Como alterar o comportamento padrão para mapeamento de certificado de cliente quando você usa a autenticação baseada em formulários com Active Directory no ISA Server 2006 Service Pack 1

Traduções deste artigo Traduções deste artigo
ID do artigo: 953684 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

INTRODUÇÃO

Antes de Microsoft Internet Security and Acceleration Server (ISA) 2006 Service Pack 1 (SP1), você só pode exigir um certificado de cliente quando o ouvinte da Web foi configurado para usar autenticação baseada em formulários de usuários de domínio usando o serviço de diretório Active Directory (FBA com AD). Esse método de autenticação usa o seguinte processo:
  • O cliente fornece um certificado de cliente.
  • ISA Server verifica se o certificado é válido, que ele não expirou e se ele foi emitido por uma autoridade de certificação confiável.
  • ISA Server verifica o certificado contra as restrições de certificado de cliente do ISA Server.
  • ISA Server envia o formulário de autenticação para o cliente. O usuário insere seu ou as credenciais e envia-los.
  • ISA Server verifica as credenciais do usuário.
  • O ISA Server mapeia o certificado de cliente para um usuário do Active Directory e verifica se ele é o mesmo usuário usando as credenciais.
No ISA Server 2006 SP1, você pode exigir um certificado de cliente quando o ouvinte da Web é configurado para usar a autenticação baseada em formulários com outros métodos de validação de autenticação, como LDAP (Active Directory), RADIUS, RADIUS OTP ou SecurID. Quando você usa métodos de autenticação diferente de autenticação baseada em formulários com o Active Directory, ISA Server executa o mesmo processo, exceto que ele não tenta mapear o certificado de cliente para um usuário. Isso significa que o computador não precisa ser um membro de um domínio do ISA Server. Ou, se o computador for um membro do domínio, ele significa que os certificados de cliente não precisam ser mapeados para contas de usuário no Active Directory.

Este artigo descreve o comportamento padrão no ISA Server 2006 SP1 quando você usa autenticação baseada em formulários de usuários de domínio com Active Directory. Além disso, este artigo descreve como alterar esse comportamento padrão.

Mais Informações

Quando você executa a autenticação baseada em formulários com o Active Directory, o ISA Server tenta mapear o certificado de cliente para um usuário no Active Directory. Por padrão, esse comportamento é o comportamento de autenticação de dois fatores e requer que o cliente do usuário de certificado a serem mapeados em uma conta de usuário fornece credenciais.

ISA Server 2006 SP1 também adiciona um recurso que permite que você desabilite o mapeamento de certificado para o Active Directory quando você usa a autenticação baseada em formulários. No entanto, quando você usa a autenticação baseada em formulários com o Active Directory para validar as credenciais do cliente, o comportamento padrão é ainda mapear o certificado para um usuário.

Depois de aplicar o ISA Server 2006 Service Pack 1, siga estas etapas para desativar o mapeamento de certificado para o Active Directory:
  1. Inicie o bloco de notas.
  2. Cole o seguinte script em um novo documento.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. No menu arquivo , clique em Salvar como e, em seguida, salve o arquivo como DisableCertMappingForFBAwithAD.vbs .
  4. Em um prompt de comando, digite o seguinte comando e pressione ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs
Para retornar para o comportamento padrão no ISA Server 2006 Service Pack 1 e Ativar mapeamento de certificado de cliente para o Active Directory quando você usa a autenticação com base em formulários, execute estas etapas:
  1. Inicie o bloco de notas e abra o script DisableCertMappingForFBAwithAD.vbs.
  2. Localize a seguinte linha de código no script.
    Const SE_VPS_VALUE = true
    
  3. Alterar o código para o seguinte.
    Const SE_VPS_VALUE = false
    
  4. No menu arquivo , clique em Salvar .
  5. Em um prompt de comando, digite o seguinte comando e pressione ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs

Referências

Para obter mais informações sobre como obter o ISA Server 2006 SP1, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
954258Como obter o Internet Security and Acceleration (ISA) Server 2006 service pack mais recente

Para obter mais informações sobre recursos do ISA Server 2006 SP1, visite o seguinte site:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

Propriedades

ID do artigo: 953684 - Última revisão: sexta-feira, 27 de março de 2009 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Palavras-chave: 
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 953684

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com