CAC Włączone Anonimowy witryn programu SharePoint
Autor: Noni Hernandez
Enterprise Architect
Jeśli pracowałeś / pracowali lub zamierzają pracować w środowisku DoD, bezpieczeństwa będzie tematem, który nawiedza swoich marzeń. Nie, że bezpieczeństwo nie jest powszechne w sektorze prywatnym, ale ze względu na charakter naszego bezpieczeństwa pracy jest priorytetem, jeśli nie priorytet numer jeden. Mając na uwadze powyższe, pracuję z PKI DoD dla ostatnich kilku lat, więc jestem w pełni świadomy zakresu i skutków zapewnienie bezpiecznego środowiska informatycznego. Ostatnio miała za zadanie sprowadzenie wszystkich naszych serwerach publicznie dostępnych Secure. Wiązało się to z wdrożeniem obciążenia zrównoważone ISA 2006 tablicy i ochrony wszystkich naszych usług dostępnych przez internet lub NIPRNET handlowych. Jednym z moich projektów było zapewnienie naszym gospodarstwie SharePoint tylko umożliwiające dostęp za pośrednictwem naszej tablicy ISA. Normalnie byłoby to zadanie wypełniać w jednym snu, w zależności od modelu uwierzytelniania użytkowane. Jednakże, jako element DoD przynosi w sprawie szczegółowych wymagań, jakie muszą być spełnione w celu zapewnienia ochrony naszych danych. Wpisz CAC, lub Common Access Card i wykorzystania DoD PKI do wykonania bardziej bezpieczne środowisko.
W oczywisty sposób ISA 2006 ma duże poparcie dla certyfikatu klienta modelu uwierzytelniania, ale istnieją pewne ograniczenia. Główne z nich to ISA tylko pozwalają na takie połączenie, badając domeny w celu uwierzytelnienia aktywnym członkiem domeny. Jest idealnie czysty, oprócz pojęcia o publicznie dostępne strony z ograniczoną ilość informacji, na wzór anonimowego dostępu. To tam rzeczy zaczynają się trudne. Jak już wspomniano wcześniej, jeden warunek wydawanych przez DoD jest zabezpieczenie wszystkich publicznie dostępnych serwerów przez uwierzytelnienie CAC. Oznacza to zapewnienie dostępu do strony publicznej do nikogo z ważnych CAC. Jeśli jesteś anonimowy publikowania witryny i dających bezpośredni dostęp do swojego gospodarstwa, a następnie wdrażanie tej sytuacji jest dość prosty, ale opuszczają serwera narażone na możliwość nieautoryzowanego dostępu tylko poprzez bezpośredni dostęp. Więc naturalnie będziemy musieli opublikować tej witryny przez nasze tablicy ISA w celu zapewnienia, że warstwę zabezpieczeń. To tam po raz pierwszy natknął się na problemy. W przypadku konfigurowania reguły dostępu ISA następnie umożliwia uwierzytelnianie certyfikatów klienta wymaga od użytkownika jest aktywnym członkiem domeny z CAC zarejestrowany na tym koncie. Jeśli zdecydujesz się pozostawić wniosek o certyfikat na serwer i ustawić żądanie uwierzytelnienia na słuchacza "Brak autoryzacji ', a delegacja uwierzytelniania" Brak upoważnienia, ale klient może uwierzytelniania bezpośrednio ", najprawdopodobniej otrzyma 408/Request timed out błąd podczas próby dostępu do strony. Tkwiłem w sprawie tego komunikatu o błędzie w tydzień po próbie liczne kombinacje, aby tę pracę.
Po wielu nieprzespanych nocy (a nawet gorzej, koszmary nocne!) Stara się stworzyć rozwiązanie tego problemu, ale w końcu natrafiłem na rozwiązanie tylko po zwróciła się do zapewnienia innym serwerze za naszą tablicę. Więc tutaj jest metoda i opracowany, aby umożliwić użytkownikom dostęp do naszych anonimowych witryny SharePoint, z jedynym zastrzeżeniem, są one ważne CAC.
Krok 1.
