Iniciar sesión en la tarjeta CAC no autenticando a los usuarios aleatorios que deben usar su usuario de Windows y PWD
https://stackoverflow.com/questions/1396435
-
22-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tener un problema con personas aleatorias que intentan acceder a un sitio de intranet con un certificado de seguridad. La mayoría de los usuarios pueden simplemente seleccionar su certificado Smartcard/CAC, ingresar el número PIN y luego se les otorga acceso a las páginas del sitio.
Sin embargo, las personas aleatorias ingresan su PIN y luego se vuelven inmediatamente prometidas por el diálogo de alerta de IE para ingresar su nombre de usuario y contraseña de su dominio. Si no ingresan el nombre de usuario de su dominio de red y la contraseña de MS, entonces reciben un 401.1 no autorizado.
Estoy confundido sobre por qué estos ciertos usuarios (que seleccionan los mismos certificados que los exitosos) están siendo solicitados por su nombre de dominio/PWD. Además, pueden acceder a otros sitios que requieren un CAC para superar el certificado de seguridad.
Posible que un token de usuario no pueda establecerse a través de una tarjeta CAC para el sitio en particular, pero no estoy seguro de por qué. Dado que estos usuarios obtienen un 401.1, de alguna manera su identidad asociada con sus credenciales de CAC no se está validando.
En IIS: los usuarios anónimos no están permitidos (sin control). Se requiere un cifrado de 128 bits con SSL. Se verifica la autenticación integrada de Windows. Aceptar certificados del cliente en el archivo web.config del sitio Todos los usuarios están permitidos y solo se niegan anónimos.
La misma configuración exacta está presente en el cuadro de desarrollo sin ningún problema, lo que me indica que el problema reside en la capacidad del servidor de producción para recibir/manejar adecuadamente la información de CAC de esas personas o que algo que está sucediendo con la forma en que la seguridad El certificado se relaciona con el certificado CAC X.509 del cliente.
Un poco más de información que pueda ser útil: el navegador se indica que inicialmente solicita el CAC no tiene nada que ver con el código del Sitio, sino que se habilita aplicando el certificado de seguridad a un sitio en IIS; Por lo tanto, me indica que hay algo escrito en el certificado que busca certificados de cliente vinculados al agente ActivClient a través del navegador?
Por otra parte, probablemente no tenga idea de lo que estoy hablando, solo arrojando un hueso aquí para ver si alguien ha tenido el mismo problema o tiene alguna idea.
Gracias de antemano por cualquier opinión, pregunta o idea.
Solución
El problema era una DLL apestosa que sirve para ayudar a analizar las URL largas con muchos alias (puntos). La DLL defectuosa se había escrito en la redimentación de muchas personas de sus computadoras. Las vueltas de la computadora de violación contenían una versión antigua de una DLL utilizada por Internet Explorer llamada Urlmon.dll. La versión de la DLL que necesita debe terminar en '21073', pero la incluida en las imágenes defectuosas enumeradas anteriormente termina en '19 ..... '.
Puede confirmar esto entrando en IE7 y haciendo clic en Ayuda> sobre Internet Explorer> Información del sistema (BTN en la parte inferior)> Configuración de Internet> Internet Explorer> Versiones de archivos> Urlmon.dll
Actualización de esta DLL ha demostrado solucionar el problema con los sitios SSL seguros que tienen problemas para validar la entrada CAC/PIN que tiene largas entradas DNS (como https: //something.something.something.something.something.something).
Hay un Hotfix IE7 para esto, pero solo se instalará si no tiene ServicePack 3. Si tiene SP3, no puede ejecutar la Hotfix necesaria, porque supone que SP3 ya ha puesto en su lugar el correcto. Dll. 1. Desinstalar SP3 2. Reiniciar 3. Instale el IE7 Hotfix 4. Reiniciar 5. Ejecute actualizaciones de Microsoft a través del sitio web de actualizaciones de MS MS
Apesta, pero eso es lo que obtienes con el software de mierda como es decir, se ejecuta en un sistema operativo deficiente, luego junto con un software limitado en sus habilidades para hablar realmente con el sistema operativo.
Otros consejos
Verifique el funcionamiento de la tarjeta con otras aplicaciones.
También verifique que los certificados sean válidos (no caducados) y de otra manera similar, mismo emisor, PIN no bloqueado, etc.
Entiendo que su entorno de desarrollo funciona como desee y que su entorno de producción no lo es.
¿Ha intentado reproducir el error en otro entorno para confirmar qué comportamiento es consistente?
Tenía un problema muy similar que se resolvió pasando por alto el servidor proxy. Intente agregarlo a la lista de exención.
En es decir, ve a:
Herramientas | Opciones de Internet | Conexiones | Configuración de LAN | Avanzado
Agregue el sitio a la lista de exenciones.
Puede que no funcione para usted, pero podría valer la pena intentarlo. Como dije, funcionó para mí con un problema muy similar.
