你目前正处于脱机状态,正在等待 Internet 重新连接

如何更改默认行为的客户端证书映射,在 ISA Server 2006 Service Pack 1 中的 Active Directory 上使用基于窗体的身份验证,则

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 953684
本文已归档。它按“原样”提供,并且不再更新。
简介
Microsoft Internet 安全性和加速服务器 (ISA) 2006年服务包 1 (SP1) 之前, 您可能只需要通过使用 Active Directory 目录服务 (与 AD FBA) 使用基于窗体的身份验证域用户的配置 Web 侦听器时客户端证书。这种身份验证方法使用以下过程:
  • 客户端提供客户端证书。
  • ISA 服务器验证该证书有效它已不过期,它由受信任的证书颁发机构颁发。
  • ISA 服务器将检查对 ISA 服务器客户端证书限制证书。
  • ISA 服务器将发送到客户端的身份验证窗体。用户输入他或她凭据并过帐它们。
  • ISA 服务器验证用户凭据。
  • ISA 服务器将客户端证书映射到 Active Directory 用户和验证它是同一个用户通过使用凭据。
在 ISA Server 2006 SP1 中,您可以在 Web 侦听器配置为使用其他身份验证验证方法为 LDAP (Active Directory)、 RADIUS、 RADIUS OTP 或 SecurID 的基于窗体的身份验证要求客户端证书。使用 Active Directory 以外的其他基于窗体的身份验证的身份验证方法则,ISA 服务器将执行相同的过程,不同之处在于它不会尝试将该客户端证书映射到用户。这意味着,ISA 服务器计算机不必是域的成员。或如果计算机是域成员,则意味着客户端证书没有映射到 Active Directory 中的用户帐户。

本文介绍了在 Active Directory 上使用基于窗体的身份验证的域用户,则在 ISA Server 2006 SP1 中的默认行为。此外,本文介绍如何更改此默认行为。
更多信息
当您执行基于窗体的身份验证与 Active Directory 时,ISA 服务器会尝试将客户端证书映射到 Active Directory 中的用户。通过设计,这一行为是两个因素的身份验证行为,并且它需要用户的客户端证书要对照提供凭据的用户帐户映射。

ISA Server 2006 SP1 还添加了一项功能,可以禁用证书映射到 Active Directory,当您使用基于窗体的身份验证。但是时使用 Active Directory 中基于窗体的身份验证来验证客户端凭据,默认行为是仍将证书映射到用户。

应用 ISA Server 2006 Service Pack 1 后,请按照下列步骤来禁用证书映射到 Active Directory:
  1. 启动记事本。
  2. 将下面的脚本粘贴到新文档
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. 文件 菜单上单击 另存为,然后将文件另存为 DisableCertMappingForFBAwithAD.vbs
  4. 在命令提示符键入下面的命令,然后按 ENTER 键:
    cscript DisableCertMappingForFBAwithAD.vbs
若要返回到 ISA Server 2006 Service Pack 1 中的默认行为并启用客户端证书映射到 Active Directory,当您使用的基于窗体的身份验证时请按照下列步骤操作:
  1. 启动记事本,然后打开 DisableCertMappingForFBAwithAD.vbs 脚本。
  2. 在脚本中找到下面的代码行。
    Const SE_VPS_VALUE = true
  3. 该代码更改为
    Const SE_VPS_VALUE = false
    下列。
  4. 文件 菜单上单击 保存
  5. 在命令提示符键入下面的命令,然后按 ENTER 键:
    cscript DisableCertMappingForFBAwithAD.vbs
参考
有关如何获取 ISA Server 2006 SP1 的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
954258如何获取最新的 Internet 安全和 $ 加速 (ISA) Server 2006 服务包

有关 ISA Server 2006 SP1 功能的详细信息,请访问下面的 Microsoft 网站:
isa2006 isa2k6

属性

文章 ID:953684 - 上次审阅时间:01/15/2015 17:55:29 - 修订版本: 1.0

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

  • kbnosurvey kbarchive kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtzh
反馈