| ||||
| ||||
| Здравствуйте Есть УЦ и вебсистема на другой машине. В вебсистеме настроен TLS, серверный сертификат, у клиентов клиентские сертификаты, все работает. Но пользователей приходится аутентифицировать в вебсистеме используя имя и пароль. Возникла мысль, а почему бы не аутентифицировать пользователей используя клиентский сертификат? Ведь при входе в вебсистему через TLS у меня есть в переменных все параметры клиентского сертификата, в частности Serial Number. По нему же можно наверное найти в УЦ сертификат и посмотреть кому его выдали? Т.е. определить человека который пришол и по списку прав в вебсистеме показывать ему определенную страницу или не показывать... Т.е. вопрос, с помощью каких средств можно в CryptoPro УЦ по серийному номеру сертификата определить человека? Я знаю что CryptoPro УЦ может притворяться LDAP’ом. Т.е. теоретически это можно сделать с помощью LDAP’овских функций... Подскажите пожалуйста, правильное ли направление решения проблемы аутентификации я выбрал? Или может есть какой то другой путь? Вебсистема: CryptoPro CSP 2.0 + CryptoPro TLS 2.0 + Apache web server 1.3.28 + mod_ssl (Trusted TLS 1.0) + PHP 4.2.3 + Oracle DB 9.2 + SUN Solaris 8 SPARC Но в принципе перенести все это на платформу Windows 2003 Server можно легко. | ||||
| Ответы: | ||||
| ||||
| Для Windows всё проще. В IIS есть функциональность "сопоставление сертификатов клиентов". Там указывается сертификат и уч.запись, от имени которой пользователь будет действовать в системе при предъявлении этого сертификата (и закрытого ключа к нему). Эта настройка доступна (на примере 2003 Server) Диспетчер служб IIS - Свойства веб-узла или файла - Безопасность каталога (файла) - кнопка "Изменить" в разделе "Безопасные подключения" - "Разрешить сопоставление сертификатов клиентов" | ||||
Алексей