[ pylady @ 18.10.2012. 08:18 ] @
Napravila sam .Net aplikaciju, koju sam postavila na IIS server i kojoj klijenti pristupaju koristeći svoje sertifikate.
Dodala sam korenski sertifikat sertifikacionog tela koje mi je izdalo kartice u listu sertifikata kojima se veruje, tako da sada bilo ko, ko ima sertifikat koji je isto izdalo ovo sertifikaciono telo, može da pristupi aplikaciji. Zna li neko kako mogu da ograničim da tačno određeni klijenti (npr. samo njih 5 sa svojim sertifikatima), mogu da pristupe aplikaciji? Videla sam da u ranijim verzijama IIS-a može da se napravi lista Certificate Trust List, ali za IIS 7 ne postoji ta opcija.
Ili možda da u samoj aplikaciji to proveravam pregledom polja sertifikata i upoređivanjem sa nekom listom onih koji mu da pristupe aplikaciji?
Ako je neko već radio nešto slično, bila bih vrlo zahvalna na savetima.
[ mmix @ 18.10.2012. 09:09 ] @
Ja koliko znam to moze da radi samo ako vezes vertove za domenske korisnike i onda koristis ACL liste dok se stranica izvrsava u kontekstu korisnika.

Alternativno ti sama mozes da napravis svoj AC u Request Start handleru, ako user nije dosao sa validnim i konkretnim certom izbacis ga.
[ Goran Rakić @ 19.10.2012. 13:49 ] @
Prenosim iz privatne poruke, malo doterano:

Citat:

Ja sam orijentisan na GNU/Linux, tako da ovo što ti sada odgovaram pišem potpuno napamet. Pitaj i na .Net forumu ovde, neko sigurno ima iskustva iz prakse. Koliko znam ima više načina da se napravi restrikcija.

Jedna "glupa" varijanta je da ostaviš IIS-u samo proveru da li je sertifikat validan, a onda u svojoj aplikaciji odradiš sve ostalo za autorizaciju pregledom polja sertifikata i upoređivanjem u odnosu na neku listu korisnika i njihovih dozvola. Neko u listi korisnika čuva otisak celog sertifikata, to se menja kada se sertifikat zanovi, a neko zato čuva samo referencu na izdavaoca i Common Name iz sertifikata.

Neko standardno rešenje je tu valjda da imaš lokalne Windows korisnike ili korisnike u aktivnom direktorijumu (LDAP), i da onda IIS mapira sertifikat na korisnika prema pravilima iz konfiguracije. Administrator dodeljuje role i prava Windows korisnicima, a tvoja aplikacija to koristi da odradi autorizaciju. Nemam pojma koliko je jednostavno praviti neki administratorski interfejs za upravljanje nalozima niti kako se očitavaju dodeljene role i privilegije. Pogledaj ovde za više saveta kako odraditi mapiranje http://technet.microsoft.com/e...95-f372-4ec5-9968-0531274c27af


Miljane, koliko se ovo drugo rešenje često koristi u praksi? Moraju li da to budu sistemski nalozi ili se prave nalozi vezani za veb aplikaciju?

U GNU/Linux svetu takođe možeš imati korisnike u LDAP-u, međutim daleko češće to ostane neka tabela u bazi. Obično je fleksibilnije i "lakše" za implementaciju.
[ mmix @ 19.10.2012. 17:46 ] @
To resenje je prilicno dobro pod uslovom da koristis windows domene onako kako "treba", tj ako imas procese i ljude da odrzvaju domen i korisnike. Jer u osnovi taj sistem zahteva da svaki web korisnik ima windows domain account sto je samo po sebi svoj can of worms, jer nije vise pitanje sta taj user moze u web aplikaciji vec sta taj user moze na domenu. Ako ne zelis da ti taj korisnik uleti na VPN i prcka po file serveru moras da obratis malo vise paznje na administraciju sto je obicno overkill za male i srednje kompanije.

Za manje korisnike je obicno bolja prva varijanta jer je kontrola pristupa lokalizovana na aplikaciju. A nije je mnogo tesko sprovesti. Mislim da cak moze komotno da se napravi membership provider iznad toga (ako neko vec nije napravio) i da cela ta prica oko authentikacije bude potpuno transparentna za biznis deo aplikacije.
[ pylady @ 20.10.2012. 00:40 ] @
Hvala vam mnogo na odgovorima!
Čitala sam o mapiranju sertifikata na korisnike, ali mislim da ću se odlučiti za prvu varijantu. Deluje mi jednostavnije, a i radi se o manjoj kompaniji, pa se nadam da će rešenje biti zadovoljavajuće...