如何變更用戶端憑證對應預設的行為,當您使用表單型驗證時 Active Directory 的 ISA Server 2006 Service Pack 1

文章翻譯 文章翻譯
文章編號: 953684 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

簡介

您僅可以 Microsoft 網際網路安全性並加速伺服器 (ISA) 2006 Service Pack 1 (SP1) 之前, 需要用戶端憑證當網頁接聽程式已設定為使用 Active Directory 目錄服務 (AD 的 FBA) 來使用表單型驗證的網域使用者。這種驗證方法採用下列程序:
  • 用戶端提供用戶端憑證。
  • ISA 伺服器驗證憑證確實有效,它已經不過期,它已由受信任的憑證授權單位所發出。
  • ISA Server 會檢查針對 ISA Server 用戶端憑證限制憑證。
  • ISA Server 會驗證表單傳送給用戶端。使用者在輸入他或她認證,並將其張貼。
  • ISA Server 會驗證使用者認證。
  • ISA Server 將用戶端憑證對應到未 Active Directory 使用者,並驗證它是相同的使用者使用該認證。
在 ISA Server 2006 SP1 中,您可以要求用戶端憑證網頁接聽程式設定為與諸如 LDAP (Active Directory)]、 [RADIUS]、 [RADIUS OTP] 或 [SecurID 其他驗證驗證方法一起使用表單型驗證時。當以外的表單型驗證的驗證方法使用 Active Directory ISA Server 會執行相同的程序,不同之處在於它不會嘗試將用戶端憑證對應到使用者。這表示,ISA Server 的電腦沒有網域的成員。或者如果電腦是網域成員它就會表示用戶端憑證不需要對應至 Active Directory 中的使用者帳戶。

本文將告訴您預設的行為,在 ISA Server 2006 SP1 中當您使用表單型驗證的網域使用者 」 Active Directory 時。此外,這篇文章說明如何變更這個預設行為。

其他相關資訊

您在執行表單架構驗證] 與 [Active Directory 時 ISA Server 會嘗試將用戶端憑證對應到在 Active Directory 中的使用者。根據設計,這種行為是雙重關卡驗證行為,而且它需要使用者的用戶端憑證對應針對提供認證的使用者帳戶。

ISA Server 2006 SP1 也新增功能,可讓您停用憑證對應到 Active Directory,當您使用表單型驗證。不過,當您驗證用戶端認證使用表單基礎的驗證與 Active Directory,預設行為是仍將憑證對應到使用者。

套用 ISA Server 2006 Service Pack 1 之後請依照下列步驟執行以停用憑證對應到 Active Directory:
  1. 啟動 [記事本]。
  2. 將下列指令碼貼到新文件
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. 在 [檔案] 功能表上按一下 [另存新檔,] 然後將檔案儲存成 DisableCertMappingForFBAwithAD.vbs]。
  4. 在命令提示字元輸入下列命令,,然後按下 ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs
若要回到 [ISA Server 2006 Service Pack 1 預設的行為,並啟用用戶端憑證對應到 Active Directory,當您使用表單型驗證,請依照下列步驟執行:
  1. 啟動 [記事本],然後再開啟 DisableCertMappingForFBAwithAD.vbs 指令碼。
  2. 在指令碼中,找出下列程式碼行。
    Const SE_VPS_VALUE = true
    
  3. 變更程式碼至
    Const SE_VPS_VALUE = false
    
    下列。
  4. 在 [檔案] 功能表上按一下 [儲存]。
  5. 在命令提示字元輸入下列命令,,然後按下 ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs

?考

如需有關如何取得 ISA Server 2006 SP1 的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
954258如何取得最新網際網路安全性與加速 ISA Server 2006 Service Pack

如需有關 ISA Server 2006 SP1 功能的詳細資訊,請造訪下列 Microsoft 網站]:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

屬性

文章編號: 953684 - 上次校閱: 2009年3月27日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
關鍵字:?
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:953684
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com