私の基本的な質問
COTS ソフトウェアのアップグレード後、Microsoft IIS 7.5 Web サーバーは、構成した CAC スマートカード クライアント認証ではなく、予期せず基本認証 (ユーザー名とパスワード フィールドを含むポップアップ ダイアログ ボックス) を要求し始めます。ただし、私たちが知っているすべての標準的な場所を見ると、基本認証は有効になっていません。動作中の開発サーバーと同じです。基本認証を有効にし、設定された認証スキームをオーバーライドできる場所や方法は他にありますか?
詳細
Windows 2008 Server - 米国政府が
IIS 7.5
COTS を STIGed = Serena Business Manager
COTS Web アプリケーション、Serena Business Manager を実行しています。これは、認証 (クライアント認証) のためにエンド ユーザーから CAC SmartCard を要求するようにセットアップしました。各ユーザーは、SmartCard リーダーと関連するリーダー ソフトウェアを各自のワークステーションにインストールしています。これは何年もうまく機能しています。
昨日、本番 COTS アプリケーションをバージョン 10.1.4.1 から 10.1.5.2 にアップグレードしようとしました。アップグレードの完了後にテスト ユーザーがログインを試みると、「Authentication Required」というタイトルの予期しないポップアップ ダイアログ ボックスが表示され、ユーザー名とパスワードを要求されます。これは、サーバーが CAC SmartCard とその PIN を要求する前に発生します。
Google Chrome ブラウザの Developer Tools Network タブを使用すると、サーバーのリクエスト ヘッダーに
WWW-Authenticate: Basic realm="TeamTrack". TeamTrack は、COTS 製品の元の名前です。これにより、ポップアップ認証ダイアログは、「基本」認証を要求している Microsoft IIS Web サーバーであると思われます。
Web および関連するデータベースのアップグレードの変更をロールバックする必要がありました。
開発サーバーでは、以前にこの COTS アップグレードを正常に実行しました。ユーザー名/パスワード認証リクエストなし。CAC SmartCard クライアント認証は正しく機能します。
開発サーバーまたはテスト サーバーをアップグレードしたときに、これと同じエラーが発生しなかったのはなぜですか? 残念ながら、私たちの開発およびテスト VM は、政府がホストおよび管理する運用 VM とは別のホスティング施設にあります。ステージング VM を本番環境に複製/複製することは許可されていないため、本番環境の VM は完全には一致しません。できる限り構成を一致させようとします。
製品のアップグレード プロセス中に、認証設定を見つけることができる場所をできるだけ多く探しました。各設定は開発サーバーと一致することがわかりました。
開発サーバーでは、次のように、匿名認証を無効にして基本認証を有効にすることで、ポップアップ ユーザー名/パスワード ダイアログ ボックスの動作を再作成できます
。 1. IIS マネージャーを開き、認証するレベルに移動します。
2. [機能名] リストで、[認証] をダブルクリックします。
3. [認証] ページで、[匿名認証] を選択します。
4. [操作] ウィンドウで、[無効にする] をクリックして匿名認証を無効にします。
5. [認証] ページで、[基本認証] を選択します。
6. [操作] ウィンドウで、[有効にする] をクリックして、既定の設定で基本認証を使用します。
リスト内の他のすべての認証スキームは無効になっています。
成功した設定
CAC SmartCard 認証を成功させるための設定:
A. IIS マネージャー > SSL 設定: SSL が必要 がチェックされています。クライアント証明書で、[必須] ラジオ ボタンが選択されています。(これらは両方とも、CAC スマート カードが要求されるように設定されています)
B. IIS マネージャー > 認証: 匿名認証が有効になり、他のすべてのスキームが無効になります。
C. COTS ソフトウェアの「bin」ディレクトリの Web.config XML ファイルで、次のように設定されています<authentication mode ="Windows" />
。 D. COTS ソフトウェアの fedsvr-core-config.xml 設定ファイルで、次のように設定されています。
<parameter name="AllowedPrincipalAuthenticationTypes" Type="xsd:string">CLIENT_CERT</parameter>
(ところで、クライアント認証を実現するために、COTS アプリはシングル サインオン ソリューションを採用しています。これは、クライアントが認証される前に、クライアントとサーバー間で複数の要求と応答アクティビティが行われることを意味します。)
COTS メーカーのサポートは、この問題に関して実質的な支援を提供していません。
もう一度私の基本的な質問: 匿名認証および/またはクライアント証明書が必要な認証を上書きするために、基本認証を有効にできる他の Windows または IIS 設定または方法はありますか? または、COTS 製品は、上記の設定リストをそのままにして、認証設定をどのように変更/上書きしますか?
あなたが提供できるあらゆるガイダンスに感謝します。