Come modificare il comportamento predefinito per il mapping dei certificati client quando si utilizza l'autenticazione basata su form con Active Directory in ISA Server 2006 Service Pack 1

Traduzione articoli Traduzione articoli
Identificativo articolo: 953684 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

INTRODUZIONE

Prima di Microsoft Internet Security e Acceleration Server (ISA) 2006 Service Pack 1 (SP1), Ŕ solo possibile richiedere un certificato client se il listener Web Ŕ stato impostato l'autenticazione di utenti di dominio basata su form utilizzando il servizio Active Directory (FBA con Active Directory). Questo metodo di autenticazione utilizza il seguente processo:
  • Il client fornisce un certificato client.
  • ISA Server verifica che il certificato sia valido, che non sia scaduta e che sia stato rilasciato da un'autoritÓ di certificazione attendibile.
  • ISA Server verifica il certificato nelle restrizioni di certificato del client ISA Server.
  • ISA Server invia il modulo di autenticazione al client. L'utente immette il o un utente le credenziali e li invia.
  • ISA Server verifica le credenziali dell'utente.
  • ISA Server associa il certificato client a un utente di Active Directory e verifica che Ŕ lo stesso account utente utilizzando le credenziali.
In ISA Server 2006 SP1, Ŕ possibile richiedere un certificato client quando il listener Web Ŕ configurato per utilizzare l'autenticazione basata su form con altri metodi di autenticazione convalida, ad esempio LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID. Quando si utilizzano metodi di autenticazione diverso rispetto all'autenticazione basata su form con Active Directory, ISA Server esegue lo stesso processo, ad eccezione del fatto che non tenta di mappare il certificato client a un utente. Ci˛ significa che il server ISA non Ŕ necessario essere membri del dominio in un computer. In alternativa, se il computer Ŕ un membro di dominio, significa che i certificati client non sono necessario eseguire il mapping degli account utente in Active Directory.

In questo articolo viene descritto il comportamento predefinito in ISA Server 2006 SP1 quando si utilizza l'autenticazione di utenti di dominio basata su form con Active Directory. Inoltre, in questo articolo viene descritto come modificare questo comportamento predefinito.

Informazioni

Quando si esegue l'autenticazione basata su form con Active Directory, ISA Server tenta di associare il certificato client a un utente in Active Directory. Per impostazione predefinita, questo comportamento Ŕ autenticazione a due fattori comportamento e richiede che il client dell'utente certificato da mappare con un account utente che fornisce le credenziali.

ISA Server 2006 SP1 aggiunge inoltre una funzionalitÓ che consente di disattivare il mapping di certificato in Active Directory quando si utilizza l'autenticazione basata su form. Tuttavia, quando si utilizza l'autenticazione basata su form con Active Directory per convalidare le credenziali del client, il comportamento predefinito Ŕ ancora per associare il certificato a un utente.

Dopo avere applicato il Service Pack 1 di ISA Server 2006, attenersi alla seguente procedura per disattivare il mapping dei certificati in Active Directory:
  1. Avviare il Blocco note.
  2. Incollare lo script seguente in un nuovo documento.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. Scegliere Salva dal menu file e quindi salvare il file come DisableCertMappingForFBAwithAD.vbs .
  4. Al prompt dei comandi, digitare il comando seguente, quindi premere INVIO:
    cscript DisableCertMappingForFBAwithAD.vbs
Per ripristinare il comportamento predefinito in ISA Server 2006 Service Pack 1 e Attiva mapping di certificato del client di Active Directory quando si utilizza l'autenticazione basata su modulo, attenersi alla seguente procedura:
  1. Avviare Blocco note e aprire lo script DisableCertMappingForFBAwithAD.vbs.
  2. Individuare la seguente riga di codice nello script.
    Const SE_VPS_VALUE = true
    
  3. Modificare il codice riportato di seguito.
    Const SE_VPS_VALUE = false
    
  4. Nel menu file , fare clic su Salva .
  5. Al prompt dei comandi, digitare il comando seguente, quindi premere INVIO:
    cscript DisableCertMappingForFBAwithAD.vbs

Riferimenti

Per ulteriori informazioni su come ottenere ISA Server 2006 SP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
954258Come ottenere la versione pi¨ recente Internet Security and Acceleration (ISA) Server 2006 del service pack

Per ulteriori informazioni sulle funzionalitÓ di ISA Server 2006 SP1, visitare il sito di Web di Microsoft:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

ProprietÓ

Identificativo articolo: 953684 - Ultima modifica: venerdý 27 marzo 2009 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Chiavi:á
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 953684
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com