L'appartenenza al gruppo locale Administrators o equivalente, è il minimo indispensabile per completare questa procedura.
Per aggiungere un servizio ruolo Autenticazione mapping certificati client
Aprire Gestione server. Fare clic su Start, scegliere Strumenti di amministrazione, quindi Gestione server.
Se viene visualizzata la finestra di dialogo Controllo account utente, confermare che l'azione visualizzata sia quella desiderata e scegliere Sì.
Espandere Ruoli e quindi fare clic su Server Web (IIS).
Nel riquadro dei risultati in Riepilogo ruoli fare clic su Aggiungi ruoli.
Selezionare la casella di controllo Autenticazione mapping certificazione client e quindi fare clic su Avanti.
Fare clic su Installa.
Al termine dell'aggiunta del servizio ruolo, fare clic su Chiudi.
Configurare quindi il metodo di autenticazione in IIS:
Per configurare il metodo di autenticazione in IIS
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).
Se viene visualizzata la finestra di dialogo Controllo account utente, confermare che l'azione visualizzata sia quella desiderata e scegliere Sì.
Nell'albero della console espandere il nome del server.
Nel riquadro dei risultati della pagina Home del server fare doppio clic su Autenticazione per aprire la pagina Autenticazione.
Nel riquadro risultati della pagina Autenticazione fare clic con il pulsante destro del mouse su Autenticazione certificato client AD e quindi scegliere Abilita.
Chiudere Gestione IIS.
Attivare infine l'autenticazione client per il sito Web che ospita RMS di AD:
Per attivare l'autenticazione client in un sito Web che ospita AD RMS
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).
Se viene visualizzata la finestra di dialogo Controllo account utente, confermare che l'azione visualizzata sia quella desiderata e scegliere Sì.
Nell'albero della console espandere il nome del server.
Espandere Siti e quindi espandere il sito Web che ospita RMS di AD. Per impostazione predefinita, il nome del sito Web è Sito Web predefinito.
Nell'albero della console espandere _wmcs, fare clic con il pulsante destro del mouse sulla directory virtuale certification (per il supporto di un RAC) o sulla directory virtuale licensing (per il supporto di licenze d'uso) e quindi scegliere Passa a visualizzazione contenuto.
Nel riquadro dei risultati di Visualizzazione contenuto fare clic con il pulsante destro del mouse su certification.asmx o license.asmx e quindi scegliere Passa a visualizzazione funzionalità.
Nel riquadro dei risultati della pagina Home fare doppio clic su Impostazioni SSL.
Scegliere l'impostazione appropriata per Certificati client, ovvero Accetta o Richiedi. È consigliabile accettare i certificati client se si desidera offrire ai client la possibilità di fornire credenziali di autenticazione utilizzando un certificato smart card o un nome utente e una password. È consigliabile richiedere i certificati client quando si desidera che soltanto i client con certificati lato client, ad esempio smart card, siano in grado di connettersi al servizio.
Fare clic su Applica.
Se si desidera utilizzare l'autenticazione client sia per la certificazione sia per la gestione delle licenze, ripetere la procedura illustrata selezionando la directory virtuale alternativa.
Chiudere Gestione Internet Information Services (IIS).
Ripetere i passaggi da 1 a 10 per tutti i server del cluster RMS di AD.
Sarà quindi necessario forzare il metodo di autenticazione in modo da utilizzare Autenticazione mapping certificati client per il cluster RMS di AD.
Per forzare il metodo di autenticazione client nel file applicationhost.config
Per aprire una finestra del prompt dei comandi con privilegi elevati, fare clic su Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
Passare a %windir%\system32\inetsrv\config.
Digitare notepad applicationhost.config e quindi premere INVIO.
Attenzione Prima di apportare modifiche, è consigliabile eseguire una copia di backup di questo file. Andare alla sezione simile alla sezione <location path="Default Web Site/_wmcs/certification/certification.asmx"> del file applicationhost.config.
Nota Il percorso del file indicato sopra dipende dal file o dalla directory virtuale in cui si sta tentando di imporre il mapping dei certificati client. Se si desidera consentire l'autenticazione smart card oltre all'autenticazione di Windows, eseguire le operazioni seguenti:
-
Modificare:
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
In:
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
Aggiungere una nuova riga sotto <windowsAuthentication enabled="true" /> e quindi digitare:
<clientCertificateMappingAuthentication enabled="true" />
-
Modificare:
Se si desidera consentire solo l'autenticazione smart card, eseguire le operazioni seguenti. Verificare che sia richiesta l'autenticazione client SSL con Internet Information Services.
-
Aggiungere una nuova riga sotto <windowsAuthentication enabled="true" /> e quindi digitare:
<clientCertificateMappingAuthentication enabled="true" />
-
Modificare:
<windowsAuthentication enabled="true" />
In:
<windowsAuthentication enabled="false" />
-
Scegliere Salva dal menu File e quindi chiudere Blocco note.
-
Nella finestra del prompt dei comandi digitare iisreset e quindi premere INVIO.
Attenzione L'esecuzione di iisreset da un prompt dei comandi determinerà il riavvio dei servizi associati a Internet Information Services. -
Aggiungere una nuova riga sotto <windowsAuthentication enabled="true" /> e quindi digitare:
Ripetere i passaggi da 1 a 5 per tutti i server del cluster RMS di AD.
Dopo aver configurato le queste impostazioni, a un utente che tenterà di aprire il contenuto protetto con RMS pubblicato da questo cluster RMS di AD verrà richiesto di specificare le credenziali di autenticazione prima che il cluster fornisca un RAC o una licenza d'uso all'utente.