Autenticação do site com um certificado de um domínio diferente

Navegue suas respostas
1

Minha pergunta: Existe uma maneira melhor de ativar a autenticação entre 2 domínios do que o que estou fazendo abaixo, e o Mapeamento de Nomes é a coisa certa a se usar?

Existem 2 domínios; Um é o domínio corporativo principal, o segundo é um subdomínio menor.

O domínio corporativo tem contas para todos os usuários da empresa e gera um certificado de e-mail (que suporta a autenticação de clientes). O subdomínio não pode ter confiança estabelecida com o domínio corporativo; e os usuários no subdomínio têm dois logins: um para o domínio corporativo e um para o subdomínio.

O pequeno subdomínio hospeda um site, que requer um nome de usuário e senha. Queremos usar cartões inteligentes com os certificados de email neles, portanto, o login em qualquer domínio é transparente para o usuário.

Comecei a criar manualmente os Mapeamentos de nomes para o subdomínio para o certificado de email emitido pelo domínio corporativo, mas a única maneira de saber como obter esses certificados é fazer com que os usuários me enviem um email assinado e exportar o certificado para um arquivo.

O processo é assim:

  1. O usuário me envia um e-mail assinado.
  2. Eu faço o download do certificado de usuários do e-mail assinado e o salvo em um arquivo.
  3. Execute um script que criei, que leia o certificado, encontre o usuário por endereço de e-mail no AD e crie um mapeamento de nome entre o usuário e esse certificado.

Agora, os usuários podem se autenticar no site, que procura suas credenciais no controlador de domínio do subdomínio, usando o certificado emitido pelo domínio principal.

Advertências:

  • O subdomínio não pode ter um servidor de autoridade de certificação.
  • Eu não tenho privilégios na rede corporativa.
  • Eu tenho privilégios totais no subdomínio, incluindo a configuração do servidor da Web.
por Kyle 03.09.2013 / 22:31

1 resposta

1

O certificado de confiança pode (e geralmente funciona) independentemente do AD.

Para ser pedante, se o subdomínio era um subdomínio do outro domínio do AD, uma relação de confiança já está estabelecida, mas suspeito que você tenha configurado o domínio "sub" como um novo domínio em uma nova floresta. Embora estranho, isso deve funcionar.

De qualquer forma, para que um usuário seja autenticado em um site usando um certificado de cliente, o servidor precisa confiar no certificado do cliente para autenticação, e ele precisa ter alguma forma de mapear o assunto do certificado para uma entidade de segurança ( por exemplo, um usuário). Sua solução atual faz isso e, portanto, está correta.

Se você quiser, poderá obrigar os usuários (ou o departamento de TI deles) a enviar os certificados exportados em algum formato (por exemplo, PEM) e informações sobre quais certificados correspondem a quais contas. Isso pode ou não ser mais fácil e distribuirá exatamente as mesmas informações que são distribuídas pelo email assinado por S / MIME.

    
por 04.09.2013 / 07:12

Tags

Como restringir o acesso ao servidor Visual SVN pelo endereço IP especificado? [fechadas] Proxy para proxy remoto?