SharePoint和智能卡(飞卡)
你的智能卡与SharePoint工作?
我有,因为在大多数军事/联邦环境,你会发现,用户一般可透过一飞(普通访问卡)使用您的SharePoint实例卡。 这是任何其他智能卡相同的一点点饮誉一般与它后面,没有什么真正的幻想大大一些其他信息。 下面是一个从军队采取了飞卡的例子。军医大学网址:
该方法与一飞卡和智能卡的目的是大同小异。 它们被用来使用户可以验证所有的客户端证书是存在的对象。 但联邦领域内,成飞卡通常是强制性的。
但与SharePoint,智能卡种是讨厌。 也有一些在SharePoint设置您的环境方面的注意事项保持飞遵守一些可以处理使用固有的IIS设置,其他人,那么,需要定制开发。
对于许多人来说,安全的智能卡架构到他们的SharePoint环境的实施可以是一个相对容易的。 如果您知道您的所有用户都Active Directory帐户,那么你就准备好为在IIS中做一些配置,将得到您的方式有最。 认为可以这样做的方法是所谓的客户端证书映射通过一个概念。 客户端证书映射基本查询客户端证书的智能卡关闭,并映射到一个预先存在的Windows帐户。 从本质上讲,这不是比配置不同,你就拥有了在使用集成Windows身份验证,因为你将仍然具有有效的Windows标识把比较运算符反对。 如果这是您的情况,问题,你会遇到一定的内在到IIS。 你最大的变化是在IIS元数据库,因为你将操纵数据库属性的编排SSL客户端连接的谈判。 的含义,你会告诉SharePoint的始终谈判证书,这将有助于解决客户证书重新谈判僵局。 这是通过设置SSLAlwaysNegoClientCert元数据库属性设置为true。
虽然这种工作,这不是我的大环境,理想的情况。 我有很多的用户,虽然已飞/智能卡卡不会在Active Directory树存在,我可以计划的反对。 这给我一个大问题,因为我的映射将失败,因为比较运算后,将不断拉匹配返回false值。 我也真的不能想像,执行任何类型的管理将在这种情形下有益的,因为我必须知道用户的密码,需要有一个典型的军事单位,可以庞大。 本着同样的精神,我会实际安装我的1对1的映射方案。 我不想承担这一任务的份额以任何方式或形式。 如果我去的路,我会坚持的管理方案,这为更好的词起见,将变得难以管理。
幸运的是,通过ASP.NET使用它可以在ASP.NET注入请求流的东西。 这是一件好事。 几个身份验证中所提供的SharePoint领域,它们作为HTTP模块实现的方法。 例如,如果您使用的是您的SharePoint实例FBA它要使用HTTP模块以及。
如何HTTP模块工作非常简单。 首先,在SharePoint Web请求将提交到IIS。 该网页的请求将被映射到ASP.NET,这将通过解析ASP.NET 2.0的发动机,在本质上是一个Web请求手离页面。 这就是HTTP模块生效。 一旦Web请求传递给ASP.NET将有1到HTTP模块,在服务器上存在的配置文件,以确定查询如有可能,应拦截和操作要求。 虽然只有某些模块可生效,所有的HTTP模块可被加载。
如果你想看到这次行动,可以显示HTTP模块目前正在从SharePoint网站,通过一些小的实例在Web部件使用OnLoad事件的Context.ApplicationInstance.Modules收集代码。
在本系列的下一个职位,我会谈谈如何解决通过自定义HTTP模块的建设这个问题,我们如何能够通过数据库存储管理我们的客户证书,而不是依赖于Windows帐户。 下面,我们将看到我们如何能够利用这个概念的进一步实现自定义的角色提供,将到HTTP模块插件,以提供一个机制,将用户重定向人不同意的一个角色,一个默认的匿名网站,以及为落实强命名为SharePoint环境的作用。
文章或研究文章属于SharePoint安全 。
这也可以通过使用ISA完成2006年食品法典委员会,以验证美国国防部,然后或者通过一个匿名请求到SharePoint农场或映射到AD的帐户,然后通过Kerberos票证到SharePoint农场使用Kerberos约束委派。 这是一个非常漂亮的零代码解决方案。
评论由乔恩- 2007年6月1日@ 下午1时50
这就是我在一些情况下使用,这在另外一些方法。 有一个与ISA沉没成本无论从硬件,实施和管理的角度,以利用美国国防部有点距离戒掉它作为解决方案的某些部分。
我并没有100%我所描述这里通过ISA(即映射的非广告用户从飞/智能卡审讯资料),但我会研究一下给它一试。
我不喜欢用一般的方式来描述它,但因为速度的考虑,并与TGT的的建设为其他应用提供更加统一的环境标志工作的Kerberos。
评论由亚当Buenz - 2007年6月9日@ 下午12时48分
您好我也是工作的一个军事地点,我想在我的要求SharePoint网站中艺验证,我有很多问题。 最接近我们得到了用户的要求进行身份验证与艺卡两次。 以任何机会,你这个文件,设置您的程序?
