Kullanıcı kimlik bilgileriyle ilgili ek güvenlik ve denetleme sağlamak için kuruluşunuzda akıllı kartlar kullanıyorsanız, artık kullanıcılar kimlik doğrulama bilgilerini içeren bu akıllı kartları, AD RMS kümesindeki sunuculardan haklar hesap sertifikaları (RAC) ve kullanım lisansları almak üzere kullanabilirler.

Not

Bu yordamdaki adımlarda Güvenli Yuva Katmanı (SSL) sertifikasının yüklü olduğu varsayılmıştır. SSL ekleme hakkında daha fazla bilgi için, bkz. SSL Sertifikasını Internet Information Services (IIS) Yöneticisini Kullanarak Alma.

Bu yordamın tamamlanması için en azından yerel Administrators grubu üyeliği ya da eşdeğeri gerekir.

İstemci Sertifikası Eşleme Kimlik Doğrulaması rol hizmetini eklemek için

  1. Sunucu Yöneticisi'ni açın. Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve sonra da Sunucu Yöneticisi'ni tıklatın.

  2. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, görüntülenen eylemin kullanmak istediğiniz eylem olduğunu doğrulayın ve sonra da Evet'i tıklatın.

  3. Roller'i genişletin ve ardından Web Sunucusu (IIS) öğesini tıklatın.

  4. Sonuçlar bölmesinde Rol Hizmetleri'nin altında Rol Hizmetleri Ekle'yi tıklatın.

  5. İstemci Sertifikası Eşleme Kimlik Doğrulaması onay kutusunu seçin ve ardından İleri'yi tıklatın.

  6. Yükle'yi tıklatın.

  7. Rol hizmeti eklendiğinde Kapat'ı tıklatın.

Daha sonra, IIS'de kimlik doğrulama yöntemini yapılandırın:

IIS'de kimlik doğrulama yöntemini yapılandırmak için

  1. Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Internet Information Services (IIS) Yöneticisi'ni tıklatın.

  2. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, görüntülenen eylemin kullanmak istediğiniz eylem olduğunu doğrulayın ve sonra da Evet'i tıklatın.

  3. Konsol ağacında sunucunun adını genişletin.

  4. Sunucunun Giriş sayfasının sonuçlar bölmesinde, Kimlik Doğrulama sayfasını açmak için Kimlik Doğrulama'yı çift tıklatın.

  5. Kimlik Doğrulama sayfasının sonuçlar bölmesinde, AD İstemci Sertifikası Kimlik Doğrulaması'nı sağ tıklatın ve ardından Etkinleştir'i tıklatın.

  6. IIS Yöneticisi'ni kapatın.

Son olarak, AD RMS'yi barındıran Web sitesi için istemci kimlik doğrulamasını etkinleştirin:

AD RMS'yi barındıran bir Web sitesinde istemci kimlik doğrulamasını etkinleştirmek için

  1. Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Internet Information Services (IIS) Yöneticisi'ni tıklatın.

  2. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, görüntülenen eylemin kullanmak istediğiniz eylem olduğunu doğrulayın ve sonra da Evet'i tıklatın.

  3. Konsol ağacında sunucunun adını genişletin.

  4. Siteler'i genişletin ve ardından AD RMS'yi barındıran Web sitesini genişletin. Varsayılan olarak, Web sitesinin adı Varsayılan Web sitesi'dir.

  5. Konsol ağacında _wmcs'yi genişletin, sertifika sanal dizinini (RAC'leri desteklemek için) veya lisans sanal dizinini (kullanım lisanslarını desteklemek için) sağ tıklatın ve sonra İçerik Görünümüne Geç'i tıklatın.

  6. İçerik Görünümü'nün sonuçlar bölmesinde certification.asmx veya license.asmx seçeneklerinden uygun olanı sağ tıklatın ve sonra Özellikler Görünümüne Geç'i tıklatın.

  7. Giriş sayfasındaki sonuçlar bölmesinde SSL Ayarları'nı çift tıklatın.

  8. Uygun İstemci sertifikaları ayarını (Kabul Et veya İste) seçin. İstemcilerin kimlik doğrulama bilgilerini akıllı kart sertifikası veya kullanıcı adı ve parola kullanarak girme seçeneğine sahip olmalarını istiyorsanız, istemci sertifikalarını kabul etmelisiniz. Sunucuya yalnızca akıllı kart gibi istemci tarafında sertifikaları olan istemcilerin bağlanabilmesini istiyorsanız, istemci sertifikasını gerekli kılmalısınız.

  9. Uygula'yı tıklatın.

  10. İstemci kimlik doğrulamasını hem sertifika hem de lisans için kullanmak istiyorsanız, bu yordamı tekrarlayın ancak, bu kez diğer sanal dizini seçin.

  11. IIS Yöneticisi'ni kapatın.

  12. AD RMS kümesindeki her sunucu için 1–10. adımları tekrarlayın.

Daha sonra, kimlik doğrulama yöntemini AD RMS kümesi için İstemci Sertifikası Eşleme Kimlik Doğrulaması'nı kullanmaya zorlamanız gerekir.

Applicationhost.config dosyasında istemci kimlik doğrulama yöntemini zorlamak için

  1. Yükseltilmiş bir Komut İstemi penceresi açmak için, Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı tıklatın, Komut İstemi'ni sağ tıklatın ve sonra da Yönetici olarak çalıştır'ı tıklatın.

  2. %windir%\system32\inetsrv\config klasörüne gidin.

  3. notepad applicationhost.config yazın ve ENTER tuşuna basın.

    Dikkat

    Değişiklik yapmadan önce bu dosyanın yedek bir kopyasını oluşturmalısınız.

  4. Applicationhost.config dosyasında <location path="Default Web Site/_wmcs/certification/certification.asmx"> girişine benzer bölüme gidin.

    Not

    Yukarıdaki dosyanın konumu, istemci sertifikası eşlemesini zorlamayı denediğiniz dosyaya veya sanal dizine bağlı olarak değişir.

  5. Windows kimlik doğrulamasına ek olarak akıllı kart kimlik doğrulamasına izin vermek istiyorsanız, aşağıdakileri yapın:

    1. Şu girişi:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      Şu şekilde değiştirin:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. <windowsAuthentication enabled="true" /> altına yeni bir satır ekleyin ve şunu yazın:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Yalnızca akıllı kart kimlik doğrulamasına izin vermek istiyorsanız, şunu yapın. Internet Information Services ile SSL istemci kimlik doğrulamasının gerekli olduğundan emin olun.

    1. <windowsAuthentication enabled="true" /> satırının altına yeni bir satır ekleyin ve şunu yazın:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Şu girişi:

      <windowsAuthentication enabled="true" />

      Şu şekilde değiştirin:

      <windowsAuthentication enabled="false" />

    3. Dosya'yı tıklatın, Kaydet'i tıklatın ve sonra Not Defteri'ni kapatın.

    4. Komut istemi penceresine iisreset yazın ve sonra ENTER tuşuna basın.

    Dikkat

    Komut isteminden iisreset'i çalıştırmak, Internet Information Services ile ilişkili hizmetlerin yeniden başlatılmasını sağlar.

  7. AD RMS kümesindeki her sunucu için 1–5. adımları tekrarlayın.

Bu ayarlar yapılandırıldıktan sonra, bu AD RMS kümesi tarafından yayımlanan hakları korunan içeriği açmaya çalışan bir kullanıcıya küme tarafından bir RAC veya kullanım lisansı verilmeden önce, kullanıcıdan kimlik doğrulama bilgilerini sağlaması istenir.

Ek başvurular

İçindekiler