Na tablicę ISA, zamiast tworzenia SharePoing reguły publikowania strony lub witryny sieci Web Publishing Rule, wybierz "Non-Web Server Publishing Protocol Rule". Give it takiej nazwy, dzięki czemu administratorzy będą mogli łatwo zidentyfikować, co reguły wykonuje wybrałem 'HQ Anonimowy SharePoint Site [CAC Włączone]. Po kliknięciu przycisku Dalej wpisz IP albo pojedynczy serwer lub obciążenia zrównoważone IP wykorzystywane w celu osiągnięcia miejscu. Po kliknięciu przycisku Dalej, musisz kliknąć, aby utworzyć nową zmodyfikowaną wersją HTTPS / protokół SSL, nazwałem go 'HTTPS [HQ Anon], aby ponownie odzwierciedlają jego użytkowania. Po kliknięciu na następny trzeba najpierw utworzyć przychodzących za pomocą protokołu TCP Port Range 443 do 443. Jest to po prostu rozbiórki ustanawiająca metody stosowane przez ISA, tj. kompresji, maskowania, aby umożliwić połączenie SSL, ale nadal generuje proxy połączenia z naszą wewnętrzną witrynę w celu ochrony danych. Po kliknięciu OK, będziesz musiał zrobić to samo i tworzyć i wychodzące połączenia z tymi samymi parametrami, co pozwoli na żądanie certyfikatu klienta, które mają być przekazywane z powrotem do użytkownika końcowego, do udanej uścisk dłoni. Po kliknięciu OK, a następnie przycisk Zakończ powinieneś zobaczyć swój nowy protokół w "listy rozwijanej wybrany protokół". Kliknij przycisk Dalej i wybierz sieć, która będzie słuchać tych wniosków, najprawdopodobniej "zewnętrzne", a następnie kliknij przycisk Address. Ponieważ używam obciążenia zrównoważone tablicy Mam już gotowy VIP zostać wykorzystane do opublikowanego miejscu, więc mogę wybrać "określono .. adresu IP" a następnie wybierz IP będę używał do opublikowania tej witryny, a następnie kliknij przycisk Dodaj, aby zasada ta obowiązuje tylko odpowiadanie na zapytania przesyłane do tego konkretnego IP. Po wybraniu IP i kliknij OK, kliknij przycisk Zakończ, aby zakończyć tworzenie reguły.
Krok 2.
Po utworzeniu reguły, kliknij dwukrotnie nową regułę, aby wyświetlić właściwości. Kliknij na "Aby kartę i zmień" Wniosek o opublikowany serwer "ustawienie" Wnioski wydają się pochodzić z komputera serwera ISA. Po sprawdzeniu, wszystkie ustawienia są poprawne, z etapów 1 i 2, a następnie kliknij przycisk "Zastosuj" i "OK". To powinno zawierać część konfiguracji ISA!
Krok 3.
Na farmie SharePoint, musisz otworzyć ustawienia IIS, a następnie przejdź do strony anonimowe i wyświetlić jego właściwości. Po właściwości otwarty, przejdź na stronę Zabezpieczenia katalogów, a następnie kliknij przycisk Edytuj w sekcji Bezpieczna komunikacja. Tutaj musisz wybrać opcję "Wymagaj bezpiecznego kanału", "Wymagaj certyfikatów klienta, a następnie" Włącz listy zaufania certyfikatów. Kliknij przycisk Nowy, aby utworzyć nową listę zaufania, kliknij przycisk Dalej, a następnie kliknij przycisk "Dodaj z pliku". Musisz wybrać DoD Root CA 2 i muszę również ustawić DoD klasy 3 Root CA skąd masz te certyfikaty przechowywane. Kliknij przycisk Dalej, a następnie nadaj jej nazwę, tj. DOD CTL, kliknij przycisk Dalej, a następnie Zakończ. Po kliknięciu OK całą drogę do strony Bezpieczeństwa Katalog anonimowy właściwości strony, gotowe!
