我做了什么:
我已在 Windows 2008 服务器上成功安装并配置了支持 LDAP 的 Subversion Edge 3.1.2。我已配置 LDAP 用户,并且能够使用 LDAP 凭据在存储库上正常工作。没有任何问题。运行良好!
我想做的事:
我已经搜索了几个小时,希望能找到一些关于如何配置 Subversion Edge 服务器以要求客户端证书针对 LDAP 环境进行用户身份验证的信息。我还没有找到任何可以告诉我如何操作的信息。我知道有些 SVN 客户端能够提示 CAC 证书,但我不知道如何设置我的服务器以要求它。
笔记:CAC 身份验证已在 Windows 环境中设置并运行。我有启用了 CAC 支持的 TortoiseSVN 客户端。
期望的结果:
当运行需要针对我的 Subversion Edge Server 进行身份验证的 svn 命令时,我希望它提示我输入 CAC 证书而不是我的 Active Directory 用户名和密码。
如果有人有关于此事的任何信息我将不胜感激。
编辑:我仍在挖掘,所以如果我发现任何东西,我会用我发现的东西更新这个问题。我取得了一些进展,我相信我一直在搜索错误的信息。这显然是一个 Apache 配置问题。我将我在示例 Apache 配置中看到的 SSLVerifyClient 要求添加到我的 httpd.conf 中,现在我的 SVN 客户端提示我输入证书文件而不是用户名和密码。
2012 年 9 月 14 日更新
好的,我已经让它工作了。这不是一个颠覆性问题,而是一个 Apache 配置问题。我已经尝试使用 SSPI 模块,并且它基本上按照我想要的方式工作。在 Internet Explorer 查看用于浏览 svn 存储库的 SSL 保护站点时,仍然存在一些问题。它会提示我输入 CAC 证书,然后我会看到一个页面,提示 Internet Explorer 无法查看该网站。我在网上找到了一些信息,可能会解决这个问题,但目前还没有让它工作。此外,我现在遇到了一些问题,AnkhSVN Visual Studio 插件没有缓存客户端证书凭据。当我执行各种与 SVN 相关的事情时,我被提示的次数太多了。
资源:
http://www.eperezdesigns.com/blog/articles/enable-dod-cac-authentication-on-apache/
为 DOD CAC 配置 Apache(这对我来说基本上是有效的,Internet Explorer 仍然存在 SSL 配置问题,但是在 Firefox 中运行良好)。
http://tortoisesvn.net/docs/release/TortoiseSVN_en/tsvn-serversetup-apache.html
它具有用于配置 Apache 的各种配置信息,以便您可以让它与 Windows 域对话。
答案1
如果您在使用 CAC 通过 IE 访问网站时遇到问题,但该网站可以通过 Firefox 中的 CAC 正常运行,则您可能遇到了 Microsoft 交叉证书链问题。
从DISA 的指导在里面FBCA 交叉证书删除工具用户指南:
联邦桥梁认证机构 (FBCA) 交叉证书删除工具旨在帮助国防部组织解决 Microsoft 交叉证书链问题。该问题可能以多种方式表现出来:
- 用户可能无法访问通常可使用通用访问卡 (CAC) 上的证书访问的国防部网站
- Outlook 中国防部签名的电子邮件可能显示无效
- 用户在验证期间可能会遇到 Outlook 或 Internet Explorer 的大量延迟
- 用户的 CAC 证书可能看起来链接到 DoD Root 2 以外的根
- 用户在打开来自工作站配置错误的国防部发件人的签名电子邮件时,可能会收到安装通用策略根认证机构 (CA) 或与联邦桥交叉认证的其他根的提示
跑过FBCA 交叉证书删除工具解决错误。用户指南描述了您可能需要采取的一些其他步骤。