Exportar (0) Imprimir
Expandir Tudo

Autenticar clientes usando cartões inteligentes

Aplica-se a: Windows Server 2008 R2

Se você estiver usando cartões inteligentes em sua organização para fornecer mais segurança e controle sobre as credenciais de usuário, agora, os usuários poderão usar esses cartões com credenciais de autenticação para obter RACs (certificados de direitos de contas) e usar licenças de servidores no cluster AD RMS.

noteObservação
As etapas neste procedimento supõem que um certificado SSL já foi instalado. Para obter mais informações sobre a adição de SSL, consulte Importar um certificado SSL usando o Gerenciador dos Serviços de Informações da Internet (IIS).

A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

Para adicionar o serviço de função Autenticação de Mapeamento de Certificado de Cliente
  1. Abra o Gerenciador de Servidores. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de Servidores.

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme que a ação exibida é a desejada e clique em Sim.

  3. Expanda Funções e clique em Servidor Web (IIS).

  4. No painel de resultados, em Serviços de Função, clique em Adicionar Serviços de Função.

  5. Marque a caixa de seleção Autenticação de Mapeamento de Certificado de Cliente e clique em Avançar.

  6. Clique em Instalar.

  7. Quando o serviço de função for adicionado, clique em Fechar.

Em seguida, configure o método de autenticação no IIS:

Para configurar o método de autenticação no IIS
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme que a ação exibida é a desejada e clique em Sim.

  3. Na árvore de console, expanda o nome de servidor.

  4. No painel de resultados da página Início, clique duas vezes em Autenticação para abrir a página Autenticação.

  5. No painel de resultados da página Autenticação, clique com o botão direito do mouse em Autenticação de Certificado de Cliente do AD e clique em Habilitar.

  6. Feche o Gerenciador do IIS.

Finalmente, habilite a autenticação de cliente para o site que hospeda o AD RMS:

Para habilitar a autenticação de cliente em um site que hospede o AD RMS
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme que a ação exibida é a desejada e clique em Sim.

  3. Na árvore de console, expanda o nome de servidor.

  4. Expanda Sites e o site que hospeda o AD RMS. Por padrão, o nome do site é Site Padrão.

  5. Na árvore de console, expanda _wmcs, clique com o botão direito do mouse no diretório virtual Certificação (para oferecer suporte a RACs) ou no diretório virtual Licenciamento (para oferecer suporte a licenças de uso) e clique em Alternar para Exibição de Conteúdo.

  6. No painel de resultados Exibição de Conteúdo, clique com o botão direito do mouse em certification.asmx ou license.asmx, conforme apropriado, e escolha Alternar para Exibição de Recursos.

  7. No painel de resultados da página Início, clique duas vezes em Configurações de SSL.

  8. Escolha a configuração Certificados de cliente apropriada (Aceitar ou Solicitar). Você deve aceitar certificados de cliente se desejar que os clientes tenham a opção de fornecer credenciais de autenticação usando um certificado de cartão inteligente ou um nome de usuário e uma senha. Você deve exigir certificados de cliente se desejar que apenas os clientes com certificados do lado do cliente, como cartões inteligente, possam se conectar ao serviço.

  9. Clique em Aplicar.

  10. Para usar a autenticação de cliente para certificação e licenciamento, repita este procedimento, mas selecione o diretório virtual alternativo na segunda vez.

  11. Feche o Gerenciador do IIS.

  12. Repita as etapas de 1 a 10 para cada servidor no cluster AD RMS.

Em seguida, será necessário forçar o método de autenticação a usar a Autenticação de Mapeamento de Certificado de Cliente para o cluster AD RMS.

Para forçar o método de autenticação de cliente no arquivo applicationhost.config
  1. Para abrir uma janela de Prompt de Comando privilegiada, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.

  2. Navegue até %windir%\system32\inetsrv\config.

  3. Digite notepad applicationhost.config e pressione ENTER.

    CautionCuidado
    Crie uma cópia de backup desse arquivo antes de fazer as alterações.

  4. Vá para a seção semelhante à seção <location path="Default Web Site/_wmcs/certification/certification.asmx"> do arquivo applicationhost.config.

    noteObservação
    O local do arquivo acima depende do arquivo ou diretório virtual ao qual você está tentando impor o mapeamento de certificado de cliente.

  5. Para permitir a autenticação de cartão inteligente além da autenticação do Windows, faça o seguinte:

    1. Altere:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      Para:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Adicione uma nova linha sob <windowsAuthentication enabled="true" /> e digite:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Para permitir apenas a autenticação de cartão inteligente, faça o seguinte: verifique se a autenticação de cliente SSL com os Serviços de Informações da Internet é necessária.

    1. Adicione uma nova linha sob <windowsAuthentication enabled="true" /> e digite:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Altere:

      <windowsAuthentication enabled="true" />

      Para:

      <windowsAuthentication enabled="false" />

    3. Clique em Arquivo, Salvar e feche o Bloco de Notas.

    4. No prompt de comando, digite iisreset e pressione ENTER.

    CautionCuidado
    A execução de iisreset de um prompt de comando irá reiniciar os serviços associados aos Serviços de Informações da Internet.

  7. Repita as etapas de 1 a 5 para cada servidor no cluster AD RMS.

Depois que essas configurações forem definidas, um usuário que tentar abrir um conteúdo protegido por direitos publicado por esse cluster AD RMS será solicitado a fornecer credenciais de autenticação para que o cluster lhe forneça um RAC ou uma licença de uso.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft