0

ランダムな個人がセキュリティ証明書を使用してイントラネット サイトにアクセスしようとする問題。ほとんどのユーザーは、スマートカード/CAC 証明書を選択し、暗証番号を入力するだけで、サイトのページへのアクセスが許可されます。

ただし、無作為に個人が PIN を入力すると、すぐに IE 警告ダイアログによって、ドメインのユーザー名とパスワードを入力するように再度求められます。ネットワーク ドメインのユーザー名と MS パスワードを入力しない場合、401.1 Unauthorized を受け取ります。

これらの特定のユーザー (成功したものと同じ証明書を選択している) がドメイン名/pwd の入力を求められている理由について、私は混乱しています。さらに、セキュリティ証明書を通過するために CAC を必要とする他のサイトにアクセスできます。

特定のサイトの CAC カードを介してユーザー トークンを確立できない可能性がありますが、その理由は不明です。これらのユーザーは 401.1 を取得しているため、どういうわけか、CAC 資格情報に関連付けられた ID が検証されていません。

IIS の場合: 匿名ユーザーは許可されません (オフ)。SSL では 128 ビット暗号化が必要です。統合 Windows 認証がチェックされています。クライアント証明書の受け入れ サイトの web.config ファイルでは、すべてのユーザーが許可され、匿名のみが拒否されます。

まったく同じセットアップが開発ボックスにまったく問題なく存在します。これは、これらの個人からの CAC 情報を適切に受信/処理する実稼働サーバーの機能に問題があること、またはセキュリティの方法で奇妙なことが起こっていることを示しています。証明書は、クライアントの CAC x.509 証明書に関連しています。

役に立つかもしれないもう少しの情報: 最初に CAC を要求するブラウザー プロンプトは、サイトのコードとは関係なく、IIS のサイトにセキュリティ証明書を適用することで有効になります。したがって、ブラウザを介してActivClientエージェントに関連付けられたクライアント証明書を探す何かが証明書に書き込まれていることを私に示しています???

繰り返しになりますが、私はおそらく私が何について話しているのかわかりません。ここに骨を投げて、誰かが同じ問題を抱えているか、何かアイデアがあるかどうかを確認してください。

ご意見、ご質問、アイデアをお寄せいただきありがとうございます。

4

4 に答える 4

1

問題は、多くのエイリアス (ドット) を持つ長い URL を解析するのに役立つ悪臭を放つ DLL でした。欠陥のある DLL は、多くの人々のコンピューターの再イメージに書き込まれていました。違反しているコンピュータのリフレッシュには、Internet Explorer で使用される URLMON.dll という古いバージョンの DLL が含まれていました。必要な DLL のバージョンは '21073' で終わる必要がありますが、上記の障害のあるイメージに含まれているものは '19.....' で終わります。

これを確認するには、IE7 に移動し、[ヘルプ] > [Internet Explorer について] > [システム情報] (下部のボタン) > [インターネットの設定] > [Internet Explorer] > [ファイルのバージョン] > [urlmon.dll] をクリックします。

この DLL を更新すると、長い DNS エントリ ( https://something.something.something.something.something.somethingなど) を持つ CAC/pin エントリの検証に問題があるセキュアな SSL サイトの問題が修正されることが示されています。

これには IE7 ホットフィックスがありますが、ServicePack 3 がない場合にのみインストールされます。SP3 がある場合は、必要なホットフィックスを実行できません。 DLL。1. SP3 をアンインストールします。 2. 再起動します。 3. IE7 Hotfix をインストールします。 4. 再起動します。 5. Window MS 更新 Web サイトから Microsoft Update を実行します。

最悪ですが、IE のような粗末なソフトウェアを欠陥のあるオペレーティング システムで実行し、さらにオペレーティング システムと通信する機能が制限されたソフトウェアを組み合わせた場合に得られるものです。

于 2010-03-09T22:28:40.800 に答える
0

開発環境は希望どおりに機能し、本番環境はそうではないことを理解しています。

どの動作が一貫しているかを確認するために、別の環境でエラーを再現しようとしましたか?

于 2009-09-09T12:38:28.493 に答える
0

プロキシサーバーをバイパスすることで解決された非常によく似た問題がありました。除外リストに追加してみてください。

IE で、次の場所に移動します。

ツール | インターネット オプション | 接続 | LAN 設定 | 高度

サイトを除外リストに追加します。

うまくいかないかもしれませんが、試してみる価値はあります。私が言ったように、非常によく似た問題でうまくいきました。

于 2009-10-22T21:57:57.640 に答える
0

他のアプリケーションでカードの機能を確認してください。

また、証明書が有効である (有効期限が切れていない) こと、およびその他の点で類似していること (発行者が同じであること、PIN がロックされていないことなど) を確認してください。

于 2009-09-09T12:31:19.163 に答える