Cómo cambiar el comportamiento predeterminado de asignación de certificado de cliente cuando se utiliza la autenticación basada en formularios con Active Directory en el Service Pack 1 de ISA Server 2006

Seleccione idioma Seleccione idioma
Id. de artículo: 953684 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

INTRODUCCIÓN

Antes de Microsoft Internet Security and Acceleration (ISA) Server 2006 Service Pack 1 (SP1), sólo puede requerir un certificado de cliente cuando la escucha de Web se ha configurado para utilizar autenticación basada en formularios de usuarios de dominio mediante el servicio de directorio Active (FBA con AD). Este método de autenticación utiliza el proceso siguiente:
  • El cliente proporciona un certificado de cliente.
  • ISA Server comprueba que el certificado es válido, que no ha caducado y que fue emitido por una entidad emisora de certificados de confianza.
  • ISA Server comprueba el certificado con las restricciones de certificado de cliente ISA Server.
  • ISA Server envía el formulario de autenticación al cliente. El usuario escribe su o sus credenciales y los publica.
  • ISA Server comprueba las credenciales del usuario.
  • EL servidor ISA asigna el certificado de cliente a un usuario de Active Directory y comprueba que es el mismo usuario utilizando las credenciales.
En ISA Server 2006 SP1 puede requerir un certificado de cliente cuando la escucha de Web está configurada para utilizar la autenticación basada en formularios con otros métodos de validación de autenticación, como LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID. Cuando utilice métodos de autenticación distinto de la autenticación basada en formularios con Active Directory, ISA Server realiza el mismo proceso, excepto que no intente asignar el certificado de cliente a un usuario. Esto significa que el equipo no tiene que ser un miembro de un dominio de ISA Server. O bien, si el equipo está un miembro de dominio, significa que los certificados de cliente no tienen que asignarse a cuentas de usuario en Active Directory.

Este artículo describe el comportamiento predeterminado en ISA Server 2006 SP1 cuando se utiliza autenticación basada en formularios de usuarios de dominio con Active Directory. Además, en este artículo se describe cómo cambiar este comportamiento predeterminado.

Más información

Al realizar la autenticación basada en formularios con Active Directory, ISA Server intenta asignar el certificado de cliente a un usuario en Active Directory. Por diseño, este comportamiento es el comportamiento de autenticación en dos fases y requiere que certificados se asignan a una cuenta de usuario proporciona credenciales de cliente del usuario.

ISA Server 2006 SP1 agrega también una característica que permite deshabilitar la asignación de certificados a Active Directory al utilizar la autenticación basada en formularios. No obstante, cuando se utiliza la autenticación basada en formularios con Active Directory para validar las credenciales del cliente, el comportamiento predeterminado sigue siendo asignar el certificado a un usuario.

Después de aplicar Service Pack 1 de ISA Server 2006, siga estos pasos para deshabilitar la asignación de certificados a Active Directory:
  1. Inicie el Bloc de notas.
  2. Pegue la siguiente secuencia de comandos en un documento nuevo.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. En el menú archivo , haga clic en Guardar como y, a continuación, guarde el archivo como DisableCertMappingForFBAwithAD.vbs .
  4. En un símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript DisableCertMappingForFBAwithAD.vbs
Para volver al comportamiento predeterminado en el Service Pack 1 de ISA Server 2006 y Habilitar asignación de certificado de cliente en Active Directory cuando utiliza autenticación basada en formularios, siga estos pasos:
  1. Inicie el Bloc de notas y abra la secuencia de comandos DisableCertMappingForFBAwithAD.vbs.
  2. Busque la siguiente línea de código en la secuencia de comandos.
    Const SE_VPS_VALUE = true
    
  3. Cambie el código siguiente.
    Const SE_VPS_VALUE = false
    
  4. En el menú archivo , haga clic en Guardar .
  5. En un símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript DisableCertMappingForFBAwithAD.vbs

Referencias

Para obtener más información acerca de cómo obtener ISA Server 2006 SP1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
954258Cómo obtener el Internet Security and Acceleration (ISA) Server 2006 service pack más reciente

Para obtener más información acerca de características de ISA Server 2006 SP1, visite el siguiente sitio Web de Microsoft:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

Propiedades

Id. de artículo: 953684 - Última revisión: viernes, 27 de marzo de 2009 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Palabras clave: 
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 953684

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com