האם עבדת עם SharePoint ו smartcards?

יש לי, כמו ברוב צבאי / סביבות הפדרלי תגלו כי משתמשים בדרך כלל גישה למשל SharePoint שלך באמצעות שימוש של CAC (Common Access Card) כרטיס. זה כמו ספקי כוח ושנאים אחר רק קצת יותר למעלה jazzed בכלל עם מידע אחר המצורף על זה, שום דבר מפואר מאוד אמיתי. הנה דוגמא של כרטיס CAC נלקחה מהצבא. Mil אתר:

המתודולוגיה ותכלית בין כרטיס CAC וכן ספקי כוח ושנאים הם די דומים. הן משמשות כך שהמשתמש יכול לאמת למיין את כל האובייקטים של אישור הלקוח מודע. אף בתוך תחומי הפדרלי, כרטיסי CAC בדרך כלל חובה.

אבל עם SharePoint, סוג של כרטיסים חכמים הן מטרידות. יש כמה הסתייגויות להגדרת הסביבה שלך בתוך SharePoint בכל הקשור לשמירה על תאימות CAC, כמה שיכול להיות מטופלים באמצעות הגדרות IIS הגלום, אחרים, טוב, הדורשים פיתוח מותאם אישית.

עבור הרבה אנשים, את יישום ארכיטקטורת אבטחה כרטיסים חכמים לסביבת SharePoint שלהם יכול להיות אחד יחסית ללא כאבים. אם אתה יודע את זה לכל המשתמשים שלך יש חשבונות של Active Directory, אז אתה מוכן ללכת, עושה כמה תצורה כמו ב-IIS אתה תקבל את רוב הדרך לשם. האופן שבו ניתן לעשות זאת היא באמצעות מושג שנקרא מיפוי אישור הלקוח. מיפוי אישור הלקוח בעצם שאילתה עבור הלקוח את התעודה של כרטיסים חכמים, וכן מפה כדי מראש הקיימים בחשבון Windows. ביסודו של דבר, זה אינו שונה בהרבה מאשר בתצורת כי בסופו של דבר אתה עם כאשר באמצעות אימות משולב של Windows מאז אתם עדיין תהיה לנו זהות של Windows חוקי לשים נגד מפעילי השוואה. אם זה המקרה, את הבעיות שלך כי אתה ייתקל מחויבים מטבעם ל-IIS. תשנה ב-metabase הגדולה ביותר היא של IIS, מאז תצטרך לתפעל את הנכס metabase orchestrates כי המשא ומתן SSL חיבור הלקוח. כלומר, תספר SharePoint כדי לנהל משא ומתן תמיד את האישור, אשר יסייעו לפתור מחדש אישור הלקוח deadlocks משא ומתן. דבר זה נעשה על ידי הגדרת SSLAlwaysNegoClientCert Metabase נכס כדי נכון.

בעוד זה עובד, זה לא מצב אידיאלי עבור סביבות גדולות שלי. יש לי משתמשים רבים כי אף יש CAC / ספקי כוח ושנאים תעודות כי לא יהיה קיים בעץ Active Directory אשר אני יכול נגד התוכנית. זה מציב בעיה גדולה בשבילי, כי המיפוי שלי ייכשל כמו מפעיל את ההשוואה יהיה למשוך בעקביות ערך כוזב על להחזיר את ההתאמה. אני גם לא ממש יכולה לדמיין את יישום כל סוג של מושלם זה יהיה מועיל, זה סוג של תרחיש, כי הייתי צריך לדעת את הסיסמה משתמשים, אשר בדרך כלל ליחידה צבאית, ניתן ממותה. ברוח דומה, הייתי צריך בעצם ההגדרה שלי 1-to-1 התרחיש מיפוי. אני לא רוצה לקחת על עצמו משימה זו בכל דרך או צורה לשתף. אם הלכתי בדרך הזאת, אני יהיה תקוע עם תרחיש מושלם, זה היה למען מילה טובה יותר, להפוך unmanageable.
למרבה המזל, באמצעות ASP.NET ניתן להזריק דברים בזרם ASP.NET הבקשה. זה דבר טוב. עם כמה שיטות אימות המוצעים בתחום של SharePoint, כפי שהם מיושמים מודולים HTTP. לדוגמה, אם אתה משתמש ב-FBA עם מופע SharePoint שלך זה הולך להיות באמצעות HTTP מודולים גם כן.

