Логин карты CAC не аутентифицирует случайных пользователей, которые должны использовать своих пользователей windows и pwd
Возникла проблема со случайными лицами, пытающимися получить доступ к сайту интрасети с помощью сертификата безопасности. Большинство пользователей могут просто выбрать свой сертификат Smartcard/CAC, ввести пин-код, а затем получить доступ к страницам сайта.
Тем не менее, случайные люди вводят свой пин-код, а затем в диалоговом окне с предупреждением IE сразу же запрашивают ввод имени пользователя и пароля своего домена. Если они не введут имя пользователя и пароль своего сетевого домена, они получат 401,1 Несанкционированных.
Меня смущает вопрос, почему этим конкретным пользователям (которые выбирают те же сертификаты, что и успешные), предлагается ввести свое доменное имя / pwd. Кроме того, они могут получить доступ к другим сайтам, которым требуется сертификат CAC, чтобы пройти сертификат безопасности.
Возможно, что пользовательский токен не может быть установлен с помощью карты CAC для конкретного сайта, но не уверен, почему. Поскольку эти пользователи получают 401.1, их идентификация, связанная с их учетными данными CAC, не проверяется.
В IIS: анонимные пользователи не допускаются (не проверяются). 128-битное шифрование требуется с SSL. Встроенная проверка подлинности Windows проверена. Принятие клиентских сертификатов. В файле web.config сайта разрешены все пользователи и только анонимные пользователи.
Точно такая же настройка присутствует в блоке разработки без каких-либо проблем, что указывает мне на то, что проблема заключается в способности рабочего сервера правильно получать / обрабатывать информацию CAC от этих людей или что происходит что-то необычное с безопасностью сертификат относится к клиентскому сертификату CAC x.509.
Немного больше информации, которая может быть полезна: приглашение браузера, которое первоначально запрашивает CAC, не имеет ничего общего с кодом сайта, а скорее включается путем применения сертификата безопасности к сайту в IIS; таким образом, указывая мне, что в сертификате есть что-то, что ищет клиентские сертификаты, связанные с агентом ActivClient через браузер???
С другой стороны, я, вероятно, понятия не имею, о чем я говорю, просто бросаю кость здесь, чтобы посмотреть, есть ли у кого-то такая же проблема или есть какие-либо идеи.
Заранее спасибо за любой вклад, вопросы или идеи.
4 ответа
Проблема заключалась в вонючей DLL, которая помогает анализировать длинные URL-адреса со многими псевдонимами (точками). Дефектная DLL была записана в образ многих людей на их компьютерах. Обновления на компьютере-нарушителе содержали старую версию DLL, используемую Internet Explorer, которая называлась URLMON.dll. Версия нужной вам DLL должна заканчиваться на "21073", а та, которая указана на неисправных изображениях, перечисленных выше, заканчивается на "19.....".
Вы можете подтвердить это, зайдя в IE7 и нажав Справка> Об Internet Explorer > Информация о системе (btn внизу) > Настройки Интернета> Internet Explorer > Версии файлов> urlmon.dll
Обновление этой библиотеки DLL решило проблему с безопасными сайтами SSL, имеющими проблемы с проверкой записи CAC/pin с длинными записями DNS (например, https://something.something.something.something.something.something/).
Для этого есть исправление IE7, но оно будет установлено, только если у вас нет ServicePack 3. Если у вас есть SP3, вы не можете запустить необходимое исправление, т.к. он предполагает, что SP3 уже установил правильное DLL. 1. Удалите SP3 2. Перезагрузите 3. Установите исправление IE7 4. Перезагрузите 5. Запустите обновления Microsoft через веб-сайт обновлений Windows MS
Отстой, но это то, что вы получаете с дрянным программным обеспечением, таким как IE, работающим на несовершенной операционной системе, а затем с программным обеспечением, которое ограничено в своих способностях по-настоящему общаться с операционной системой.
Я понимаю, что ваша среда разработки работает так, как вы хотите, а ваша производственная среда - нет.
Вы пытались воспроизвести ошибку в другой среде, чтобы подтвердить, какое поведение соответствует?
Была очень похожая проблема, которая была решена путем обхода прокси-сервера. Попробуйте добавить его в список исключений.
В IE перейдите по ссылке:
Инструменты | Настройки интернета | Соединения | Настройки Lan | продвинутый
Добавить сайт в список исключений.
Может не сработать, но стоит попробовать. Как я уже сказал, это сработало для меня с очень похожей проблемой.
Проверьте работу карты с другими приложениями.
Также убедитесь, что сертификаты действительны (не имеют срока действия) и имеют аналогичные значения - тот же эмитент, PIN-код не заблокирован и т. Д.