Como faço para autenticar um usuário com o "cartão inteligente é necessário para logon interativo" set?

votos
1

http://support.microsoft.com/kb/892424

Quando o cartão inteligente é necessário para logon interativo é definida no Active Directory, gera uma senha aleatória. Como posso utilizar um cartão inteligente para autenticar um usuário sobre o LDAP a partir de uma aplicação web?

Como eu sei quem é o usuário? Existe uma maneira de acessar o cert? I pode obtê-lo a partir da sessão?

Publicado 19/05/2009 em 22:01
fonte usuário
Em outras línguas...                            


1 respostas

votos
1

HTTPS e autenticação mútua SSL deve ser usado para isso, porque o cliente já tem pelo menos certificado assinado pela CA corporativa em seu smart card armazenada.

Quando a autenticação SSL mútua é usado em vez de autenticação do servidor apenas, o certificado de cliente também é verificada pelo servidor, não apenas o certificado do servidor pelo cliente (que é mais comum set-up para, por exemplo HTTPS habilitado sites de comércio eletrônico). E você ainda tem conexão criptografada como um bônus.

Ver, por exemplo Tomcat 6.0 SSL Configuração HOW-TO . O ponto chave é ter o certificado da CA na confiança loja e atributo clientAuth definido como verdadeiro.

O auth-método de login deve também ser especificada para client-cert em web.xml da respectiva aplicação web:

...
<login-config>
  <auth-method>CLIENT-CERT</auth-method>
  <realm-name>Foo * Bar * Realm</realm-name>
</login-config>
...

atributo SubjectDN do certificado de cliente é usado para identificar o usuário. LDAP (ou ActiveDirectory) pode ainda ser usado para autorização - por exemplo, verificando se o usuário pertence a um grupo.

Pode ser difícil de definir tudo no primeiro tempo. Para se familiarizar com todos os conceitos que eu recomendo seguinte abordagem:

  • Use BASIC auth-método com nomes de usuário e senhas armazenadas em um arquivo
  • Use autorização baseada em função simples
  • Ativar CLIENT-CERT auth-method + simples autorização baseada em função
  • Incorporar LDAP para verificação de papéis
Respondeu 20/05/2009 em 07:53
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more