איך מודול HTTP עובד די פשוט. ראשית, בקשה SharePoint אינטרנט תוגש IIS. כי הבקשה האינטרנט ימופו ASP.NET, אשר לפענח את הדף באמצעות המנוע של ASP.NET 2.0 אשר במהותה היא בקשה מצד האינטרנט-off. זה המקום שבו המודול HTTP נכנסת לתוקף. לאחר הבקשה הוא הושיט את אינטרנט של ASP.NET יהיה שאילתה לתוך שקיימות קבצי תצורה בשרת כדי לקבוע אם כל המודולים HTTP ליירט ואולי צריך לתמרן את הבקשה. אמנם רק מודולים מסוימים עשויים לתוקף, כל הזמינים HTTP מודולים טעונים.

אם אתה רוצה לראות את זה בפעולה, תוכל להציג את זה כיום נמצאות בהליכי מופעים מאתר SharePoint שלך באמצעות קוד חלק קטן באמצעות אוסף Context.ApplicationInstance.Modules בתוך אירוע WebPart onload מודולים HTTP.

הפוסט הבא בסדרה זו, אני עומד לדבר על איך אנחנו יכולים לפתור את הבעיה באמצעות בנייה של מודול מותאם אישית HTTP, וכיצד אנו יכולים לנהל תעודות הלקוחות שלנו באמצעות אחסון נתונים בניגוד להסתמך על חשבונות של Windows. הבאים, אנו רואים כיצד אנו יכולים לנצל את הרעיון הזה עוד יותר ליישם ספק תפקיד מותאם אישית אשר מתחברים מודול ה-HTTP על מנת לספק מנגנון להפנות משתמשים אשר לא מנוי על תפקיד באתר מחדל אנונימית, כמו גם כמו ליישם בשם בתוקף תפקידי לסביבת SharePoint.

הודעות קשורות:

1. סן כפולה של SharePoint חיפוש (פתרון)
2. יצירת תעודות עם תכונות סן כפולה
3. Sharepointsecurity.com הוא עסוק מדי?
4. Http.sys מנהל גרעין aspnet_filter.dll
5. CAC Enabled אנונימי Sharepoint אתרים

מאמר או מחקר הגישו תחת אבטחה של SharePoint.

35 תגובות »

1. 

   זה יכול להיעשות גם באמצעות השב"כ 2006 CAC כדי לאמת את DoD ולאחר מכן לעבור גם בקשה אנונימיים חוות SharePoint או המפה חשבון לספירה ולאחר מכן להעביר את כרטיס ה-SharePoint Kerberos, כדי נחלה באמצעות Kerberos המשלחת מוגבל. זה די חלקלק אפס פתרון קוד.

   תגובה על ידי ג 'ון - 1 ביוני, 2007 @ 1:50

2. 

   זה מה שאני צריך להשתמש, בנסיבות מסוימות, ועל דרך זה בכמה אחרים. יש עלות טבעה עם השב"כ משני החומרה, יישום, ניהול ופרספקטיבות כך לבצע כמה קטעים של DoD קצת להיגמל ממנו כפתרון.

   לא ניסיתי 100% מה שאני מתאר כאן דרך ISA (non-מיפוי כלומר לספירה ממשתמשים CAC / מידע ספקי כוח ושנאים נחקר), אבל אני אבדוק לתת לזה סיכוי.

   אני משתמש ב-Kerberos, בדרך כלל, כמו בדרך שאתה מתאר את זה כי בגלל שיקולים מהירות ועבודה עם TGT של לבנות שלט אחיד יותר בסביבה עבור יישומים אחרים.

   תגובה על ידי אדם Buenz - 9 ביוני, 2007 @ 12:48

3. 

   היי אני גם עובד על אתר צבאי אני מנסה לדרוש אימות CAC באתר SharePoint שלי אני נתקל הרבה בעיות. הכי קרוב שהגענו היה שם משתמשים התבקשו לאמת פעמיים עם הקלפים CAC. במקרה עשית את הפריט הליך שלך הגדרת את זה?

   תגובה על ידי לורן אדלר - 12 ביולי, 2007 @ 8:24

4. 

   אני לא באמת יש צעד אחר צעד בתהליך זה בחוץ בגלל ההבדלים בין סביבות אדריכליים יכול להיות כל כך עצום.

   איך בדיוק אתה עושה אימות שלך? האם אתה פשוט לבדוק את הגדרות IIS לקבל תעודות הלקוח?

   תגובה על ידי אדם Buenz - 12 ביולי, 2007 @ 8:54

5. 

