تسجيل الدخول إلى بطاقة CAC لا يصادق المستخدمين العشوائيين الذين يجب عليهم استخدام مستخدمي Windows و PWD

Question

وجود مشكلة مع الأفراد العشوائيين الذين يحاولون الوصول إلى موقع إنترانت مع شهادة أمان. يمكن لمعظم المستخدمين ببساطة تحديد شهادة بطاقة SmartCard/CAC الخاصة بهم ، وإدخال رقم التعريف الشخصي ، ثم يتم منحهم الوصول إلى صفحات الموقع.

ومع ذلك ، فإن الأفراد العشوائيين يدخلون رقم التعريف الشخصي الخاص بهم ، ثم يعيدون إعادة توزيعه على الفور بواسطة حوار IE ALERT لإدخال اسم المستخدم وكلمة المرور في مجالهم. إذا لم يدخلوا اسم المستخدم لمجال الشبكة وكلمة المرور MS ، فإنهم يتلقون 401.1 غير مصرح به.

إنني في حيرة من أمري بشأن سبب مطالبة هؤلاء المستخدمين (الذين يختارون نفس الشهادات مثل الشهادات الناجحة) باسم المجال/PWD. علاوة على ذلك ، فهم قادرون على الوصول إلى مواقع أخرى تتطلب CAC تجاوز شهادة الأمان.

من الممكن أن يكون رمز المستخدم غير قادر على تأسيسه عبر بطاقة CAC لموقع معين ، ولكن غير متأكد من السبب. نظرًا لأن هؤلاء المستخدمين يحصلون على 401.1 ، فإن هويتهم المرتبطة بأوراق اعتماد CAC الخاصة بهم بطريقة أو بأخرى لا يتم التحقق منها.

في IIS: لا يُسمح للمستخدمين المجهولين (لم يتم التحقق منه). مطلوب تشفير 128 بت مع SSL. يتم التحقق من مصادقة Windows المتكاملة. قبول شهادات العميل في ملف Web.Config الخاص بالموقع ، يُسمح لجميع المستخدمين ولا يتم رفض مجهول إلا.

يوجد نفس الإعداد بالضبط في مربع التطوير دون أي مشكلات على الإطلاق ، مما يشير لي إلى أن المشكلة تكمن في قدرة خادم الإنتاج على استلام/معالجة معلومات CAC بشكل صحيح من هؤلاء الأفراد أو أن شيئًا غير تقليدي يحدث بالطريقة التي يحدث بها الأمان تتعلق الشهادة بشهادة CAC X.509 الخاصة بالعميل.

مزيد من المعلومات التي قد تكون مفيدة: موجه المتصفح الذي يسأل في البداية عن CAC لا علاقة له برمز الموقع ، ولكن يتم تمكينه من خلال تطبيق شهادة الأمان على موقع في IIS ؛ وبالتالي يشير لي إلى أن هناك شيء مكتوب في الشهادة التي تبحث عن شهادات العميل المرتبطة بعامل ActivClient عبر المتصفح ؟؟؟

ثم مرة أخرى ، ربما ليس لدي أي فكرة عما أتحدث عنه ، فقط رمي العظم هنا لمعرفة ما إذا كان لدى أي شخص نفس المشكلة أو لديه أي أفكار.

شكرًا مقدمًا على أي مدخلات أو أسئلة أو أفكار.

Answer 1

كانت المشكلة عبارة عن DLL رائحة كريهة التي تعمل على المساعدة في تحليل عنوان URL الطويل مع العديد من الأسماء المستعارة (النقاط). تمت كتابة DLL الخاطئة في إعادة تصوير العديد من الأشخاص لأجهزة الكمبيوتر الخاصة بهم. احتوت عمليات إعادة الانتهاك للكمبيوتر على إصدار قديم من DLL يستخدمه Internet Explorer يسمى urlmon.dll. يجب أن ينتهي إصدار DLL الذي تحتاجه في "21073" ، لكن الإصدار المدرج في الصور المعيبة المذكورة أعلاه ينتهي في "19 .....".

يمكنك تأكيد ذلك عن طريق الانتقال إلى IE7 والنقر على تعليمات> حول Internet Explorer> معلومات النظام (BTN في أسفل)> إعدادات الإنترنت> Internet Explorer> ملفات الملف> urlmon.dll

أظهر تحديث DLL هذا الإصلاح المشكلة مع مواقع SSL الآمنة التي تواجه مشاكل في التحقق من صحة CAC/PIN التي تحتوي على إدخالات DNS طويلة (مثل https: //something.something.something.Something.Something.Oting.Oting).

يوجد في IE7 Hotfix لهذا الغرض ، ولكنه لن يتم تثبيته إلا إذا لم يكن لديك ServicePack 3. إذا كان لديك SP3 ، فلن تتمكن DLL. 1. قم بإلغاء تثبيت SP3 2. إعادة التشغيل 3. قم بتثبيت IE7 Hotfix 4. إعادة التشغيل 5. قم بتشغيل تحديثات Microsoft عبر موقع تحديثات MS Window MS

Sucks ، ولكن هذا ما تحصل عليه من خلال برنامج crappy مثل IE Run على نظام تشغيل ناقص ، ثم إلى جانب البرامج المحدودة في قدراتها على التحدث حقًا إلى نظام التشغيل.

Answer 2

تحقق من عمل البطاقة مع تطبيقات أخرى.

تحقق أيضًا من أن الشهادات صالحة (غير منتهية الصلاحية) وخلاف ذلك - نفس المصدر ، دبوس غير مقفل وما إلى ذلك.

Answer 3

أفهم أن بيئة التطوير الخاصة بك تعمل كما تريد وأن بيئة الإنتاج الخاصة بك ليست كذلك.

هل حاولت إعادة إنتاج الخطأ في بيئة أخرى لتأكيد السلوك المتسق؟

Answer 4

كان لديه مشكلة مماثلة للغاية تم حلها عن طريق تجاوز خادم الوكيل. حاول إضافتها إلى قائمة الإعفاء.

في IE ، انتقل إلى:

أدوات | خيارات الإنترنت | الاتصالات | إعدادات LAN | متقدم

إضافة موقع إلى قائمة الإعفاءات.

قد لا تعمل من أجلك ، ولكن يمكن أن تستحق المحاولة. كما قلت ، لقد نجحت بالنسبة لي مع قضية مماثلة للغاية.