LDAP do Subversion Edge (requer Certificado CAC e Nome de Usuário e Senha)

Navegue suas respostas
6

O que eu fiz:

Instalei e configurei com sucesso o Subversion Edge 3.1.2 com suporte a LDAP em um servidor Windows 2008. Eu configurei usuários LDAP e sou capaz de usar credenciais LDAP para trabalhar nos repositórios muito bem. Sem problemas. Funciona muito bem!

O que eu quero fazer:

Eu tenho procurado por várias horas agora na esperança de encontrar algumas informações sobre como configurar o servidor Subversion Edge para exigir certificados de cliente para autenticação do usuário em um ambiente LDAP. Eu não encontrei nada ainda que me dê uma indicação de como fazer isso. Eu sei que existem clientes SVN que são capazes de solicitar certificados CAC, mas não consigo descobrir como configurar meu servidor para exigi-lo.

NOTA : a autenticação do CAC já está configurada e funcionando no ambiente do Windows. Eu tenho o cliente TortoiseSVN que tem suporte a CAC ativado.

Resultado desejado:

Ao executar comandos svn que exigem autenticação em relação ao meu servidor de borda Subversion, quero que ele solicite meu certificado CAC em vez do meu nome de usuário e senha do Active Directory.

Se alguém tiver alguma informação sobre isso, eu agradeceria muito.

EDITAR : Ainda estou cavando, então, se descobrir algo, atualizarei essa pergunta com o que encontrei. Fiz alguns progressos e acredito que procurei a informação errada. Este aparentemente é um problema de configuração do Apache. Eu adicionei SSLVerifyClient requer que eu vi na configuração do Apache de amostra para o meu httpd.conf e agora meu cliente SVN me pede um arquivo de certificado em vez de um nome de usuário e senha.

ATUALIZAÇÃO 14 de setembro de 2012

Ok, eu trabalhei um pouco. Este não é um problema de subversão, tanto quanto é um problema de configuração do Apache. Eu tenho percorrido a estrada de usar o módulo SSPI e tenho que trabalhar principalmente do jeito que eu quero. Ainda existem alguns problemas com o Internet Explorer visualizando os sites protegidos por SSL para procurar os repositórios svn. Ele solicitará meu certificado CAC bem e depois disso eu recebo uma página que diz que o Internet Explorer não pode exibir o site. Eu encontrei algumas informações on-line que podem resolver isso, mas ainda não funcionaram. Além disso, estou tendo alguns problemas agora com o plug-in AnkhSVN Visual Studio que não armazena em cache as credenciais do certificado de cliente. Estou sendo solicitado muitas vezes quando faço várias coisas relacionadas ao SVN.

RECURSOS :

link

Colocar o Apache configurado para o DOD CAC (isso funciona principalmente para mim, ainda tem problemas com o Internet Explorer, mas a configuração SSL aparentemente funciona bem no Firefox).

link

Isso tem várias informações de configuração para configurar o Apache para que você possa conversar com um domínio do Windows.

    
por Frank Hale 12.09.2012 / 21:42

1 resposta

1

Se você estiver com problemas para usar um CAC para acessar um site com o IE, mas o site funcionar com o CAC no Firefox, talvez você esteja vendo um problema de encadeamento de certificado cruzado da Microsoft.

De orientação da DISA no Guia do usuário da ferramenta FBCA para remoção de certificados cruzados :

The Federal Bridge Certification Authority (FBCA) Cross-Certificate Remover Tool is designed to help DoD organizations address the Microsoft cross-certificate chaining issue. The issue may manifest itself in several ways:

  • Users may be unable to access DoD web sites normally accessible using certificates on their Common Access Cards (CACs)
  • DoD signed emails in Outlook may appear invalid
  • Users may experience extensive delays with Outlook or Internet Explorer during validation
  • Users' CAC certificates may appear to chain to a root beyond/other than DoD Root 2
  • Users may receive a prompt to install the Common Policy Root Certification Authority (CA) or other roots cross-certified with the Federal Bridge when opening a signed email from a DoD sender whose workstation is misconfigured

Execute a Ferramenta de remoção de certificados cruzados da FBCA para corrigir o erro. O guia do usuário descreve algumas etapas adicionais que você pode precisar realizar.

    
por 02.12.2013 / 23:00

Tags

Impressora compartilhada implementada por meio das Preferências de Política de Grupo que ainda tentam mapear impressoras, embora o GPO seja excluído. Por quê? Redefinir contagem de erros da MegaCLI