Pokud v organizaci používáte čipové karty ke zvýšení zabezpečení a řízení pověření uživatele, mohou uživatelé použít tyto čipové karty s ověřovacím pověřením k získání certifikátů certifikáty RAC a licencí od serverů v clusteru služby AD RMS.
Poznámka | |
Tento postup předpokládá, že již byl nainstalován certifikát SSL (Secure Sockets Layer). Další informace o přidání certifikátu SSL naleznete v tématu Import certifikátu SSL pomocí Správce Internetové informační služby (IIS). |
Členství v místní skupině Administrators či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.
Přidání služby rolí Ověřování pomocí mapování certifikátu klienta |
Spusťte Správce serveru. Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a klikněte na příkaz Správce serveru.
Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.
Rozbalte položku Role a klikněte na položku Webový server (IIS).
V podokně výsledků klikněte v části Služby rolí na možnost Přidat služby rolí.
Zaškrtněte políčko Ověřování pomocí mapování certifikátu klienta a klikněte na tlačítko Další.
Klikněte na tlačítko Nainstalovat.
Po přidání služby rolí klikněte na tlačítko Zavřít.
Dále nakonfigurujte metodu ověřování ve službě IIS:
Konfigurace metody ověřování ve službě IIS |
Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a poté klikněte na položku Správce Internetové informační služby.
Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.
Ve stromu konzoly rozbalte název serveru.
V podokně výsledků na domovské stránce serveru dvakrát klikněte na položku Ověřování, tím otevřete stránku Ověřování.
V podokně výsledků na stránce Ověřování klikněte pravým tlačítkem myši na položku Ověřování certifikátu klienta AD a klikněte na příkaz Povolit.
Ukončete Správce Internetové informační služby.
Nakonec povolte ověřování klienta pro webový server, který hostuje službu AD RMS:
Povolení ověřování klienta na webovém serveru hostujícím službu AD RMS |
Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a poté klikněte na položku Správce Internetové informační služby.
Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.
Ve stromu konzoly rozbalte název serveru.
Rozbalte položku Servery a potom rozbalte web hostující službu AD RMS. Ve výchozím nastavení je název webového serveru Výchozí webový server.
Ve stromu konzoly rozbalte položku _wmcs, klikněte pravým tlačítkem myši na virtuální adresář certifikace (pro podporu certifikátů RAC) nebo na virtuální adresář licencování (pro podporu licencí) a klikněte na možnost Přepnout na zobrazení obsahu.
V podokně výsledků Zobrazení obsahu klikněte pravým tlačítkem myši na položku certification.asmx nebo license.asmx a klikněte na možnost Přepnout na zobrazení funkcí.
V podokně výsledků na domovské stránce dvakrát klikněte na možnost Nastavení SSL.
Zvolte odpovídající nastavení v poli Klientské certifikáty (Přijmout nebo Požadovat). Klientské certifikáty byste měli přijmout, pokud chcete, aby klienti měli možnost zadat ověřovací pověření pomocí certifikátu čipové karty nebo uživatelského jména a hesla. Klientské certifikáty byste měli požadovat, pokud chcete, aby se ke službě připojili pouze klienti s certifikáty od klienta, například čipové karty.
Klikněte na tlačítko Použít.
Jestliže chcete použít ověřování klientů pro certifikaci i licencování, opakujte tento postup, ale vyberte druhý virtuální adresář.
Ukončete Správce Internetové informační služby.
Kroky 1-10 zopakujte pro každý server v clusteru služby AD RMS.
Dále je nutné zadat, aby metoda ověřování používala pro cluster služby AD RMS ověřování pomocí mapování certifikátu klienta.
Zadání metody ověřování klienta v souboru applicationhost.config |
Chcete-li otevřít zvýšené okno příkazového řádku, klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství, pravým tlačítkem myši klikněte na položku Příkazový řádek a poté klikněte na příkaz Spustit jako správce.
Přejděte do umístění %windir%\system32\inetsrv\config.
Zadejte notepad applicationhost.config a stiskněte klávesu ENTER.
Upozornění Před provedením změn byste měli vytvořit záložní kopii tohoto souboru.
Přejděte do části <location path="Default Web Site/_wmcs/certification/certification.asmx"> souboru applicationhost.config.
Poznámka Umístění výše uvedeného souboru závisí na souboru nebo virtuálním adresáři, kde chcete zadat mapování certifikátu klienta.
Jestliže chcete povolit ověřování pomocí čipové karty kromě ověřování v systému Windows, postupujte následujícím způsobem:
-
Změňte hodnotu:
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
na hodnotu:
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
Do části <windowsAuthentication enabled="true" /> přidejte nový řádek a zadejte:
<clientCertificateMappingAuthentication enabled="true" />
-
Změňte hodnotu:
Pokud chcete povolit pouze ověřování pomocí čipové karty, postupujte následujícím způsobem: Přesvědčte se, zda je požadováno ověřování klienta SSL pomocí Internetové informační služby.
-
Do části <windowsAuthentication enabled="true" /> přidejte nový řádek a zadejte:
<clientCertificateMappingAuthentication enabled="true" />
-
Změňte hodnotu:
<windowsAuthentication enabled="true" />
na hodnotu:
<windowsAuthentication enabled="false" />
-
Klikněte na nabídku Soubor a na příkaz Uložit a zavřete program Poznámkový blok.
-
V okně příkazového řádku zadejte příkaz iisreset a stiskněte klávesu ENTER.
Upozornění Po spuštění příkazu iisreset z příkazového řádku jsou restartovány služby spojené s Internetovou informační službou.
-
Do části <windowsAuthentication enabled="true" /> přidejte nový řádek a zadejte:
Kroky 1 - 5 zopakujte pro každý server v clusteru služby AD RMS.
Po konfiguraci tohoto nastavení se uživateli, který se pokusí o otevření obsahu chráněného na základě oprávnění publikovaného tímto clusterem služby AD RMS, zobrazí výzva k zadání ověřovacích pověření, teprve potom poskytne cluster uživateli certifikát RAC nebo licenci.