评论由劳伦阿德勒- 2007年7月12日@ 上午08点24分
我真的有一个循序渐进的过程,是因为那里的建筑环境之间的差异是如此巨大的一步。
你到底是怎么做您的身份验证? 您刚才检查IIS设置接受客户证书?
评论由亚当Buenz - 07年7月12号@ 上午08时54分
亚当
大后,我热切期待在系列中的“下一步”。 一个任务类似于你说的是一个给我的,本质上,我介绍到SharePoint,嘉年华活动目录...你能想到的,我没有与它的工作呢! (所以我很抱歉,如果我被滥用的术语或以其他方式背叛无能。)
基本上,用户需要能够通过他们的登录用户名/密码或通过飞(从异地或者废弃的林年),使用用户名/密码,异地飞清盘相同的用户。
我有把握实现的HTTP模块和如何使非广告用户的工作,但我很想搞清楚如何关联验证飞至公元入境停留。 我知道你的所有不同种类的忙,但我会大大的任何意见,您可以提供债。 谢谢!
布赖恩
评论由布莱恩- 2007年8月22日@ 下午2时14
您好亚当
我试图建立InfoPath中飞卡上SIPR签署3.0环境的卫生和植物检疫2003年形式(我们目前不签署一飞的)。
任何帮助,将不胜感激,或者是朝正确方向。 我不是一个编码器...但...但我学得很快。
我对马鞍山一个多媒体插图,但InfoManagement /在实践中自动化的家伙。
评论由SFMOSS - 2008年3月10日@ 上午02点56分
亚当
感谢你为这个职位。 它解决了我面临的问题很多。 我目前正在执行一个美国空军警司协调会客户端门户,与全国各地的地理上分开的单位和不同的命令。 该广告信息不共享之间的命令,所以我不得不使用FBA。 我的问题是:是否有无论如何,确定从法国CAC卡的身份? 我应如何映射的身份在我FBA角色提供者的作用? 消除了用户名/密码的过程将是一个巨大加给客户端,但是我不相信这是可能的。 如果没有,那么就没有任何与各飞卡处理的真实点。
我衷心感谢地指出正确的方向我你的帮助。
评论由VegasGuy - 2008年3月26日@ 下午9时29分
我们有一个用户的情况下有两种不同的成飞公司相同的UPN。 有一个CAC是美国海军后备飞,另一个是其平民飞。 UPN的是广告已经是唯一的,使这个人只能有一个帐户,但需要两个。 是他们的一个解决方案,并且其他人到这种情况下运行?
评论由布莱恩- 2008年8月28日@ 上午十时11分
亚当
大邮政! 我有一个飞卡签署SharePoint服务器2007(MOSS)的的要求。 任何详细的帮助与ISA方法或FBA。
感谢事先
评论由林迪- 08年12月30日@ 下午2时13分
我已成立2006年通过我们的ISA阵列飞验证我们的'mysite的'和普通门户网站,但我有问题,使飞匿名身份验证,我们的网站。 我已经得到它的工作很多一对一的身份验证模式,它只是有一个外部用户2006年达到我们的ISA数组,它是我的问题导致内部。 任何有识之士将不胜感激!
