Jeśli w organizacji w celu zapewnienia dodatkowych zabezpieczeń i kontroli nad poświadczeniami użytkowników są używane karty inteligentne, teraz użytkownicy mogą za pomocą tych kart inteligentnych z poświadczeniami uwierzytelniania uzyskiwać Certyfikaty kont praw dostępu (RAC) i licencje użytkowania z serwerów w klastrze aplikacji Usługi AD RMS.

Uwaga

Dla potrzeb kroków tej procedury przyjęto założenie, że certyfikat SSL już został zainstalowany. Aby uzyskać więcej informacji na temat dodawania certyfikatu SSL, zobacz temat Importowanie certyfikatu SSL za pomocą Menedżera internetowych usług informacyjnych (IIS).

Do wykonania tej procedury wymagana jest przynależność użytkownika do lokalnej grupy Administratorzy albo do grupy równoważnej.

Aby dodać usługę roli Uwierzytelnianie mapowań certyfikatów klientów
  1. Otwórz program Menedżer serwera. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera.

  2. Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, upewnij się, że wyświetlana akcja jest tą, która została wywołana, a następnie kliknij przycisk Tak.

  3. Rozwiń węzeł Role, a następnie kliknij pozycję Serwer sieci Web (IIS).

  4. W okienku wyników w obszarze Usługi ról kliknij pozycję Dodaj usługi ról.

  5. Zaznacz pole wyboru Uwierzytelnianie mapowań certyfikatów klientów, a następnie kliknij przycisk Dalej.

  6. Kliknij przycisk Zainstaluj.

  7. Po dodaniu tej usługi roli kliknij przycisk Zamknij.

Następnie należy skonfigurować metodę uwierzytelniania w usługach IIS:

Aby skonfigurować metodę uwierzytelniania w usługach IIS
  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer internetowych usług informacyjnych (IIS).

  2. Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, upewnij się, że wyświetlana akcja jest tą, która została wywołana, a następnie kliknij przycisk Tak.

  3. W drzewie konsoli rozwiń węzeł nazwy serwera.

  4. W okienku wyników strony Start serwera kliknij dwukrotnie pozycję Uwierzytelnianie, aby otworzyć stronę Uwierzytelnianie.

  5. W okienku wyników strony Uwierzytelnianie kliknij prawym przyciskiem myszy pozycję Uwierzytelnianie certyfikatu klienta usługi AD, a następnie kliknij polecenie Włącz.

  6. Zamknij Menedżera usług IIS.

Na koniec należy włączyć uwierzytelnianie klienta dla witryny sieci Web obsługującej Usługi AD RMS:

Aby włączyć uwierzytelnianie klienta w witrynie sieci Web obsługującej usługi AD RMS
  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer internetowych usług informacyjnych (IIS).

  2. Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, upewnij się, że wyświetlana akcja jest tą, która została wywołana, a następnie kliknij przycisk Tak.

  3. W drzewie konsoli rozwiń węzeł nazwy serwera.

  4. Rozwiń węzeł Witryny, a następnie rozwiń węzeł witryny sieci Web obsługującej Usługi AD RMS. Domyślnie nazwa tej witryny sieci Web to Domyślna witryna sieci Web.

  5. W drzewie konsoli rozwiń węzeł _wmcs, kliknij prawym przyciskiem myszy katalog wirtualny certification (aby obsługiwać Certyfikat RAC) lub katalog wirtualny licensing (aby obsługiwać licencje użytkowania), a następnie kliknij polecenie Przełącz do widoku zawartości.

  6. W okienku wyników Widoku zawartości kliknij prawym przyciskiem myszy plik certification.asmx lub license.asmx stosownie do potrzeb, a następnie kliknij polecenie Przełącz do widoku funkcji.

  7. W okienku wyników na stronie Start kliknij dwukrotnie pozycję Ustawienia protokołu SSL.

  8. Wybierz odpowiednie ustawienie dla opcji Certyfikaty klienta (Zaakceptuj lub Wymagaj). Należy akceptować certyfikaty klientów, aby mieli oni możliwość podawania poświadczeń uwierzytelniania za pomocą certyfikatu karty inteligentnej lub nazwy użytkownika i hasła. Należy wymagać certyfikatów klientów, aby tylko klienci z certyfikatami po stronie klienta, takimi jak karty inteligentne, mogli się łączyć z usługą.

  9. Kliknij przycisk Zastosuj.

  10. Aby używać uwierzytelniania klientów zarówno do certyfikacji, jak i do licencjonowania, powtórz tę procedurę, ale za drugim razem wybierz alternatywny katalog wirtualny.

  11. Zamknij Menedżera usług IIS.

  12. Powtórz kroki od 1 do 10 dla każdego serwera w klastrze aplikacji Usługi AD RMS.

Następnie należy wymusić, aby metoda uwierzytelniania używała uwierzytelniania mapowań certyfikatów klientów dla klastra aplikacji Usługi AD RMS.

Aby wymusić metodę uwierzytelniania klientów w pliku applicationhost.config
  1. Aby otworzyć okno wiersza polecenia z pełnymi uprawnieniami, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następnie kliknij polecenie Uruchom jako administrator.

  2. Przejdź do pliku %windir%\system32\inetsrv\config.

  3. Wpisz notepad applicationhost.config, a następnie naciśnij klawisz ENTER.

    Przestroga

    Należy wykonać kopię zapasową tego pliku przed wprowadzeniem zmian.

  4. Przejdź do sekcji podobnej do sekcji <location path="Default Web Site/_wmcs/certification/certification.asmx"> pliku applicationhost.config.

    Uwaga

    Lokalizacja powyższego pliku zależy od pliku lub katalogu wirtualnego, w którym użytkownik próbuje wymusić mapowanie certyfikatów klientów.

  5. Aby zezwolić na uwierzytelnianie oparte na karcie inteligentnej oprócz uwierzytelniania systemu Windows, wykonaj poniższe czynności:

    1. Zmień:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      na:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Dodaj nowy wiersz pod wierszem <windowsAuthentication enabled="true" />, a następnie wpisz:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Aby zezwolić tylko na uwierzytelnianie oparte na karcie inteligentnej, wykonaj poniższe czynności. Upewnij się, że jest wymagane uwierzytelnianie klienta SSL za pomocą Internetowych usług informacyjnych.

    1. Dodaj nowy wiersz pod wierszem <windowsAuthentication enabled="true" />, a następnie wpisz:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Zmień:

      <windowsAuthentication enabled="true" />

      na:

      <windowsAuthentication enabled="false" />

    3. Kliknij menu Plik, kliknij polecenie Zapisz, a następnie zamknij Notatnik.

    4. W oknie wiersza polecenia wpisz iisreset, a następnie naciśnij klawisz ENTER.

    Przestroga

    Uruchomienie polecenia iisreset z wiersza polecenia spowoduje ponowne uruchomienie usług skojarzonych z Internetowymi usługami informacyjnymi.

  7. Powtórz kroki od 1 do 5 dla każdego serwera w klastrze aplikacji Usługi AD RMS.

Po skonfigurowaniu tych ustawień użytkownikowi próbującemu otworzyć zawartość chronioną prawami opublikowaną przez ten klaster aplikacji Usługi AD RMS zostanie wyświetlony monit o podanie poświadczeń uwierzytelniania, zanim ten klaster wystawi mu Certyfikat RAC lub licencję użytkowania.

Spis treści