   אדם,
   פירסום הגדול; אני מצפה בשקיקה הבא "בסדרה". פעילות דומה לזו שאתה מתאר ניתנה לי כמו, למעשה, בהקדמה שלי SharePoint, CAC, Active Directory ... אתה שם את זה, אני לא עובד עם זה עדיין! (אז אני מתנצל אם אני המינוח לרעה את אוזלת לבגוד או אחרת.)
   CAC ביסודו של דבר, המשתמשים צריכים להיות מסוגלים להיכנס באמצעות שם המשתמש שלהם / או הסיסמה באמצעות CAC (מתוך או מחוץ לאתר מחוץ ליער לספירה), עם שם המשתמש / סיסמה מחוץ לאתר חסול כמשתמש אותו.
   יש לי ידית ליישום מודול HTTP ו איך משתמשים שאינם לספירה יעבוד, אבל אני מאוד תקועה על להבין איך לקשר וע"א לאמת את רשומת לספירה. אני יודעת שאת כל סוגי עסוק, אבל אני יהיה מאוד אסיר תודה על כל עצה אתה יכול להציע. תודה!
   בריאן

   תגובה מאת Brian - 22 באוגוסט, 2007 @ 2:14

6. 

   שלום אדם,

   אני מנסה להגדיר חתימת CAC כרטיס עבור InfoPath 2003 צורות על סביבה SIPR SPS 3.0 (אשר בשלב זה איננו לחתום על עם CAC).

   כל עזרה תהיה להערכה או נקודה בכיוון הנכון. אני לא צפן ... עדיין ... אבל אני מהיר תפיסה.

   אני Multi-Media Illustrator ידי MOS, אלא InfoManagement / הבחור אוטומציה בפועל.

   תגובה על ידי SFMOSS - 10 מרס 2008 @ 2:56

7. 

   אדם,

   תודה עבור רשומה זו. זה כתובות רבות של בעיות אני בפנים. אני כרגע יישום פורטל SP עבור לקוח ACC, חיל האוויר, עם יחידות מופרדים מבחינה גיאוגרפית ברחבי הארץ וגם פקודות שונות. המידע לספירה אינו משותף בין פקודות, ולכן נאלצתי להשתמש FBA. השאלה שלי היא כזאת: האם יש בכלל לקבוע זהות כרטיס וע"א? איך אני מפה זהות לתפקיד ב FBA ספק התפקיד שלי? לחסל את שם המשתמש / סיסמה התהליך יהיה HUGE פלוס ללקוח, אבל אני לא בטוח שזה אפשרי. אם זה לא, אז אין טעם של ממש בהתמודדות עם כרטיס CAC בכלל.
   אני מאוד מעריכים את עזרתך הצבעה אותי בכיוון הנכון.

   תגובה על ידי VegasGuy - 26 במרץ, 2008 @ 9:29

8. 

   יש לנו מצבים שבהם למשתמש יש שני CAC שונים של אותו עם UPN. CAC אחד יש הצי ריזרב CAC השני הוא CAC האזרחית שלהם. UPN לספירה הוא חייב להיות ייחודי כך האדם הזה יכול להיות רק חשבון אחד אבל צריך שניים. הוא הפתרון שלהם יש עוד מישהו לרוץ למצב הזה?

   תגובה מאת Brian - 28 אוגוסט 2008 @ 10:11

9. 

   אדם,
   פוסט נהדר! יש לי דרישה לחתימה CAC כרטיס עבור SharePoint Server 2007 (MOSS). עזרה כלשהי עם השב"כ או גישה FBA בפירוט.
   תודה מראש

   תגובה על ידי לינדי - 30 דצמבר 2008 @ 2:13

10. 

    אני צריך להגדיר אימות CAC באמצעות מערך של ISA 2006 שלנו "שלנו MySite 'ואת הפורטל רגילים, אבל אני נתקל בבעיות המאפשרת אימות CAC לאתר שלנו אנונימיים. אני מקבל את זה לעבודה פנימית עם רבים ל-אימות מודל אחד, זה פשוט שיש משתמש חיצוני פגע השב"כ 2006 מערך שלנו שגורם לי בעיות. כל תובנה יהיה להערכה רבה!

    תגובה על ידי נוני הרננדז - 13 בינואר, 2009 @ 1:49

11. 

    היי אדם,

    פוסט נהדר! זה תמיד בחלק העליון של תוצאות החיפוש של Google עבור CAC / כרטיסים חכמים ו-SharePoint.

    יש לך עדכונים לגבי מודול HTTP או את האפשרות של שימוש ספקית חברות?

    תגובה מאת יואל - 28 בינואר, 2009 @ 6:34

12. 

    העברת מצויין. מתאר בדיוק מה שאני צריכה לעשות עבור חיל האוויר יישום שטח פיקוד SP. עשית המעקב פירסום.