评论由诺丽埃尔南德斯- 2009年1月13日@ 下午1时49分
嘿亚当
大后! 它总是在为中亚合作谷歌结果上方/智能卡和SharePoint。
任何更新了关于HTTP模块或使用会员提供的可能性呢?
评论由乔尔 - 2009年1月28日@ 下午6时34
良好的职位。 描述正是我需要做的一个美国空军航天司令部警司的执行情况。 你做了后续职位。
评论由JDK的- 2009年2月4日@ 下午1时44分
优秀邮政。 你做了后续的职位?
评论由虚拟现实- 2009年2月27日@ 下午9点29分
在后续员额在短期内,这将成为! 它采取了一会儿走到一起,但等待是值得的。
评论由亚当Buenz - 2009年3月2日@ 上午08时45分
我试图实现认证与授权与成飞公司在SharePoint。 我已提出了对我的SharePoint门户管道自定义HTTP模块,但如果我那么多的尝试读取context.Request.clientCertificate.isPresent()值,门户网站崩溃,使艰苦,我必须从备份恢复。 同样的代码工作,当我把在非管道是,SharePoint的html网站。 有没有人见过类似的东西? 已经获得了这种人的工作?
评论由蒂姆- 2009年3月13日@ 上午11时42分
我终于想通了,给我一个匿名出版SharePoint网站的问题解决方案,同时需要一个有效的飞访问。 如果有人有这个问题,请随时与我联系,我或许可以帮忙!
评论由诺丽埃尔南德斯- 2009年3月27日@ 上午07时26分
您好诺丽,
我试图执行一个匿名的有效飞卡SharePoint网站。 你可以给我发电子邮件你怎么做呢?
谢谢
评论由Venkat - 2009年3月28日@ 上午9时11分
诺丽征求我现在可能就这个问题做客人岗位。 希望她能够同意!
评论由亚当Buenz - 2009年3月28日@ 上午11点55分
我在写作的配置指南,可节省天/周进程/的汗水,泪水和恶梦个月!
在另一方面说明我是一个花花公子,在不少男性之一!
评论由诺丽埃尔南德斯- 09年4月1日@ 上午08时15分
诺丽,
非常感谢。 等着你配置指南。
评论由Venkat - 2009年4月2日@ 上午10时54分
诺丽,
评论由Venkat - 2009年4月7日@ 上午11时01分
诺丽,
评论由Venkat - 2009年4月7日@ 上午11时01分
诺丽,
能否请您给我发电子邮件,一旦你与指导呢? 这里是我的电子邮件forumsub@att.net。
谢谢
评论由约翰- 2009年4月7日@ 上午11点02分
诺丽,你完成你的指导?
评论由女工- 09年4月20日@ 上午02时16
对不起这是这么长时间...我和我的手腕骨折,手指脱臼,所以一切都进展缓慢。 我应该很快完成任务,延误抱歉!
干杯,
诺丽
评论由诺丽埃尔南德斯- 09年4月20号@ 上午11时50分
诺丽,
但您得到您的指导,配置成飞还。 请电邮至kamie.dameron @ af.edu当你。 谢谢
评论由上江达默龙- 09年4月20号@ 下午4点37分
该指南是最后完成,而且对亚当的主页! 希望这有助于大家!
评论由诺丽埃尔南德斯- 2009年4月28日@ 上午06点28分
诺丽,
我看到你写了一篇题为飞启用匿名SharePoint网站的文章,但是,后续这篇文章,因为它没有提到HTTP模块的。 如果没有你点我的文章。
评论由杰里韦斯- 2009年5月7日@ 下午2点14
我一直在使用,只需歌厅从解析服务器变量CERT_SUBJECT的用户名,然后比较飞卡的名称,名称在我的Web应用程序的数据库。 到目前为止,工程)。 我还没有两个具有相同名称的用户。 但是,当证书获得chaged或名不副实,CERT_SUBJECT来空白。
评论由J. 休斯 - 2009年5月11日@ 上午10时29分
我需要执行同一网站上的外部用户的应用智能卡身份验证AD用户和密码权威性...任何人都可以给我的建议如何做一块?
