Comment modifier le comportement par défaut pour le mappage de certificat client lorsque vous utilisez l'authentification basée sur les formulaires avec Active Directory dans le Service Pack 1 ISA Server 2006

Traductions disponibles Traductions disponibles
Numéro d'article: 953684 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

INTRODUCTION

Avant de Microsoft Internet Security et Acceleration (ISA) Server 2006 Service Pack 1 (SP1), vous pouvez uniquement demander un certificat client lorsque le port d'écoute a été configuré pour utiliser l'authentification par formulaire les utilisateurs de domaine en utilisant le service de répertoire Active Directory (FBA avec Active Directory). Cette méthode d'authentification utilise le processus suivant :
  • Le client fournit un certificat client.
  • ISA Server vérifie que le certificat est valide, qu'il n'a pas expiré et si elle a été émis par une autorité de certification de confiance.
  • ISA Server vérifie le certificat sur les restrictions de certificat client ISA Server.
  • ISA Server envoie le formulaire de l'authentification au client. L'utilisateur entre son ou lui les informations d'identification et les publie.
  • ISA Server vérifie les informations d'identification de l'utilisateur.
  • ISA Server mappe le certificat client à un utilisateur Active Directory et vérifie qu'il est le même utilisateur en utilisant les informations d'identification.
Dans ISA Server 2006 SP1, vous pouvez demander un certificat client lorsque le port d'écoute est configuré pour utiliser l'authentification basée sur les formulaires avec des autres méthodes de validation d'authentification, telles que LDAP (Active Directory), OTP RADIUS, RADIUS ou SecurID. Lorsque vous utilisez les méthodes d'authentification autres que l'authentification basée sur les formulaires avec Active Directory, ISA Server effectue le même processus, sauf qu'il n'essaie pas mapper le certificat client à un utilisateur. Cela signifie que l'ordinateur ne doit pas être un membre d'un domaine ISA Server. Ou, si l'ordinateur est un membre de domaine, cela signifie que les certificats clients ne devrez pas être mappés aux comptes utilisateur dans Active Directory.

Cet article décrit le comportement par défaut dans ISA Server 2006 SP1 lorsque vous utilisez l'authentification par formulaire les utilisateurs de domaine avec Active Directory. En outre, cet article décrit comment faire pour modifier ce comportement par défaut.

Plus d'informations

Lorsque vous exécuter l'authentification basée sur les formulaires avec Active Directory, ISA Server essaie de mapper le certificat client à un utilisateur dans Active Directory. De par sa conception, ce comportement est le comportement de l'authentification à deux facteurs et nécessite que le client l'utilisateur de certificat mappé par rapport à un compte d'utilisateur qui fournit des informations d'identification.

ISA Server 2006 SP1 ajoute également une fonctionnalité qui vous permet de désactiver le mappage de certificat dans Active Directory lorsque vous utilisez l'authentification basée sur les formulaires. Toutefois, lorsque vous utilisez l'authentification basée sur les formulaires avec Active Directory pour valider les informations d'identification du client, le comportement par défaut consiste toujours à mapper le certificat à un utilisateur.

Après avoir appliqué le Service Pack 1 ISA Server 2006, procédez comme suit pour désactiver le mappage de certificat dans Active Directory :
  1. Démarrez le bloc-notes.
  2. Collez le script suivant dans un nouveau document.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. Dans le menu fichier , cliquez sur Enregistrer sous et puis enregistrez le fichier en tant que DisableCertMappingForFBAwithAD.vbs .
  4. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript DisableCertMappingForFBAwithAD.vbs
Pour rétablir le comportement par défaut dans le Service Pack 1 ISA Server 2006 et d'activer mappage de certificat client dans Active Directory lorsque vous utilisez l'authentification par formulaire, procédez comme suit :
  1. Démarrez le bloc-notes, puis ouvrez le script DisableCertMappingForFBAwithAD.vbs.
  2. Recherchez la ligne suivante de code dans le script.
    Const SE_VPS_VALUE = true
    
  3. Modifier le code suivant.
    Const SE_VPS_VALUE = false
    
  4. Dans le menu fichier , cliquez sur Enregistrer .
  5. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript DisableCertMappingForFBAwithAD.vbs

Références

Pour plus d'informations sur la façon d'obtenir ISA Server 2006 SP1, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
954258Comment obtenir le pack Internet Security and Acceleration (ISA) Server 2006 service plus récent

Pour plus d'informations sur les fonctionnalités ISA Server 2006 SP1, site Web Microsoft suivant :
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

Propriétés

Numéro d'article: 953684 - Dernière mise à jour: vendredi 27 mars 2009 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Mots-clés : 
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 953684
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com