Accesso alla scheda CAC Non autenticando gli utenti casuali che devono utilizzare il proprio utente di Windows e PWD
https://stackoverflow.com/questions/1396435
-
22-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Avere un problema con individui a caso che cercano di accedere a un sito Intranet con un certificato di sicurezza. La maggior parte degli utenti è in grado di selezionare semplicemente il proprio certificato SmartCard/CAC, inserire il numero PIN e quindi concedere l'accesso alle pagine del sito.
Tuttavia, gli individui a caso inseriscono il loro PIN e quindi vengono immediatamente rielaborati dal dialogo Alert IE per inserire il nome utente e la password del dominio. Se non inseriscono il nome utente del dominio di rete e la password MS, ricevono un 401.1 non autorizzato.
Sono confuso sul perché questi determinati utenti (che stanno selezionando gli stessi certificati di quelli di successo) vengono richiesti per il loro nome di dominio/PWD. Inoltre, sono in grado di accedere ad altri siti che richiedono un CAC per superare il certificato di sicurezza.
Possibile che un token utente non sia in grado di essere stabilito tramite una scheda CAC per il sito particolare, ma non sono sicuro del perché. Poiché questi utenti stanno ottenendo un 401.1, in qualche modo la loro identità associata alle loro credenziali CAC non è valida.
In IIS: gli utenti anonimi non sono ammessi (non controllati). La crittografia a 128 bit è richiesta con SSL. L'autenticazione di Windows integrata viene verificata. Accettare i certificati client nel file Web.config del sito che tutti gli utenti sono ammessi e vengono negati solo anonimi.
La stessa identica configurazione è presente nella casella di sviluppo senza alcun problema, indicarmi che il problema risiede sulla capacità del server di produzione di ricevere/gestire correttamente le informazioni CAC da quelle persone o che qualcosa di funky sta succedendo con il modo in cui la sicurezza Il certificato si riferisce al certificato CAC X.509 del cliente.
Un po 'più di informazioni che possono essere utili: il prompt del browser che inizialmente richiede il CAC non ha nulla a che fare con il codice del sito, ma è piuttosto abilitato applicando il certificato di sicurezza a un sito in IIS; Indicarmi così che c'è qualcosa di scritto nel certificato che cerca certificati client legati all'agente ActivClient tramite il browser ???
Poi di nuovo, probabilmente non ho idea di cosa sto parlando, solo lanciare un osso qui per vedere se qualcuno ha avuto lo stesso problema o ha qualche idea.
Grazie in anticipo per qualsiasi input, domande o idee.
Soluzione
Il problema era una DLL puzzolente che serve ad aiutare a analizzare Long URL con molti alias (punti). La DLL difettosa era stata scritta nella re-immagine di molte persone dei loro computer. I refresini del computer violanti contenevano una vecchia versione di una DLL utilizzata da Internet Explorer chiamata Urlmon.dll. La versione della DLL di cui hai bisogno dovrebbe terminare in "21073", ma quella inclusa nelle immagini difettose elencate sopra le estremità nel '19 ..... '.
Puoi confermarlo andando in IE7 e facendo clic su Aiuto> su Internet Explorer> Informazioni di sistema (BTN in basso)> Impostazioni Internet> Internet Explorer> Versioni di file> Urlmon.dll
L'aggiornamento di questa DLL ha dimostrato di risolvere il problema con siti SSL sicuri con problemi di convalida CAC/PIN che hanno voci DNS lunghe (come ad esempio https: //something.something.something.something.something.something).
C'è un hotfix IE7 per questo, ma si installerà solo se non hai ServicePack 3. Se hai SP3, non è possibile eseguire HotFix necessario, B/C presuppone che SP3 abbia già messo in atto il corretto Dll. 1. Disinstalla SP3 2. Riavvia 3. Installa IE7 HotFix 4. Riavvia 5. Esegui aggiornamenti Microsoft tramite il sito Web degli aggiornamenti MS della finestra
Fa schifo, ma è quello che ottieni con software schifoso come IE eseguito su un sistema operativo carente, quindi unito a software che è limitato nelle sue capacità di parlare veramente con il sistema operativo.
Altri suggerimenti
Controllare il funzionamento della scheda con altre applicazioni.
Verificare inoltre che i certificati siano validi (non scaduti) e altrimenti simili - stesso emittente, pin non bloccato ecc.
Capisco che il tuo ambiente di sviluppo funziona come vuoi e che il tuo ambiente di produzione non lo è.
Hai provato a riprodurre l'errore in un altro ambiente per confermare quale comportamento è coerente?
Aveva un problema molto simile che è stato risolto bypassando il server proxy. Prova ad aggiungerlo all'elenco di esenzione.
In IE, vai a:
Strumenti | Opzioni Internet | Connessioni | Impostazioni LAN | Avanzate
Aggiungi il sito all'elenco delle esenzioni.
Potrebbe non funzionare per te, ma potrebbe valere la pena provare. Come ho detto, ha funzionato per me con un problema molto simile.
