Cómo cambiar el comportamiento predeterminado de asignación de certificado de cliente cuando se utiliza la autenticación basada en formularios con Active Directory en el Service Pack 1 de ISA Server 2006

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 953684
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
INTRODUCCIÓN
Antes de Microsoft Internet Security and Acceleration (ISA) Server 2006 Service Pack 1 (SP1), sólo puede requerir un certificado de cliente cuando la escucha de Web se ha configurado para utilizar autenticación basada en formularios de usuarios de dominio mediante el servicio de directorio Active (FBA con AD). Este método de autenticación utiliza el proceso siguiente:
  • El cliente proporciona un certificado de cliente.
  • ISA Server comprueba que el certificado es válido, que no ha caducado y que fue emitido por una entidad emisora de certificados de confianza.
  • ISA Server comprueba el certificado con las restricciones de certificado de cliente ISA Server.
  • ISA Server envía el formulario de autenticación al cliente. El usuario escribe su o sus credenciales y los publica.
  • ISA Server comprueba las credenciales del usuario.
  • EL servidor ISA asigna el certificado de cliente a un usuario de Active Directory y comprueba que es el mismo usuario utilizando las credenciales.
En ISA Server 2006 SP1 puede requerir un certificado de cliente cuando la escucha de Web está configurada para utilizar la autenticación basada en formularios con otros métodos de validación de autenticación, como LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID. Cuando utilice métodos de autenticación distinto de la autenticación basada en formularios con Active Directory, ISA Server realiza el mismo proceso, excepto que no intente asignar el certificado de cliente a un usuario. Esto significa que el equipo no tiene que ser un miembro de un dominio de ISA Server. O bien, si el equipo está un miembro de dominio, significa que los certificados de cliente no tienen que asignarse a cuentas de usuario en Active Directory.

Este artículo describe el comportamiento predeterminado en ISA Server 2006 SP1 cuando se utiliza autenticación basada en formularios de usuarios de dominio con Active Directory. Además, en este artículo se describe cómo cambiar este comportamiento predeterminado.
Más información
Al realizar la autenticación basada en formularios con Active Directory, ISA Server intenta asignar el certificado de cliente a un usuario en Active Directory. Por diseño, este comportamiento es el comportamiento de autenticación en dos fases y requiere que certificados se asignan a una cuenta de usuario proporciona credenciales de cliente del usuario.

ISA Server 2006 SP1 agrega también una característica que permite deshabilitar la asignación de certificados a Active Directory al utilizar la autenticación basada en formularios. No obstante, cuando se utiliza la autenticación basada en formularios con Active Directory para validar las credenciales del cliente, el comportamiento predeterminado sigue siendo asignar el certificado a un usuario.

Después de aplicar Service Pack 1 de ISA Server 2006, siga estos pasos para deshabilitar la asignación de certificados a Active Directory:
  1. Inicie el Bloc de notas.
  2. Pegue la siguiente secuencia de comandos en un documento nuevo.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. En el menú archivo , haga clic en Guardar como y, a continuación, guarde el archivo como DisableCertMappingForFBAwithAD.vbs .
  4. En un símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript DisableCertMappingForFBAwithAD.vbs
Para volver al comportamiento predeterminado en el Service Pack 1 de ISA Server 2006 y Habilitar asignación de certificado de cliente en Active Directory cuando utiliza autenticación basada en formularios, siga estos pasos:
  1. Inicie el Bloc de notas y abra la secuencia de comandos DisableCertMappingForFBAwithAD.vbs.
  2. Busque la siguiente línea de código en la secuencia de comandos.
    Const SE_VPS_VALUE = true
  3. Cambie el código siguiente.
    Const SE_VPS_VALUE = false
  4. En el menú archivo , haga clic en Guardar .
  5. En un símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript DisableCertMappingForFBAwithAD.vbs
Referencias
Para obtener más información acerca de cómo obtener ISA Server 2006 SP1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
954258Cómo obtener el Internet Security and Acceleration (ISA) Server 2006 service pack más reciente

Para obtener más información acerca de características de ISA Server 2006 SP1, visite el siguiente sitio Web de Microsoft:
isa2006 isa2k6

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 953684 - Última revisión: 01/15/2015 17:55:20 - Revisión: 1.0

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

  • kbnosurvey kbarchive kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtes
Comentarios