    תגובה על ידי JDK - 4 פבואר 2009 @ 1:44

13. 

    פוסט מצויין. עשית המעקב הודעות?

    תגובה מאת VR - 27 בפברואר, 2009 @ 9:29

14. 

    המעקב יהיה לכתוב על זה נעשה זמן קצר! לקח זמן להגיע יחד, אבל זה יהיה שווה לחכות.

    תגובה על ידי אדם Buenz - 2 מרס 2009 @ 8:45

15. 

    אני מנסה ליישם אימות עם אישור של CAC ב-SharePoint. יש לי לשים httpModule אישית בצנרת עבור הפורטל SharePoint שלי, אבל אם אני כל כך הרבה כמו לנסות לקרוא את context.Request.clientCertificate.isPresent () ערך, הפורטל קריסות כל כך קשה כי יש לי לשחזר מגיבוי. אותו קוד עובד כאשר אני שם אותו צינור של non-SharePoint, אתר HTML. מישהו ראה משהו דומה? האם מישהו קיבל את זה לעבוד?

    תגובה על ידי טים - 13 מרס 2009 @ 11:42

16. 

    יש לי סוף סוף להבין הפתרון לבעיה שלי של פרסום אנונימי באתר SharePoint בעת הדורשות CAC תקף לבקר. אם מישהו נתקל בבעיה זו אל תהסס לפנות אלי כדי שאוכל לעזור!

    תגובה על ידי נוני הרננדז - 27 מרס 2009 @ 7:26

17. 

    היי נוני,

    אני מנסה ליישם אתר SharePoint אנונימי עם כרטיס CAC תקף. אתה יכול דוא"ל לי איך עשית את זה?

    תודה

    תגובה על ידי Venkat - 28 מרס 2009 @ 9:11

18. 

    אני שידול נוני עכשיו אולי כדי לעשות פירסום אורח בנושא. נקווה שהיא תסכים!

    תגובה על ידי אדם Buenz - 28 מרס 2009 @ 11:55

19. 

    אני בתהליך של כתיבת מדריך תצורה כי יציל ימים / שבועות / חודשים של זיעה, דמעות סיוטים!

    בנימה אחרת אני בחור, אחד ממש גברית את זה!

    תגובה על ידי נוני הרננדז - 1 באפריל, 2009 @ 8:15

20. 

    נוני,

    תודה רבה. מחכה לך מדריך תצורה.

    תגובה על ידי Venkat - 2 אפריל 2009 @ 10:54

21. 

    נוני,

    תגובה על ידי Venkat - 7 אפריל 2009 @ 11:01

22. 

    נוני,

    תגובה על ידי Venkat - 7 אפריל 2009 @ 11:01

23. 

    נוני,

    אתה יכול אנא שלח לי פעם שתסיים עם המדריך? הנה forumsub@att.net הדוא"ל שלי.

    תודה

    תגובה על ידי ג 'ון - 7 אפריל 2009 @ 11:02

24. 

    נוני, לא תסיים המדריך שלכם?

    תגובה על ידי Dvar - 20 באפריל, 2009 @ 2:16

25. 

    מצטער שזה לוקח כל כך הרבה זמן ... אני שבר לי את היד נקע אצבע כך הדברים כבר נע באיטיות. הייתי צריך לעשות את זה בקרוב מאוד, אנו מתנצלים על העיכוב!

    לחיים,

    נוני

    תגובה על ידי נוני הרננדז - 20 באפריל, 2009 @ 11:50

26. 

    נוני,

    קיבלת את המדריך שלכם בהגדרת CAC עדיין. אנא בדוא"ל ב kamie.dameron @ af.edu כאשר אתה עושה. תודה

    תגובה על ידי Kamie Dameron - 20 באפריל, 2009 @ 4:37

27. 

    מדריך זה סוף סוף שלם בעמוד הראשי של אדם! מקווה שזה עוזר לכולם!

    תגובה על ידי נוני הרננדז - 28 אפריל 2009 @ 6:28

28. 

    נוני,

    ראיתי את המאמר שכתבת שכותרתו CAC Enabled אנונימי אתרי SharePoint, אולם הוא כי מעקב במאמר זה, כפי שהוא לא הזכיר את מודול HTTP בכלל. אם אתה לא יכול הצבע לי המאמר.

    תגובה על ידי ג 'רמי וייס - 7 במאי, 2009 @ 2:14

29. 

