Dwa: аутентификация на основе сертификата клиента

[collection]

Пользователи наряду с простой аутентификацией, по имени и паролю,могут использовать сеансовую на основе https, интересует именно аутентификация на основе сертификатов клиента при использовании которой пользователю будет предложено ввести имя и пароль а так же выбрать сертификат клиента, отсутствие/наличие которого(как я предпологал) будет главным критерием доступа к базе.
Настроив SSL на сервере добавляем клиентский сертификат в браузер пытаемся получить доступ к почтовой базе клиента -успешно. На другой машине используем браузер без клиентского сертификата, так же получаем доступ. Выходит наличие аутентификаци по сертификату клиента нельзя рассматривать как дополнительное средство контроля доступа для dwa?

 

[puks]

Пользователи наряду с простой аутентификацией, по имени и паролю,могут использовать сеансовую на основе https

А ты простой вход обрубил?

 

[Constantin A Chervonenko]

Если клиент и сервер ОБА имеют сертификаты друг-друга, они могут однозначно взаимно аутентифицироваться и создавать закрытый SSL-ем канал. Пароли теряют всякий смысл.

 

[collection]

Спасибо всем, разобрался!
Вообщем действительно пароль по большому счету даже не нужен, можно использовать аутентификацию только по наличию соотвествующего сертификата, даже зная пароль доступ к базе через http не получить без него. Используя комбинацию пароль+сертификат, интесовало именно приминительно к webaccess redirect, получается что без сертификата и пароля доступа к почтовой базе не получить, но сертификат клиента может быть любым из доверенных, т.е. четкой привязки между именем/паролем и сертификатом пользователя нет