Subversion Edge LDAP (nécessite un certificate CAC sans nom d'user et mot de passe)

Ce que j'ai fait:

J'ai installé et configuré avec succès Subversion Edge 3.1.2 avec le support LDAP sur un server Windows 2008. J'ai configuré les users LDAP et je peux utiliser les informations d'identification LDAP pour travailler sur les repositorys très bien. Aucun problème. Fonctionne très bien!

Ce que je veux faire:

Je search depuis plusieurs heures dans l'espoir de find des informations sur la façon de configurer le server Subversion Edge pour exiger des certificates clients pour l'authentification des users contre un environnement LDAP. Je n'ai encore rien trouvé qui me donne une indication de la façon de le faire. Je sais qu'il y a des clients SVN qui sont capables de requestr des certificates CAC, mais je ne peux pas comprendre comment configurer mon server pour l'exiger.

REMARQUE : l'authentification CAC est déjà configurée et fonctionne dans l'environnement Windows. J'ai le client TortoiseSVN qui a un support CAC activé.

Résultat souhaité:

Lorsque vous exécutez des commands svn qui requièrent une authentification contre mon server Edge Subversion, je souhaite qu'il me request mon certificate CAC au lieu de mon nom d'user et de mon mot de passe Active Directory.

Si quelqu'un a des informations à ce sujet, je l'apprécierais grandement.

EDIT : Je creuse encore, si je découvre quelque chose, je vais mettre à jour cette question avec ce que j'ai trouvé. J'ai fait des progrès et je crois que j'ai cherché des informations erronées. Il s'agit apparemment d'un problème de configuration Apache. J'ai ajouté SSLVerifyClient requirejs que j'ai vu dans la configuration Apache d'exemple à mon httpd.conf et maintenant mon client SVN m'invite pour un file de certificate plutôt qu'un nom d'user et un mot de passe.

MISE À JOUR 14 SEP 2012

D'accord, j'ai fonctionné un peu. Ce n'est pas un problème de subversion autant qu'il s'agit d'un problème de configuration Apache. Je suis allé sur la route de l'utilisation du module SSPI et je l'ai surtout travaillé comme je le veux. Il existe encore des problèmes avec Internet Explorer qui visualise les sites protégés par SSL pour la navigation dans les repositorys svn. Il requestra mon certificate CAC très bien et ensuite, j'aurai une page qui indique que Internet Explorer ne peut pas afficher le site. J'ai trouvé des informations en ligne qui pourraient répondre à cette question mais n'ont pas encore fonctionné. De plus, j'ai déjà des problèmes avec le plugin AnkhSVN Visual Studio qui ne cache pas les informations d'identification des certificates clients. Je m'excuse trop souvent lorsque je fais diverses activités liées au SVN.

RESSOURCES :

http://www.eperezdesigns.com/blog/articles/enable-dod-cac-authentication-on-apache/

Obtenir Apache configuré pour DOD CAC (cela fonctionne surtout pour moi, j'ai toujours des problèmes d'Internet Explorer avec la configuration SSL apparemment, mais fonctionne bien dans Firefox).

http://tortoisesvn.net/docs/release/TortoiseSVN_en/tsvn-serversetup-apache.html

Il existe plusieurs informations de configuration pour configurer Apache afin que vous puissiez l'appeler à un domaine Windows.

One Solution collect form web for “Subversion Edge LDAP (nécessite un certificate CAC sans nom d'user et mot de passe)”

Si vous rencontrez des problèmes lors de l'utilisation d'un CAC pour accéder à un site avec IE, mais le site fonctionne avec le CAC dans Firefox, vous verrez peut-être un problème de string Microsoft Cross-Certificate.

Des conseils de DISA dans l' outil FBCA Cross-Certificate Remover Tool Guide de l'user :

L'outil de suppression de certificates croisés de l'Autorité de certificateion du pont fédéral (FBCA) est conçu pour aider les organisations de DoD à résoudre le problème de la string Microsoft Cross-Certificate Chaining. La question peut se manifester de plusieurs façons:

  • Il est possible que les users ne puissent accéder aux sites Web DoD normalement accessibles en utilisant des certificates sur leurs maps d'access commun (CAC)
  • Les e-mails signés par DD dans Outlook peuvent sembler invalides
  • Les users peuvent subir des retards importants avec Outlook ou Internet Explorer lors de la validation
  • Les certificates CAC des users peuvent sembler se connecter à une racine au-delà / autre que DoD Root 2
  • Les users peuvent recevoir une invite pour installer l'autorité de certificateion racine commune (CA) ou d'autres racines certifiées par croix avec le pont fédéral lors de l'ouverture d'un courrier électronique signé à partir d'un expéditeur DoD dont la station de travail est mal configurée

Exécutez l' outil FBCA Cross-Certificate Remover pour résoudre l'erreur. Le guide de l'user décrit certaines étapes supplémentaires que vous devrez prendre.

  • L'exécution de plusieurs services sur un port 443 est possible?
  • Server 2008 R2, Exchange 2010, événement d'erreur WMI 10
  • Migrer le directory des users sur Windows Server 2008
  • Comment installer un exécutable en tant que service Windows
  • Windows Server 2008 / R2: Modifiez la durée maximale de UserName?
  • Dell OpenManage entraînant une lenteur périodique
  • Extrates _msdcs. la réplication de la zone de search directe, comment puis-je vérifier ce qui l'utilise? et puis-je le supprimer?
  • Comment rendre AD hautement disponible pour les applications qui l'utilisent comme un service LDAP
  • Résolution de nom d'hôte sans server DNS
  • Impossible d'exécuter des utilitaires qui utilisent le réseau à partir d'un partage Windows Server 2008 DFS
  • Surveiller l'état du "type de démarrage" des services
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.