Если для обеспечения дополнительной безопасности и управления учетными данными пользователя в организации используются смарт-карты, то теперь с помощью этих смарт-карт и учетных данных проверки подлинности пользователи могут получать Сертификаты учетной записи управления правами и лицензии на использование с серверов в кластере AD RMS.
Примечание |
---|
Действия данной процедуры предполагают, что SSL-сертификат уже установлен. Дополнительные сведения о добавлении SSL-сертификата см. в разделе Импорт SSL-сертификата с помощью диспетчера IIS. |
Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Чтобы добавить службу роли проверки подлинности с сопоставлением сертификата клиента
-
Откройте диспетчер серверов. Нажмите кнопку Пуск, выберите Администрирование, а затем Диспетчер серверов.
-
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
-
Разверните узел Роли и выберите Веб-сервер (IIS).
-
В области результатов в разделе Службы ролей щелкните Добавление служб ролей.
-
Установите флажок Проверка подлинности с сопоставлением сертификата клиента и нажмите кнопку Далее.
-
Нажмите кнопку Установить.
-
После добавления роли сервера нажмите кнопку Закрыть.
Затем выполните настройку метода проверки подлинности в IIS.
Чтобы настроить метод проверки подлинности в IIS
-
В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.
-
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
-
В дереве консоли разверните узел с именем сервера.
-
В области результатов на странице Домой сервера дважды щелкните Проверка подлинности, чтобы открыть страницу Проверка подлинности.
-
В области результатов на странице Проверка подлинности щелкните правой кнопкой мыши Проверка подлинности сертификата клиента AD и выберите команду Задействовать.
-
Закройте диспетчер IIS.
Наконец, включите проверку подлинности клиентов на веб-сайте, на котором размещена служба AD RMS.
Чтобы включить проверку подлинности клиентов на веб-сайте, на котором размещена служба управления правами Active Directory
-
В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.
-
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
-
В дереве консоли разверните узел с именем сервера.
-
Разверните узел Сайты, а затем разверните веб-сайт, на котором размещена служба AD RMS. По умолчанию это Веб-сайт по умолчанию.
-
В дереве консоли разверните узел _wmcs, щелкните правой кнопкой мыши виртуальный каталог certification (для поддержки Сертификат учетной записи управления правами) или же виртуальный каталог licensing (для поддержки лицензий на использование), а затем выберите команду Переключиться в режим просмотра содержимого.
-
В области результатов Содержимое Просмотр щелкните правой кнопкой мыши файл certification.asmx или license.asmx и выберите команду Переключиться в режим просмотра возможностей.
-
В области результатов на странице Домой дважды щелкните Параметры SSL.
-
Выберите соответствующий параметр для Сертификаты клиентов (Принять или Требовать). Примите сертификаты пользователя, чтобы клиенты могли предоставлять учетные данные проверки подлинности с помощью сертификата смарт-карты или же имени пользователя и пароля. Запросите сертификаты пользователей, чтобы к службе могли подключаться только клиенты, имеющие сертификаты на своей стороне, например смарт-карты.
-
Нажмите кнопку Применить.
-
Чтобы использовать проверку подлинности клиентов и для сертификации, и для лицензирования, повторите данную процедуру, но в этот раз выберите дополнительный виртуальный каталог.
-
Закройте диспетчер IIS.
-
Повторите шаги с 1 по 10 для каждого сервера в кластере AD RMS.
Далее необходимо указать, чтобы в методе проверки подлинности использовалась проверка подлинности с сопоставлением сертификата клиента для кластера AD RMS.
Чтобы задать метод проверки подлинности клиентов в файле applicationhost.config
-
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
-
Перейдите в папку %windir%\system32\inetsrv\config.
-
Введите команду notepad applicationhost.config и нажмите клавишу ВВОД.
Внимание! Прежде чем вносить изменения, создайте резервную копию этого файла. -
Перейдите в раздел, аналогичный разделу <location path="Default Web Site/_wmcs/certification/certification.asmx"> файла applicationhost.config.
Примечание Размещение указанного выше файла зависит от файла или виртуального каталога, где выполняется ввод данных для сопоставления сертификата клиента. -
Чтобы разрешить проверку подлинности с помощью смарт-карты в дополнение к проверке Windows, выполните указанные ниже действия.
- Измените строку
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
на строку
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
- Добавьте новую строку в раздел <windowsAuthentication
enabled="true" />, а затем введите:
<clientCertificateMappingAuthentication enabled="true" />
- Измените строку
-
Чтобы разрешить проверку подлинности только с помощью смарт-карты, выполните указанные ниже действия. Убедитесь, что в IIS требуется проверки подлинности SSL-клиента.
- Добавьте новую строку в раздел <windowsAuthentication
enabled="true" />, а затем введите:
<clientCertificateMappingAuthentication enabled="true" />
- Измените строку
<windowsAuthentication enabled="true" />
на строку
<windowsAuthentication enabled="false" />
- Выберите в меню Файл команду Сохранить и закройте
блокнот.
- В окне командной строки введите команду iisreset и
нажмите клавишу ВВОД.
Внимание! При запуске команды iisreset в командной строке будут перезагружены все службы, связанные с IIS. - Добавьте новую строку в раздел <windowsAuthentication
enabled="true" />, а затем введите:
-
Повторите шаги с 1 по 5 для каждого сервера в кластере AD RMS.
После настройки этих параметров у пользователя, который попытается открыть защищенное содержимое, опубликованное этим кластером AD RMS, будут запрашиваться учетные данные проверки подлинности, прежде чем кластер предоставит ему Сертификат учетной записи управления правами или лицензию на использование.