remus 10 Geschrieben 14. Oktober 2005 Melden Teilen Geschrieben 14. Oktober 2005 Hallo zusammen, habe Verständnisprobleme bezügl. Certs IIS+AD und würde Rat Literatur- und Linkhinweise gerne annehmen. MS$ ? Hilfe etc hilft grad nicht wirklich. Daher: a) Im IIS müssen zur Authentifizierung bei der 1:1 Zuordnung von Cert-->Benutzerkonto das Konto und dessen KENNWORT eingegeben werden... Der IIS Admin kriegt doch nie das Kennwort jedes einzelnen users ? oder was ist hier wie gemeint....? b) Im AD users+computers gibt es für jeden user/comp: zum Einen unter properties den Bereich Published Certificates und zum Anderen unter sec. Maustaste das Name Mapping = Security Identity Mapping mit den Bereichen : Zertifikate (X509) + Kerberos. Wozu bitte wird welcher Bereich verwendet wo sind Unterschiede etc? name mapping -versus- published certs ? c) Zur Authentufizierung über IIS kann die AD-Zuordnung aktiviert werden. Wie geschiet und was bewirkt das? Mein Infostand: Damit werden jegliche IIS-Zertifikatszuordnungen deaktiviert. Wo sind hier die Schalter? und zuguterletzt d) IIS kann z.B. bei Webseiten-Bezug von anderer Stelle/Server die Identität eines anderen users übernehmen (geht einzig für "_Jusr_Comp" Recht: lokal anmelden und mehrfach mit Kerberos )(Delegierung), um einem Anwender Zugriff auf die (externe) Ressource zu geben. Mhh. Reicht es den Schalter zu setzen: "zu Delegierungszwecken vertrauen"? Vermutlich nicht, wo gibt es Erfahrungswerte etc? Freue mich über jeden konkreten Hinweis. Danke vorab und Grüße, Harold Zitieren Link zu diesem Kommentar
remus 10 Geschrieben 21. Oktober 2005 Autor Melden Teilen Geschrieben 21. Oktober 2005 hier bietet MS Press Werk 973 Brian Komar S. 347 ff sehr exacte Antworten - schade, hab ich leider selber herausgefunden. Zitieren Link zu diesem Kommentar
MikeG 10 Geschrieben 14. Mai 2006 Melden Teilen Geschrieben 14. Mai 2006 Ich stehe auch vor dieser Frage, allerdings habe ich das Buch nicht. Wie sieht es da nun wirklich aus? Verschiedene Quelle im Netz (http://www.htl-vil.ac.at/iishelp/iis/htm/core/iimapsc.htm#aboutmap ) geben vor, das 1:1 und n:1 mit der Aktivierung unwirksam werden würden. Technet schweigt sich über das Thema aus. Kann man von der Aussage bei oben genannter Adresse davon ausgehen, das es korrekt ist? Eine Testumgebung sollte nach meiner Ansicht folgendermaßen aufgebaut werden: 1. 2k3-Server mit AD und IIS 2. Client1 als AD-Mitglied 3. Client2 ohne AD 4. Benutzer im AD angemeldet an Client 1 5. Benutzer aus lokaler SAM von Client 2 mit Zertifikat einer öffentlichen Stelle (z.B. Verisign) oder einer anderen eigenständigen Root-CA. Hier kommt mir schon das erste Problem entgegen: Muss das Zertifikat der Stammzertifikatsstelle in der Liste der Vertrauenswürdigen Herausgeber des IIS sein? Nach meiner Meinung ja Für ein Zertifikat zum Test von Verisign und Konsorten habe ich leider nicht das nötige Kleingeld. Ich wäre dankbar, wenn mir mal jemand Licht ins Dunkle bringt und zumindest die erste Frage beantwortet. Vielen Dank Mike Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.