Реклама:

Сопоставления «один-к-одному» и «множество-к-одному» Распространенный сценарий для приложений В2В эаключастся в выдаче сертификатов деловым партнерам и в сопоставлении этих сертификатов с учетными записями Windows. Для этого можно использовать сопоставление «один-к-одному», где каждый сертификат сопоставляется со специфической учетной записью, или создать групповое правило для сопоставления определенных сертификатов с одной учетной записью. Например, каждый сертификат, содержащий в имени субъекта слово «РагспегА», сопоставляется с учетной записью Domain\PartnerA (рис. 5-35). Вам следует задать пароль для учетной записи Windows, с которой хотите сопоставлять сертификаты. (В процессе внутренней работы просто вызывается LogonUser.)

Байер Доминик Microsoft ASP.NET. Обеспечение безопасности. Мастер-класс

Рис. 5-35. Групповые сопоставления

Сопоставление служб каталогов Еще одна опция предусматривает автоматическое сопоставление «один-к-одному» клиентского сертификата с учетной записью Active Directory. Для этой конфигурации не требуются пароли учетных записей. Метод работает идеально, если сертификат издан CA Active Directory. IIS использует хранящуюся в сертификате информацию для создания вариации регистрации Kerberos под названием PKINIT (это расширение протокола Kerberos, позволяющее выполнять аутентификацию на основе открытого ключа).

Для реализации последнего метода следует выполнить некоторые действия по конфигурации.

1. Кчиентский сертификат должен быть связан с учетной записью Windows. В окне Active Directory Users and Computers MMC (Active Directory-пользователи и компьютеры) перейдите на вкладку Published Certificates (Опубликованные сертификаты). Здесь перечислены все сертификаты, отображаемые в учетной записи. Список автоматически пополняется, если сертификаты были изданы официальным CA Active Directory (рис. 5-36). Для неинтегрированных CA следует добавить сопоставление имен. Задайте команду View (Вид) и в окне Active Directory Users and Computers MMC щелкните кнопку Advanced Features (Дополнительные функции). После этого щелкните правой кнопкой мыши имя пользователя и выберите команду Name Mapping (Отображение имен). В открывшемся диалоговом окне вы можете импортировать файлы .сег., которые должны отображаться для этой учетной записи.

2. В IIS нужно включить Directory Services Mapping (Сопоставление службы каталогов), но это можно сделать только на уровне машины. Для этого в IIS щелкните правой кнопкой мыши узел WebSites (Web-узлы) и вызовите команду Properties (Свойства). В открывшемся окне перейдите на вкладку Directory Security (Безопасность каталога) и установите флажок Enable The Windows Directory Services Mapper (Сопоставление службы каталогов Windows).

3. В Web-приложении откройте вкладку Directory Security и в области Secure Communication включите Client Certificate Mapping.

Байер Доминик Microsoft ASP.NET. Обеспечение безопасности. Мастер-класс

Рис. 5-36. Опубликованные сертификаты пользователей в Active Directory

Теперь вы можете отключить все «обычные» типы аутентификации. Сертификат входящего клиента автоматически отображается в соответствующей учетной записи Windows. Следует отмстить, что в ASP.NET вы будете иметь доступ, как к сертификату, так и к идентификатору Windows.


⇐ Предыдущая страница| |Следующая страница ⇒