Мой экземпляр MOSS 2007 (IIS 6) использует проверку подлинности Windows и сопоставление служб каталогов IIS (против Active Directory), позволяя пользователю аутентифицироваться с использованием только своего клиентского сертификата смарт-карты без каких-либо имени пользователя и пароля и независимо от того,), к которому подключена клиентская рабочая станция. Экземпляр IIS настроен на наличие клиентских сертификатов.Требовать сертификаты клиентов, подходящие для сопоставления службы каталогов (Active Directory)?
Насколько я понимаю, для IIS, чтобы найти (в Active Directory) учетную запись, связанную с сертификатом клиента, она должна иметь возможность читать из нее «Имя пользователя-пользователя» (иногда называемое «Имя пользователя для входа в систему»).
У моей смарт-карты пользователя есть два клиентских сертификата, выданных одним и тем же корневым центром сертификации. Один указывает UPN. Другой - нет. При доступе к сайту она может выбирать любой сертификат. Если она выберет сертификат без UPN, аутентификация наверняка потерпит неудачу.
Что я могу сделать, чтобы сделать диалоговое окно выбора сертификата шоу браузера только сертификаты, которые IIS по крайней мере, имеет шанс согласования на счет (опять: DSM & AD)?
Положить более технически: как ограничить возможности выбора сертификатов клиента пользователя MOSS теми, у которых есть UPN в поле «Тема альтернативного имени»?
Насколько это точно? Я понимаю, что IIS будет запрашивать у пользователя только один сертификат. Как только пользователь выбирает сертификат, единственный способ дать пользователю еще один шанс - заставить пользователя закрыть браузер и вернуться на сайт? – lance
Нажмите ссылку «Нажмите здесь, чтобы попробовать», чтобы открыть сайт в новом окне. Вы правы в том, что нужно закрыть окно, чтобы выбрать новый сертификат. –
Я понимаю, что закрытие/window/недостаточно, а скорее, что весь/браузер/должен быть закрыт (выбрать другой сертификат)? – lance