web-dev-qa-db-ja.com

Subversion Edge LDAP(ユーザー名とパスワードではなくCAC証明書が必要)

私がしたこと:

Windows2008サーバーにLDAPをサポートするSubversionEdge3.1.2を正常にインストールして構成しました。 LDAPユーザーを構成し、LDAP資格情報を使用してリポジトリーで問題なく作業することができます。問題はありません。よく働く!

やりたいこと:

LDAP環境に対するユーザー認証のためにクライアント証明書を要求するようにSubversionEdgeサーバーを構成する方法に関する情報を見つけるために、私は数時間検索してきました。私はそれを行う方法を示すものをまだ見つけていません。 CAC証明書を要求できるSVNクライアントがあることは知っていますが、それを要求するようにサーバーを設定する方法がわかりません。

[〜#〜]注[〜#〜]:CAC認証は既にセットアップされており、Windows環境で機能しています。 CACサポートが有効になっているTortoiseSVNクライアントがあります。

望ましい結果:

Subversion Edge Serverに対する認証を必要とするsvnコマンドを実行するときに、ActiveDirectoryのユーザー名とパスワードの代わりにCAC証明書の入力を求めます。

誰かがこれについて何か情報を持っているなら、私はそれを大いに感謝します。

[〜#〜]編集[〜#〜]:まだ掘り下げているので、何か見つけたらこの質問を更新します見つかりました。私はある程度の進歩を遂げ、間違った情報を探していたと思います。これは明らかにApache構成の問題です。サンプルのApache構成で見たSSLVerifyClientrequireをhttpd.confに追加したところ、SVNクライアントがユーザー名とパスワードではなく証明書ファイルの入力を求めてきました。

UPDATE 14 SEP 2012

さて、私はそれがいくらか機能している。これは、Apache構成の問題であるほど、Subversionの問題ではありません。私はSSPIモジュールを使用する道を進んでおり、ほとんどの場合、希望どおりに機能しています。 InternetExplorerがSSLリポジトリを参照するためにSSLで保護されたサイトを表示することにはまだいくつかの問題があります。 CAC証明書の入力を正常に要求し、その後、InternetExplorerがWebサイトを表示できないというページが表示されます。これに対処する可能性のある情報をオンラインで見つけましたが、まだ機能していません。また、AnkhSVN VisualStudioプラグインがクライアント証明書の資格情報をキャッシュしないという問題が発生しました。 SVNに関連するさまざまなことを行うと、何度もプロンプトが表示されます。

[〜#〜]リソース[〜#〜]

http://www.eperezdesigns.com/blog/articles/enable-dod-cac-authentication-on-Apache/

ApacheをDODCAC用に構成する(これはほとんど私にとっては機能していますが、SSL構成に関するInternet Explorerの問題はまだあるようですが、Firefoxでは正常に機能します)。

http://tortoisesvn.net/docs/release/TortoiseSVN_en/tsvn-serversetup-Apache.html

これには、Apacheを構成してWindowsドメインと通信できるようにするためのさまざまな構成情報が含まれています。

6
Frank Hale

CACを使用してIEを使用してサイトにアクセスする際に問題が発生しているが、サイトがFirefoxのCACで機能している場合は、Microsoftの相互証明書チェーンの問題が発生している可能性があります。

DISAのガイダンス から FBCA Cross-Certificate Remover Toolユーザーガイド

連邦ブリッジ認証局(FBCA)の相互証明書リムーバーツールは、DoD組織がマイクロソフトの相互証明書チェーンの問題に対処するのに役立つように設計されています。この問題は、いくつかの方法で現れる可能性があります。

  • ユーザーは、Common Access Card(CAC)の証明書を使用して通常アクセスできるDoDWebサイトにアクセスできない場合があります。
  • OutlookでDoD署名された電子メールが無効に見える場合があります
  • ユーザーは、検証中にOutlookまたはInternetExplorerで大幅な遅延が発生する可能性があります
  • ユーザーのCAC証明書は、DoDルート2以外のルートにチェーンされているように見える場合があります
  • ユーザーは、ワークステーションが正しく構成されていないDoD送信者から署名された電子メールを開くと、Common Policy Root Certification Authority(CA)またはFederalBridgeと相互認証された他のルートをインストールするように求められる場合があります。

FBCA Cross-Certificate Remover Tool を実行して、エラーに対処します。ユーザーガイドには、実行する必要のある追加の手順がいくつか記載されています。

1
CoverosGene