对于Windows IIS 7.5,即使所有可见的身份验证设置都显示已禁用,也可以启用基本身份验证吗?

时间:2016-01-06 19:40:15

标签: windows authentication iis basic-authentication cac

我的基本问题

在COTS软件升级后,我们的Microsoft IIS 7.5 Web服务器开始意外地请求基本身份验证(带有用户名和密码字段的弹出对话框),而不是我们已配置的CAC SmartCard客户端身份验证。但是,查看我们知道要查看的所有标准位置,不启用基本身份验证。与工作开发服务器上的相同。是否有其他地方或方法可以启用基本身份验证,哪些可以覆盖我们的设置身份验证方案?

详细

Windows 2008 Server - 美国政府STIGed
IIS 7.5
COTS = Serena业务经理

我们正在运行一个COTS Web应用程序Serena Business Manager,我们已将其设置为从最终用户请求CAC SmartCard进行身份验证(客户端身份验证)。我们的每个用户都在其工作站安装了SmartCard读卡器和相关的读卡器软件。多年来一直运作良好。

昨天我们尝试将生产COTS应用程序从10.1.4.1升级到10.1.5.2。当测试用户在升级完成后尝试登录时,我们会出现一个意外的弹出对话框,其标题为Authentication Required,并请求输入用户名和密码。这是在服务器有机会请求CAC智能卡及其PIN之前发生的。

当我使用Google Chrome浏览器的“开发人员工具网络”标签时,我看到服务器的请求标头中有以下内容: WWW-Authenticate: Basic realm="TeamTrack"。 TeamTrack是COTS产品的原始名称。这让我相信popup auth对话框是Microsoft IIS Web服务器请求" Basic"认证。

我们不得不回滚网络和相关的数据库升级更改。

在我们的开发服务器上,我们之前已成功执行此COTS升级;没有用户名/密码验证请求。 CAC SmartCard客户端验证功能正常。

为什么我们在升级dev或测试服务器时没有看到同样的失败,你问?遗憾的是,我们的开发和测试虚拟机与我们政府托管和管理的生产虚拟机位于不同的托管设施中。我们不允许将临时VM克隆/复制到prod上,因此我们的prod VM与它们不完全匹配。我们尽力匹配配置。

在生产升级过程中,我们查找了许多可以找到身份验证设置的地方。我们发现每个设置都与开发服务器匹配。

在开发服务器上,我可以通过禁用匿名身份验证和启用基本身份验证来重新创建弹出用户名/密码对话框行为,如下所示:
1.打开IIS管理器并导航到要进行身份验证的级别 2.在“功能名称”列表中,双击“身份验证” 3.在“身份验证”页面上,选择“匿名身份验证” 4.在“操作”窗格中,单击“禁用”以禁用匿名身份验证 5.在“身份验证”页面上,选择“基本身份验证” 6.在“操作”窗格中,单击“启用”以使用默认设置进行基本身份验证 列表中的所有其他身份验证方案都已禁用。

成功设置

成功进行CAC SmartCard身份验证的设置:
A. IIS管理器> SSL设置:要求SSL已选中。在客户端证书上,选中“需要”单选按钮。 (这些都设置为将要求CAC智能卡)
B. IIS管理器&gt;身份验证:启用匿名身份验证,禁用所有其他方案 C.在&#34; bin&#34; COTS软件的目录,在Web.config XML文件中设置:<authentication mode ="Windows" />
D.在COTS软件fedsvr-core-config.xml设置文件中,设置为:
<parameter name="AllowedPrincipalAuthenticationTypes" Type="xsd:string">CLIENT_CERT</parameter>

(顺便说一句,为了实现客户端身份验证,COTS应用程序采用单点登录解决方案,这意味着在客户端进行身份验证之前,客户端和服务器之间会有多个请求和响应活动。)

COTS制造商支持部门尚未就此问题提供实质性帮助。

我的基本问题:是否有其他Windows或IIS设置或方法可以启用基本身份验证,以覆盖匿名身份验证和/或客户端证书所需的身份验证?或者,COTS产品如何更改/覆盖身份验证设置,同时保留上述设置列表?

感谢您提供的任何指导。

0 个答案:

没有答案