    השתמשתי CAC כרטיסי ידי פשוט geting את שם המשתמש מ בניתוח CERT_SUBJECT שרת משתנה ואז משווה את זה שם כדי שמות במאגר נתונים של יישום אינטרנט שלי. עד כה, זה עובד). לא היה לי שתי משתמשים עם אותו שם. אבל כאשר מקבל תעודת chaged או misnamed, CERT_SUBJECT עולה ריק.

    תגובה על ידי ג 'יי יוז - 11 מאי 2009 @ 10:29

30. 

    אני צריך ליישם את אימות כרטיס חכם למשתמשים המודעה auth הסיסמה עבור משתמשים חיצוניים על יישום האינטרנט אותו ... מישהו יכול לתת לי פיסת לייעץ איך לעשות את זה?
    אני יודע איך לעשות את זה עם Apps אינטרנט שונים, אבל לא עם אחד

    תגובה על ידי Dvar - 11 מאי 2009 @ 11:10

31. 

    האם מישהו ניסה את זה עם חיצוני Certificate Authority עבור משתמשים שאינם DoD? אנחנו נמצאים בתהליך של מבט לתוך זה רצה קצת רמת הקושי אנחנו הולכים להתמודד עם.

    כריס

    תגובה על ידי כריס תומס - מאי 18, 2009 @ 7:56

32. 

    אני יודע את החוט המקורי הוא קצת מתוארך. אבל DoD יש לחלק סטנדרטי ביותר על השב"כ עבור CAC, במקור במיוחד עבור OWA ו עכשיו עבור SharePoint / MOSS. הוא אפילו סטיג DISA (טכנית אבטחה מדריכים יישום) עבור זה. ראה כאן: http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc וכאן http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc. Curretnly של מיקרוסופט, Intelligent Application Gateway (IAG) וזה גירסה עתידית מאוחדת Application Gateway (UAG) נמצאים הסתכל לכתובת זו כפי wel לצרכים אחרים כמו גישה מרחוק. שוב אין פתרון קוד. קאסטר DoD יש גישה ההתקנה / לבנות docs מ DISA.

    יש עוד כמה ניירות האחרונות על הנושא של KCD לראות כאן:

    המשלחת Kerberos מוגבל ב-ISA Server 2006
    http://technet.microsoft.com/en-us/library/bb794858.aspx

    וע"א עבור ההתקנה OWA / documention בנה היה מפותח שנכתב על ידי המחברים של מאמר זה, (באותה גישה יש למנף היה לשימוש עם SharePoint / MOSS ועוד)

    התחבר אל Outlook Web Access, עם כרטיסים חכמים
    http://technet.microsoft.com/en-us/magazine/2007.07.smartcards.aspx

    Configuring Kerberos מוגבל המשלחת עם SP2 IAG
    http://technet.microsoft.com/en-us/library/dd278107.aspx

    קביעת תצורה של אימות Kerberos (Office SharePoint Server)
    http://technet.microsoft.com/en-us/library/cc263449.aspx

    המשתמש לא יכול לגשת לאתר אינטרנט זה שפורסם ב-ISA Server 2006 באמצעות Kerberos מוגבל משלחת אם המשתמש הוא לא באותו תחום כמו המחשב של ISA Server
    http://support.microsoft.com/kb/942637/en-us

    KCD עם חוצה יער חשבונות
    http://technet.microsoft.com/en-us/library/cc752953.aspx

    אותו סוג של רעיון אבל עבור ביצועים פוינט במקרה זה.
    הדגמת וידאו: משלחת Configuring Kerberos עבור ניטור שרת
    http://technet.microsoft.com/en-us/library/dd630733.aspx

    כיצד להגדיר את תעודת OWA עבור אימות המבוסס על - חלק א
    http://msexchangeteam.com/archive/2008/10/07/449942.aspx

    תגובה על ידי SecurityPresentations - 17 יוני 2009 @ 7:15

33. 

    אתה פורסמה
    מדריך זה סוף סוף שלם בעמוד הראשי של אדם! מקווה שזה עוזר לכולם!

    תגובה על ידי נוני הרננדז - 28 אפריל 2009 @ 6:28

    האם אתה יכול לספק את כתובת האתר לדף הראשי של אדם, בבקשה.

    תגובה על ידי רובין - 15 ספטמבר 2009 @ 1:13

34. 

    אתה יכול בבקשה לספק את כתובת המדריך?

    תגובה על ידי GReddy - 6 בנובמבר, 2009 @ 10:04

35. 

    http://www.sharepointsecurity.com/sharepoint/cac-enabled-anonymous-sharepoint-sites/

    תגובה על ידי אדם - 6 בנובמבר, 2009 @ 10:52

RSS Feed להערות על זה לכתוב. TrackBack-URL

השאירו תגובה