לחצן כתובת. מאז אני משתמש לטעון מערך מאוזן יש לי כבר VIP מוכן להיות מנוצל עבור אתר זה פורסם, אז אני בוחר '.. מחרוזת כתובת ה-IP " ולאחר מכן בחר את ה-IP אני יהיה משתמש כדי לפרסם את האתר הזה ולאחר מכן לחץ על הוסף כדי כלל זה רק לענות על בקשות שנשלחו IP הספציפי הזה. אחרי שבחרת את ה-IP ולחץ על אישור, לחץ על סיום כדי להשלים את הבריאה של הכלל.
שלב 2.
לאחר שיצרת את הכלל, לחץ פעמיים על החוק החדש כדי להציג את המאפיינים. לחץ על הכרטיסייה 'אל' ולשנות את 'בקשה לקביעת שרת לאור' ל 'בקשות להופיע לבוא השב"כ המחשב שרת'. לאחר שבדקת את כל ההגדרות נכונות מן השלבים 1 ו -2 ולאחר מכן לחץ על 'החל' ו 'אישור'. זה להסיק את החלק השב"כ תצורה!
שלב 3.
בחווה SharePoint שלך, עליך לפתוח את ההגדרות של IIS ולאחר מכן נווט אנונימי באתר שלך להציג את המאפיינים. כאשר יש לך את המאפיינים פתוח, לנווט את דף מדריך אבטחה ולאחר מכן לחץ על עריכה בסעיף תקשורת מאובטחת. כאן עליך לבחור 'דרוש ערוץ מאובטח', 'דרוש תעודות לקוח', ולאחר מכן 'רשימה אפשר לסמוך על אישור'. לחץ על חדש כדי ליצור רשימה של אמון חדש, לחץ על הבא ולאחר מכן לחץ על 'הוסף קובץ מ'. עליך לבחור את DoD Root CA 2 ויש לי גם להגדיר DoD Class 3 CA רוט מאיפה יש לך אישורים אלו מאוחסנים. לחץ על הבא ולאחר מכן תן לו שם, CTL DOD כלומר, לחץ על הבא ולאחר מכן סיום. לאחר לחיצה על אישור כל הדרך אל הדף Directory Security של מאפייני האתר אנונימי, תסיים!
אז כפי שאתה רואה, זה ממש לא תהליך מסובך. אבל בתמונה הגדולה של הדברים, כולנו יודעים שאנחנו נוטים לחשוב על ושוב כדי לסבך את העניינים מהנדס פתרונות. אני יותר אשם זה, איבדתי שבועות של שינה כדי להוכיח את זה! מדריך זה תצורה מוגדר על העמדת הפנים כי יש לך כמה פריטים ראשוני מוגדר, וכי הגיע למבוי סתום בנקודה זאת עשיתי. אם לא להיות לאבד את השיער שלך בגלל זה, ואת רק התחלת הירידה שלך לתוך טירוף, אז מה שאתה צריך לדעת כי יש כמה שלבים כי יש להשלים לפני שהגיע לשלב הזה.
-------
תודה לך נוני על שהסכים לכתוב את ההודעה! אני חושב שכולם יסכימו זו מהווה תרומה בעלת ערך ל DoD - הקהילה SharePoint!
מאמר או מחקר הגישו תחת SharePoint | אדריכלות SharePoint.
4 תגובות »
RSS Feed להערות על זה לכתוב. TrackBack-URL
[...] מסביב BlogosphereCAC אנונימי Enabled SharePoint Sites (SharePoint מקלט) אם עבד / עובד או עובדת על תוכנית בתוך הסביבה DoD, האבטחה תהיה הנושא הזה שרודף החלומות שלך. לא, כי האבטחה אינה נפוצה במגזר הפרטי, אבל בהתחשב באופי של ביטחון העבודה שלנו היא בראש סדר העדיפויות אם לא בעדיפות ראשונה. עם זאת, אני עובד עם PKI DoD של השנים האחרונות כך שאני מודע היטב להיקף ואת ההשלכות של אספקת סביבת מחשוב מאובטחת. לאחרונה הייתי עם להביא את כל המוטל של שרתים הזמינים לציבור שלנו לרמת מאובטח. [...]
Pingback על ידי Windows XP 7 עכשיו עם מצב, Office 2010 צילומי מסך, EDS למכירת מתארח יישומי מיקרוסופט - SharePoint יומי - במבוק האומה - 28 אפריל 2009 @ 6:19
היי נוני,
הייתי נאבק כמעט 2 שבועות לעשות עבודה של SharePoint האתר שלי עם כרטיס CAC. אין לנו שב"כ 2006 הסביבה. אני צריך ליישם את אימות CAC ישירות אל שרת אינטרנט. להלן תרחיש.
יצרתי MOSS2007 באתר האינטרנט של Windows Server 2008 עם אימות Windows (לספירה). אני צריכה לעשות באתר הזה עם אימות CAC. לספירה יש את כל האישורים לקוח ממופים לחשבונות משתמשים.
שלב 1:
התקנתי הלקוחות אימות תעודת מיפוי IIS7.0 ואיפשר עבור השרת.
אני לקוח מופעלת תעודת מיפוי להגדיר את propety SSL כדי SslNegotiateCert ב IIS7.0.
אני מנסה לגשת לאתר מדפדפן הלקוח עם CAC שלי היא תבקש לבחור אישור דיגיטלי (אין אישורים זה). כאשר אני לוחץ על אישור ואז זה מבקש ממני אימות של Windows הפקודה.
STEP2:
עקבתי צעד 3 שלך מעל האתר התחיל לתת שגיאה 403.
אני מחפש נואשות פתרון.
אתה יכול בבקשה לסייע לי על הפתרון הזה?
תודה,
Reddy
תגובה על ידי Reddy - 13 בנובמבר, 2009 @ 9:21
מאמר נהדר, כתוב היטב מובנה! עבדתי עם הפורטל SharePoint בעבר תיכננו לעתיד; CAC enbabling באתר חונכתי. Reddy's המצב היה אחד דומה לשלי. היו שם כל התגובות שאלות Reddy's? אני כבר לא בפורטל ש-SP וזה רק בשביל הידע האישי שלי על איך זה עבדתי. שוב תודה על לקרוא טוב
תגובה על ידי ברוס - 7 בדצמבר, 2009 @ 12:12
בבקשה להשאיר להערות על מאמר זה עם חוויות CAC / SharePoint שלך.
תודה ... אדם.
תגובה על ידי אדם - 26 ינואר 2010 @ 1:10