Client certificate authentication + Windows authentication

shadow7256
Уже с Приветом
Posts: 9388
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Client certificate authentication + Windows authentication

Post by shadow7256 »

Уважаемые,

Кто нибудь имплементировал такое? Есть веб приложение (ASP.NET MVC), настроено на Windows authentication (Active directory).

Теперь клиент хочет, чтобы было mutual authentication, чтобы когда пользователь заходит в приложение в браузере, то ему показывается popup где он может выбрать Client certificate и передать его на сервер в запросе.

Спасибо
User avatar
Flash-04
Уже с Приветом
Posts: 63377
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: Client certificate authentication + Windows authentication

Post by Flash-04 »

https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".
Not everyone believes what I believe but my beliefs do not require them to.
shadow7256
Уже с Приветом
Posts: 9388
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate authentication + Windows authentication

Post by shadow7256 »

Flash-04 wrote: 30 Jan 2020 16:06 https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".
Спасибо :) но тут только рассказывается как настроить веб сервер, чтобы он запрашивал сертификат, но у меня требования немного другие :(

Когда клиент передает сертификат на сервер, то нужно из него вытащить значение Principal Name, потом в Active Directory найти аккаунт пользователя по этому Principal name, оттуда вытащить тоже Principal name и это будет правильный логин пользователя и пользоватся дальше им.

Вообщем хрен знает как это сделать..
User avatar
liamkin
Уже с Приветом
Posts: 2603
Joined: 19 Jun 2003 20:22
Location: USA

Re: Client certificate authentication + Windows authentication

Post by liamkin »

shadow7256 wrote: 30 Jan 2020 16:33
Flash-04 wrote: 30 Jan 2020 16:06 https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".
Спасибо :) но тут только рассказывается как настроить веб сервер, чтобы он запрашивал сертификат, но у меня требования немного другие :(

Когда клиент передает сертификат на сервер, то нужно из него вытащить значение Principal Name, потом в Active Directory найти аккаунт пользователя по этому Principal name, оттуда вытащить тоже Principal name и это будет правильный логин пользователя и пользоватся дальше им.

Вообщем хрен знает как это сделать..
Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.
shadow7256
Уже с Приветом
Posts: 9388
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate authentication + Windows authentication

Post by shadow7256 »

liamkin wrote: 30 Jan 2020 17:08 Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.
Вы говорите про обычную Windows authentication. С этим проблем нет :) Наличие Client certificate это must :(
User avatar
liamkin
Уже с Приветом
Posts: 2603
Joined: 19 Jun 2003 20:22
Location: USA

Re: Client certificate authentication + Windows authentication

Post by liamkin »

shadow7256 wrote: 30 Jan 2020 17:13
liamkin wrote: 30 Jan 2020 17:08 Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.
Вы говорите про обычную Windows authentication. С этим проблем нет :) Наличие Client certificate это must :(
Нет. Я про Керберос в применении к Веб-приложениям. Работает как Single Sign-On. Т.е. юзер залогонившись в Винды, получает доступ и к нужным ему Веб-приложениям, ни вводя повторно не своего имени ни пароля.

Return to “Вопросы и новости IT”