Jak změnit výchozí chování mapování klientských certifikátů při použití ověřování na základě formulářů se službou Active Directory ISA Server 2006 Service Pack 1

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:953684
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Úvod
Před Microsoft Internet Security and Acceleration Server (ISA) 2006 Service Pack 1 (SP1) může pouze požadujete certifikát klienta při služby naslouchání na webu byl nakonfigurován pro použití ověřování založené na formulářích uživatelům domény pomocí adresářové služby Active Directory (FBA s AD). Tuto metodu ověřování používá následující proces:
  • Klient poskytuje certifikát klienta.
  • ISA Server ověří, že certifikát je platný, že jeho platnost a že byl vydán důvěryhodným certifikačním úřadem.
  • Kontroluje certifikát proti omezení certifikátů klienta ISA Server ISA Server.
  • ISA Server odešle formulář ověřování klienta. Uživatel zadá psanými nebo jí pověření a zaúčtuje je.
  • ISA Server ověří pověření uživatele.
  • ISA Server mapuje klientský certifikát uživatele služby Active Directory a ověří, že je stejného uživatele pomocí pověření.
ISA Server 2006 SP1 vyžadovat klientský certifikát při služby naslouchání na webu je nakonfigurován pro použití ověřování na základě formulářů s jiné ověřovací metody ověřování, jako například LDAP (Active Directory), RADIUS, OTP RADIUS nebo SecurID. Při použití metody ověřování než ověřování na základě formulářů se službou Active Directory ISA Server provádí stejný proces kromě těch, které se nepokouší mapování klientského certifikátu uživatele. To znamená, že počítač nemá být členem domény ISA Server. Nebo pokud je počítač členem domény, znamená, že klientské certifikáty nemají být namapována na uživatelské účty ve službě Active Directory.

Tento článek popisuje výchozí chování v ISA Server 2006 SP1 při použití ověřování na základě formulářů uživatelů domény se službou Active Directory. Dále tento článek popisuje, jak změnit výchozí chování.
Další informace
Při provádění ověřování na základě formulářů se službou Active Directory ISA Server se pokusí mapování klientského certifikátu uživatele ve službě Active Directory. Podle návrhu toto chování je koeficient dvou ověřování chování a vyžaduje, že certifikát klienta uživatele mapovaná proti uživatelský účet, který obsahuje pověření.

ISA Server 2006 SP1 také přidá funkci, která umožňuje zakázat mapování certifikátu na Active Directory při použití ověřování na základě formulářů. Při použití ověřování na základě formulářů se službou Active Directory k ověření pověření klienta výchozí chování je však stále mapování certifikátu na uživatele.

Po použití ISA Server 2006 Service Pack 1 zakažte mapování certifikátu na Active Directory takto:
  1. Spusťte program Poznámkový blok.
  2. Vložte následující skript do nového dokumentu.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. V nabídce soubor klepněte na příkaz Uložit jako a uložte soubor jako DisableCertMappingForFBAwithAD.vbs.
  4. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs
Vrátit výchozí chování v ISA Server 2006 Service Pack 1 a při použití ověřování pomocí formuláře povolit mapování klientského certifikátu na Active Directory, postupujte takto:
  1. Spusťte Poznámkový blok a otevřete skript DisableCertMappingForFBAwithAD.vbs.
  2. Vyhledejte následující řádek kódu ve skriptu.
    Const SE_VPS_VALUE = true
  3. Změňte kód na následující.
    Const SE_VPS_VALUE = false
  4. V nabídce soubor klepněte na tlačítko Uložit.
  5. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript DisableCertMappingForFBAwithAD.vbs
Odkazy
Další informace o tom, jak získat aktualizaci ISA Server 2006 SP1 klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
954258Jak získat nejnovější aktualizaci Internet Security and Acceleration (ISA) Server 2006 Service Pack

Další informace o funkcích ISA Server 2006 SP1 naleznete na následujícím webu:
isa2006 isa2k6

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 953684 - Poslední kontrola: 01/15/2015 17:55:18 - Revize: 1.0

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

  • kbnosurvey kbarchive kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtcs
Váš názor