Kogu metsa ilma trust Veebiserveri serdi autentimise seadistamise

Support Topic:

  • Windows Servers\Windows Server 2016\Windows Server 2016\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Datacenter\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Essentials\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Standard\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2019, all versions\Certificates and Public Key Infrastructure\Certificate-based authentication

Kokkuvõte

Selles artiklis kirjeldatakse, kuidas seadistada kiipkaartide kasutamine metsadevaheline sertifikaadi-põhine autentimine, kui kasutaja metsa ja ressursi metsas ei usalda üksteist veebiserverisse.

Konfigureerimine

Mõelge keskkond, mis kasutab järgmisi konfiguratsioon.

  • Kasutaja metsa, nimega Contoso.com

  • Ressursi metsa nimega Fabrikam.com. Metsa on Tailspin.com lisatud as an teine kasutaja peamine nime (UPN).

  • Kaks metsade vahel on ei usalda.

  • Kasutaja kiipkaardid kasutada serte, mis on vorming user@tailspin.com teema alternatiivne nimi (SAN) kirjed

  • IIS-i veebisaidi serveris on konfigureeritud Active Directory Certificate autentimise.

Konfigureerida Active Directory ja veebiserver, nagu on kirjeldatud järgmistes.

Konfigureerida Active Directory

Konfigureerida ressursi metsas autentimiseks kiipkaardid:

  1. Veenduge, et domeenikontrollerid on antud Kerberose autentimine serdi KDC autentimine laiendatud võtme kasutamine (EKL).

  2. Veenduge, et kasutaja sertifikaadi väljastav Sertimiskeskus sert on installitud ettevõtte NTAUTH poes. Avaldamine väljastav Sertimiskeskus serdi domeenis, käivitage järgmine käsk käsureale: certutil -dspublish -f <filename> NTAUTHCA

    Märkus.

    Selles käsus < failinimi > tähistab CA serdi faili, mis on CER laiend nime.

  3. Kasutajatel peab olema kontot, mis kasutavad alternatiivne UPN ressursi metsas. Kasutaja atribuudid

Konfigureerige kasutaja metsa, toimige järgmiselt.

  1. Veenduge, et teil on kiipkaardiga sisselogimine ja kliendi autentimine EKL määratletud sert.

  2. Veenduge, et sert SAN kasutab kasutaja UPN. Sertifikaadi SAN

  3. Veenduge, et installida väljastav CA sert sertifikaat Enterprise NTAUTH poes.

Märkus.

Kui soovite häälestada delegeerimine front end server või soovite vahele jätta, kasutades UPN SAN atribuut sertifikaadi (AltSecID tee), vaadake seda Lisateabe saamiseks selles jaotises.

Konfigureerige veebiserver

Konfigureerimine IIS-i veebiserveri ressursi metsas:

  1. IIS-i veebisaidi rolli installida ja Kliendi serdi vastendamine autentimise turvalisuse funktsiooni valimiseks. Valige serveri rollid

  2. IIS-i veebiserveris lubada Active Directory kliendi serdi autentimist. IIS-i konfigureerimine

  3. Oma veebisaidil SSL-isätted Nõua SSL-i konfigureerimine ja kliendi sertidemärkige jaotises vaja. SSL-i sätted

Märkus.

Veenduge, et veebisaidil on lubatud muud autentimise tüüp. Me ei soovita serdi autentimise lubamine autentimise tüüp Kuna DS Mapper teenus, mis vastutab kasutaja esitatud serdil vastendamiseks Active Directory kasutajakonto, on mõeldud ainult töötamiseks Active Directory kliendi serdi autentimist tüüp. Kui soovite lubada anonüümset autentimist, võib ilmneda ootamatuid tulemusi.   Muud autentimise tüübid

Lisateave

Kui soovite seadistada delegeerimine veebiserveri ressursi päringu tagaserver, nagu andmebaasi server või CA, võib konfigureerida ka piiratud delegeerimine kohandatud teenuse konto abil. Lisaks tuleb luua piiratud delegeerimine (S4U2Self) veebiserveri või protokoll ülemineku. Lisateabe saamiseks vaadake KB4494313, Kerberose piiratud delegeerimine (S4U2Proxy või ainult Kerberose) konfigureerimine kohandatud teenuse konto registreerimine Web proxy lehtede.

Kui soovite kasutaja kiipkaardi serdi atribuut SAN UPN vahele jätta, peate selgesõnaliselt vastendada AltSecID atribuutideabil või kasutage nime vihjeid.

Märkus.

Me ei soovita See lähenemine konfigureerimine kiipkaardi serdid.

 

Kui avaldate SAN atribuut on planeeritud UPN kasutaja sert, peaksite lubama ei AltSecID.

NTAuth poe veebiserveris kontrollimiseks avage käsuviiba aken ja käivitage järgmine käsk:

Certutil -viewstore -enterprise NTAUTH

Viited

Kataloogi sünkroonimine-marsruuditav Domeen ettevalmistamine

Kolmanda osapoole CA sertide importimine

Muudatuste tegemiseks aktiveerimine kliendi serdi vastendus IIS-i, kasutades Active Directory täielik loetelu

Kuidas Kiipkaardi sisselogimine töötab Windowsis

Kasutaja turvalisus atribuudid

HowTo: Vastendada kasutaja serdi kaudu kõik meetodid, mis on saadaval altSecurityIdentities atribuut

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×