我知道怎么做,不同的网络应用程序,但与一
评论由女工- 2009年5月11号@ 上午十一时10分
有没有人试图用一个外部证书颁发机构对于非美国国防部的用户呢? 我们正在研究此事的进程,并希望得到一些困难,我们将要处理的水平。
克里斯
评论由克里斯托马斯- 2009年5月18号@ 上午07时56分
我知道,原来的线程有点过时了。 但美国国防部大部分在ISA标准化飞,原来专为OWA和现在用于SharePoint /苔藓。 该甚至一迪砂佩尔斯(安全技术实施指南)此。 在这里看到:http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc和这里http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc。 Curretnly微软的智能应用程序网关(IAG)和它的未来版本的统一应用网关(UAG)是目前正在为解决这一作为韦尔河其他的远程接入需求研究。 又是没有代码的解决办法。 国防部卡斯特获得安装/构建迪砂文档。
有几个对戴话题最近的论文在这里看到:
Kerberos约束代表团在ISA Server 2006
http://technet.microsoft.com/en-us/library/bb794858.aspx
OWA的设置飞/生成机制的文档,是由对这篇文章的作者写的(同样的方法已被利用与SharePoint使用/最低业务等)
到Outlook Web Access登录和智能卡
http://technet.microsoft.com/en-us/magazine/2007.07.smartcards.aspx
配置约束与IAG SP2的代表团的Kerberos
http://technet.microsoft.com/en-us/library/dd278107.aspx
配置Kerberos身份验证(Office SharePoint服务器)
http://technet.microsoft.com/en-us/library/cc263449.aspx
用户不能访问Web站点在ISA Server 2006发布使用Kerberos约束委派如果用户不与ISA Server计算机相同的域
http://support.microsoft.com/kb/942637/en-us
戴与跨林帐户
http://technet.microsoft.com/en-us/library/cc752953.aspx
同种的想法,但绩效点在这种情况下。
视频演示:配置Kerberos委派监测服务器
http://technet.microsoft.com/en-us/library/dd630733.aspx
如何配置基于OWA的证书认证 - 第一部分
http://msexchangeteam.com/archive/2008/10/07/449942.aspx
评论由SecurityPresentations - 6月17日@ 下午7时15分
您张贴
该指南是最后完成,而且对亚当的主页! 希望这有助于大家!
评论由诺丽埃尔南德斯 - 2009年4月28日@上午06点28分
你能提供的网址,亚当的主页,请。
评论由罗宾- 2009年9月15日@ 下午1时13
能否请您提供了指导,网址是什么?
评论由GReddy - 2009年11月6日@ 上午10点04分
http://www.sharepointsecurity.com/sharepoint/cac-enabled-anonymous-sharepoint-sites/
评论由亚当- 2009年11月6日@ 上午10点52
喂。
我的情况非常相似 - 高达飞获得通过ISA 2006 SP1的瓦特设置/戴到2007年我们的共享点服务器场,使用ISA的负载平衡的SharePoint服务器。
我已经没有问题了OWA的设置,但共享点现在让我有以下错误:
摘要:
Web浏览器发送的WWW - Authenticate头提出的Web服务器未配置为接受:
HTTP错误401.2 - 未经授权:访问被拒绝,由于服务器配置。
Internet信息服务(IIS)。
ISA和Sharepoint服务器存在于同一个域,所有用户在公元存在,似乎所有的基本正确。 不知道的SharePoint家伙Kerberos的配置完全没有(这是在我们的测试网络的时候)。
我已经设在域服务帐户的SPN为SharePoint应用程序池标识使用,并且能够从ISA服务帐户代表团。
我肯定会明白的电子邮件,这样我也许可以跟你说话,或者在一些文档的链接。 这似乎是稀疏,使用飞瓦特/智能卡的ISA&authenticatio
在此先感谢!。
评论由布雷特- 2010年2月2日@ 上午10时00分
我首先看看其他飞卡/共享点在本网站的文章,particuarlly这一诺丽之一:
http://www.sharepointsecurity.com/sharepoint/cac-enabled-anonymous-sharepoint-sites/
评论由亚当- 2010年2月2日@ 上午10时45分