Binnen mijn bedrijf is een PKI beveiligingsoplossing. Kortom alle users beschikken over een X.509 certificaat.
Deze X.509 certificaten zijn NIET afkomstig vanuit een MS Cert server, maar vanuit een niet AD specifieke 3rd party CA.
Nu zit ik met de volgende vraag:
Via de Microsoft ISA Server op basis van positieve X.509 certificaat authenticatie kan je de bijbehorende Active Directory user authoriseren.
Dit is echter alleen mogelijk mijns inziens indien ik een 1:1 mapping maak van certificate en IIS users.
Ik ben op zoek naar een werkwijze waardoor ik die mapping kan automatiseren en volledig transparant kan maken.
Indien enig referentie materiaal op internet te vinden is zou dit zeker van harte welkom zijn.
Nav feedback hieronder, hier nog wat extra info:
De hele omgeving wordt opnieuw opgezet, dus ik denk dan 2003 R2, ISA 2006.
Mbt mapping; als je externe certs gebruikt kun je een 1-op-1 maping maken in ISA tussen certs en AD users, in dat geval heb je cert-based authenticatie. Ook kun je een group mapping maken, voor cert-based access, maar dan moet een gebruiker zich nog authenticeren (inloggen).
De keuze voor externe certs is vooral gebaseerd op het feit dat deze certs al breder in gebruik zijn (er is nog wel wat meer onder ze zon dan MS :-) en het feit dat het hier een erg flexibele cert oplossing betreft.
We hebben geen optie gevonden om ofwel ISA dynamisch een CERT te latem mappen op AD users. Een statische mapping (met alle onderhoud van dien) willen we eigenlijk niet aan beginnen.....
Iedere suggestie is welkom!
Deze X.509 certificaten zijn NIET afkomstig vanuit een MS Cert server, maar vanuit een niet AD specifieke 3rd party CA.
Nu zit ik met de volgende vraag:
Via de Microsoft ISA Server op basis van positieve X.509 certificaat authenticatie kan je de bijbehorende Active Directory user authoriseren.
Dit is echter alleen mogelijk mijns inziens indien ik een 1:1 mapping maak van certificate en IIS users.
Ik ben op zoek naar een werkwijze waardoor ik die mapping kan automatiseren en volledig transparant kan maken.
Indien enig referentie materiaal op internet te vinden is zou dit zeker van harte welkom zijn.
Nav feedback hieronder, hier nog wat extra info:
De hele omgeving wordt opnieuw opgezet, dus ik denk dan 2003 R2, ISA 2006.
Mbt mapping; als je externe certs gebruikt kun je een 1-op-1 maping maken in ISA tussen certs en AD users, in dat geval heb je cert-based authenticatie. Ook kun je een group mapping maken, voor cert-based access, maar dan moet een gebruiker zich nog authenticeren (inloggen).
De keuze voor externe certs is vooral gebaseerd op het feit dat deze certs al breder in gebruik zijn (er is nog wel wat meer onder ze zon dan MS :-) en het feit dat het hier een erg flexibele cert oplossing betreft.
We hebben geen optie gevonden om ofwel ISA dynamisch een CERT te latem mappen op AD users. Een statische mapping (met alle onderhoud van dien) willen we eigenlijk niet aan beginnen.....
Iedere suggestie is welkom!
[ Voor 79% gewijzigd door Mike22april op 15-02-2007 09:43 ]
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_exif()/u/24090/hekje.gif?f=community)