2009-05-19 64 views
1

http://support.microsoft.com/kb/892424"対話型ログオンにはスマートカードが必要です"という設定でユーザーを認証するにはどうすればよいですか?

「対話型ログオンにはスマートカードが必要です」がActive Directoryに設定されている場合は、ランダムなパスワードが生成されます。スマートカードを利用して、WebアプリケーションからLDAPを介してユーザーを認証するにはどうすればよいですか?

ユーザーの識別方法を教えてください。証明書にアクセスする方法はありますか?私はセッションからそれを得ることができますか?

答えて

1

クライアントには、スマートカードに保存されている企業のCA署名付き証明書が既に格納されているため、HTTPSとSSLの相互認証を使用する必要があります。

サーバー認証だけでなく相互認証が使用される場合、クライアント証明書は、クライアントによるサーバー証明書(HTTPS対応の電子商取引サイトなどのより一般的な設定)であるサーバーによっても検証されます。そしてあなたはまだボーナスとして暗号化された接続を得ます。

Tomcat 6.0 SSL Configuration HOW-TO。キーポイントは、trust-store属性とclientAuth属性のCA証明書をtrueに設定することです。

ログインのauth-方法は、それぞれのWebアプリケーションのweb.xmlにCLIENT-CERTに指定する必要があります。クライアント証明書から

... 
<login-config> 
    <auth-method>CLIENT-CERT</auth-method> 
    <realm-name>Foo * Bar * Realm</realm-name> 
</login-config> 
... 

のSubjectDN属性は、ユーザを識別するために使用されます。 LDAP(またはActiveDirectory)は引き続き認証に使用できます。ユーザーがグループに属しているかどうかを確認します。

すべてを初めて設定することは困難です。ファイル

  • 使用シンプルなロールベースの許可
  • 有効CLIENT-CERTの認証に保存されているユーザー名とパスワードを持つ

    • 使用BASICのauth-method:私は次のようなアプローチをお勧めしますすべての概念を理解してもらうために、 -method +単純なロールベースの認証
    • ロールをチェックするためのLDAPの組み込み
  • 関連する問題