Więc jak widzisz, tak naprawdę nie jest skomplikowany proces. Ale patrząc, wszyscy wiemy, że mamy tendencję do nadmiernego myślenia i ponad komplikować do inżyniera rozwiązań. Jestem więcej niż za winnego tego, straciłem tydzień snu to udowodnić! Przewodnik ten konfiguracja jest ustawiona na udawanie, że masz pewne wstępne przedmiotów skonfigurowany i czy osiągnięto ślepy zaułek w tym samym punkcie I did. Jeśli nie jest tracić włosy z powodu tego, i właśnie zaczął się zejście do szaleństwa, to musisz wiedzieć, że istnieją pewne kroki, które powinny zostać zakończone przed osiągnięciem tego etapu.
-------
Dziękuję noni za zgodę, aby napisać ten post! Myślę, że wszyscy zgadzają się to cenny wkład w DoD - społeczność SharePoint!
Artykuł lub badań Filed Under SharePoint | SharePoint Architektura.
4 Komentarze »
RSS dla komentarzy do tego wpisu. TrackBack URL
[...] Około BlogosphereCAC Włączone Anonimowy witryn programu SharePoint (SharePoint Shelter) Jeśli pracowałeś / pracowali lub zamierzają pracować w środowisku DoD, bezpieczeństwa będzie tematem, który nawiedza swoich marzeń. Nie, że bezpieczeństwo nie jest powszechne w sektorze prywatnym, ale ze względu na charakter naszego bezpieczeństwa pracy jest priorytetem, jeśli nie priorytet numer jeden. Mając na uwadze powyższe, pracuję z PKI DoD dla ostatnich kilku lat, więc jestem w pełni świadomy zakresu i skutków zapewnienie bezpiecznego środowiska informatycznego. Ostatnio miała za zadanie sprowadzenie wszystkich naszych serwerach publicznie dostępnych Secure. [...]
Pingback Windows 7 teraz z XP Mode, Office 2010 Screenshots, EDS do Sprzedają aplikacji Microsoft Hosted - SharePoint codzienna - Bamboo Nation - 28 kwietnia 2009 @ 6:19 am
Hi Noni,
Byłem walczących o prawie 2 tygodni do mojej witrynie programu SharePoint z karty CAC. Nie mamy ISA 2006 otoczenia. I konieczność wdrożenia uwierzytelniania CAC bezpośrednio do serwera sieci Web. poniżej scenariuszy.
Stworzyłem MOSS2007 witryny na serwerze Windows 2008 z uwierzytelniania systemu Windows (AD). Muszę dokonać tej stronie z uwierzytelnianiem CAC. AD posiada wszystkie certyfikaty klienta mapowane do kont użytkowników.
KROK 1:
Po zainstalowaniu klienta Mapowanie uwierzytelniania Certificate in IIS7.0 i aktywna na serwerze.
Włączyłem Mapowanie certyfikatów klientów i ustawić SSL propety do SslNegotiateCert w IIS7.0.
Próby uzyskania dostępu do witryny z przeglądarki klienta z moim CAC i skłania do wyboru certyfikatu cyfrowego (bez zaświadczeń w nim). Po kliknięciu na OK, potem każe mi uwierzytelniania systemu Windows polecenia.
KROK 2:
I po swoim kroku 3 powyżej i miejscu rozpoczęła dając 403 błędów.
Jestem rozpaczliwie poszukuje rozwiązania.
Czy może Pan pomóc mi na to rozwiązanie?
Dzięki,
Reddy
Komentarz przez Reddy - 13 listopad 2009 @ 9:21 am
Great artykułu, dobrze zorganizowana i pisemne! Pracowałem z portalu SharePoint w przeszłości mieliśmy plany na przyszłość; CAC enbabling witryna została wychowana. Sytuacja Reddy's byłoby podobne do mnie. Czy są jakieś odpowiedzi na pytania Reddy's? Nie jestem już na tym portalu SP i to tylko dla mojej wiedzy na temat, jak to już pracował. Jeszcze raz dziękujemy za które warto przeczytać
Komentarz przez Bruce - 7 grudnia 2009 @ 12:12
prosimy o komentarze na temat tego artykułu z CAC / doświadczeń SharePoint.
Dziękuję ... Adam.
Komentarz Adama - 26 stycznia 2010 @ 1:10 pm