Jak změnit výchozí chování mapování klientských certifikátů při použití ověřování na základě formulářů se službou Active Directory ISA Server 2006 Service Pack 1

Překlady článku Překlady článku
ID článku: 953684 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Úvod

Před Microsoft Internet Security and Acceleration Server (ISA) 2006 Service Pack 1 (SP1) může pouze požadujete certifikát klienta při služby naslouchání na webu byl nakonfigurován pro použití ověřování založené na formulářích uživatelům domény pomocí adresářové služby Active Directory (FBA s AD). Tuto metodu ověřování používá následující proces:
  • Klient poskytuje certifikát klienta.
  • ISA Server ověří, že certifikát je platný, že jeho platnost a že byl vydán důvěryhodným certifikačním úřadem.
  • Kontroluje certifikát proti omezení certifikátů klienta ISA Server ISA Server.
  • ISA Server odešle formulář ověřování klienta. Uživatel zadá psanými nebo jí pověření a zaúčtuje je.
  • ISA Server ověří pověření uživatele.
  • ISA Server mapuje klientský certifikát uživatele služby Active Directory a ověří, že je stejného uživatele pomocí pověření.
ISA Server 2006 SP1 vyžadovat klientský certifikát při služby naslouchání na webu je nakonfigurován pro použití ověřování na základě formulářů s jiné ověřovací metody ověřování, jako například LDAP (Active Directory), RADIUS, OTP RADIUS nebo SecurID. Při použití metody ověřování než ověřování na základě formulářů se službou Active Directory ISA Server provádí stejný proces kromě těch, které se nepokouší mapování klientského certifikátu uživatele. To znamená, že počítač nemá být členem domény ISA Server. Nebo pokud je počítač členem domény, znamená, že klientské certifikáty nemají být namapována na uživatelské účty ve službě Active Directory.

Tento článek popisuje výchozí chování v ISA Server 2006 SP1 při použití ověřování na základě formulářů uživatelů domény se službou Active Directory. Dále tento článek popisuje, jak změnit výchozí chování.

Další informace

Při provádění ověřování na základě formulářů se službou Active Directory ISA Server se pokusí mapování klientského certifikátu uživatele ve službě Active Directory. Podle návrhu toto chování je koeficient dvou ověřování chování a vyžaduje, že certifikát klienta uživatele mapovaná proti uživatelský účet, který obsahuje pověření.

ISA Server 2006 SP1 také přidá funkci, která umožňuje zakázat mapování certifikátu na Active Directory při použití ověřování na základě formulářů. Při použití ověřování na základě formulářů se službou Active Directory k ověření pověření klienta výchozí chování je však stále mapování certifikátu na uživatele.

Po použití ISA Server 2006 Service Pack 1 zakažte mapování certifikátu na Active Directory takto:
  1. Spusťte program Poznámkový blok.
  2. Vložte následující skript do nového dokumentu.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. V nabídce soubor klepněte na příkaz Uložit jako a uložte soubor jako DisableCertMappingForFBAwithAD.vbs.
  4. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs
Vrátit výchozí chování v ISA Server 2006 Service Pack 1 a při použití ověřování pomocí formuláře povolit mapování klientského certifikátu na Active Directory, postupujte takto:
  1. Spusťte Poznámkový blok a otevřete skript DisableCertMappingForFBAwithAD.vbs.
  2. Vyhledejte následující řádek kódu ve skriptu.
    Const SE_VPS_VALUE = true
    
  3. Změňte kód na následující.
    Const SE_VPS_VALUE = false
    
  4. V nabídce soubor klepněte na tlačítko Uložit.
  5. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs

Odkazy

Další informace o tom, jak získat aktualizaci ISA Server 2006 SP1 klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
954258Jak získat nejnovější aktualizaci Internet Security and Acceleration (ISA) Server 2006 Service Pack

Další informace o funkcích ISA Server 2006 SP1 naleznete na následujícím webu:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

Vlastnosti

ID článku: 953684 - Poslední aktualizace: 27. března 2009 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Klíčová slova: 
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:953684

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com