【问题标题】:Can we use AD-based client certificate authentication with IIS when the client computer is not a member of the domain?当客户端计算机不是域的成员时,我们可以在 IIS 中使用基于 AD 的客户端证书身份验证吗?
【发布时间】:2014-04-26 21:48:35
【问题描述】:

场景:我们有一个位于 Windows Active Directory 域中的服务器,它实现了一个 Web 服务 API,用 WCF 实现,并通过 HTTPS 上的 IIS 8 公开。向 Web 服务发出请求的客户端位于域中。但是,它们应该通过 SSL 客户端证书映射到 AD 用户。即,在发出 HTTP 请求时,它们包含一个客户端证书,我希望将该证书映射到相应的 AD 用户。

我知道 IIS 支持两种客户端证书身份验证方式,IIS Client Certificate AuthenticationClient Certificate Authentication using Active Directory。我真的很想在我们的场景中使用 AD 方法,因为它可以更轻松地管理客户端证书(我们可以将证书映射到 AD 中的用户而不是 IIS 配置中)。

但是,上面链接的文档说,

[使用 Active Directory 进行客户端证书身份验证] 要求 IIS 7 服务器和客户端计算机是 Active Directory 域的成员 [...]

这表明我们不能使用这种方法,因为我们的客户端计算机不是 AD 域的一部分。但是,这对我来说真的没有意义。服务器怎么知道发出 HTTPS 请求的客户端是否在同一个域中?

那么,问题来了:我们能否通过 Active Directory 与 AD 域外的客户端一起使用客户端证书身份验证?

【问题讨论】:

    标签: wcf authentication iis active-directory client-certificates


    【解决方案1】:

    我们现在有机会在 AD 域之外的机器上实施和测试我们的解决方案。确实,它有效 - 客户端计算机确实必须是域的一部分,这里的文档似乎是错误的。

    【讨论】:

      猜你喜欢
      • 2012-09-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-01-03
      • 2018-10-20
      • 1970-01-01
      相关资源
      最近更新 更多