Client certificate authentication + Windows authentication

[shadow7256]

Уважаемые,

Кто нибудь имплементировал такое? Есть веб приложение (ASP.NET MVC), настроено на Windows authentication (Active directory).

Теперь клиент хочет, чтобы было mutual authentication, чтобы когда пользователь заходит в приложение в браузере, то ему показывается popup где он может выбрать Client certificate и передать его на сервер в запросе.

Спасибо

[Flash-04]

https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".

[shadow7256]

https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".

Спасибо но тут только рассказывается как настроить веб сервер, чтобы он запрашивал сертификат, но у меня требования немного другие

Когда клиент передает сертификат на сервер, то нужно из него вытащить значение Principal Name, потом в Active Directory найти аккаунт пользователя по этому Principal name, оттуда вытащить тоже Principal name и это будет правильный логин пользователя и пользоватся дальше им.

Вообщем хрен знает как это сделать..

[liamkin]

https://support.microsoft.com/en-ca/hel ... rtificates

Мопед не мой, но я подобным аппом пользуюсь. При попытке открыть сайт выскакивает промпт броузера "а давай сертификат". Потом выскакивает уже системный промпт "разрешить читать сертификат".

Спасибо но тут только рассказывается как настроить веб сервер, чтобы он запрашивал сертификат, но у меня требования немного другие

Когда клиент передает сертификат на сервер, то нужно из него вытащить значение Principal Name, потом в Active Directory найти аккаунт пользователя по этому Principal name, оттуда вытащить тоже Principal name и это будет правильный логин пользователя и пользоватся дальше им.

Вообщем хрен знает как это сделать..

Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.

[shadow7256]

Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.

Вы говорите про обычную Windows authentication. С этим проблем нет Наличие Client certificate это must

[liamkin]

Все это - и клиенты и сервер в одной корпорации-конторе? Если да, то Керберос вам в руки. Я делал. Работает на ура. Никаких сертификатов. Если юзер зашел в свой домен (он же АктивДир) - то сервер автоматически его пускает.

Вы говорите про обычную Windows authentication. С этим проблем нет Наличие Client certificate это must

Нет. Я про Керберос в применении к Веб-приложениям. Работает как Single Sign-On. Т.е. юзер залогонившись в Винды, получает доступ и к нужным ему Веб-приложениям, ни вводя повторно не своего имени ни пароля.