环境是WIN11、Outlook(office2019)、使用POP3收发邮件,帐号设定如下有勾选SPA验证
LDAP通讯录如下最近公司OS陆续升级WIN11,当WIN11安装OUTLOOK + HiCOS 收发邮件或开启通讯录时就会跳出"插入智慧卡"视窗,目前测试只要把SPA拿掉就不会弹出插卡视窗,但这样我需要改AD(LDAPServerIntegrity=0)变成明码传输,想请教有没有办法让我继续使用SPA验证不跳出那该死的"插入智慧卡"
原本在WIN10环境下是不会发生此问题的,搞了好几天,财务单位又必须使用,让我无法移除HiCOS了事 XD,先感谢各位了
3 个回答
- 旧至新
- 新至旧
- 最高Like数
0
Ray
iT邦大神 1 级 ‧ 2024-12-24 21:55:21
以下由 felo.ai 回答:
SPA(安全密码验证) 和智慧卡登入都是用于身份验证的技术,但它们的运作方式和应用场景有所不同。以下是这两者之间的关联及其各自的特点。
1. 定义与功能
SPA(Secure Password Authentication):
SPA是一种身份验证协议,主要用于在不安全的网络环境中安全地传输用户的密码。它通常与NTLM(NT LAN Manager)协议结合使用,通过挑战-响应的方式来验证用户身份,避免直接传输明文密码。
智慧卡登入:
智慧卡登入是一种基于硬体的身份验证方法,使用者需要插入智慧卡并输入PIN码来进行身份验证。智慧卡内部存储有用户的数位凭证,这些凭证用于证明用户的身份,并且通常与PKI(公钥基础设施)系统集成。
2. 互动与冲突
身份验证流程:
在使用智慧卡登入时,系统会检查智慧卡中的凭证是否有效,并通过域控制器进行身份验证。这一过程涉及到凭证的路径验证和撤销状态检查,这些步骤确保了智慧卡的安全性和有效性。
SPA与智慧卡的冲突:
当在Outlook等应用中启用SPA时,系统可能会优先寻找智慧卡作为身份验证方式。如果系统配置了智慧卡登入,则即使选择了SPA,系统也可能会要求插入智慧卡,这导致用户在使用SPA时出现插入智慧卡的提示。
3. 解决方案与建议
避免冲突:
若希望在使用Outlook时避免智慧卡的提示,可以考虑以下几个解决方案:
-检查Outlook的身份验证设定:确保选择的身份验证方式是用户名和密码,而不是智慧卡或SPA。
-禁用智慧卡登入:如果不需要智慧卡,可以在系统设定中禁用智慧卡登入功能,这样可以减少系统对智慧卡的依赖。
-更新相关驱动程式和工具:确保所有相关的驱动程式和工具(如HiCOS)都是最新的,并且正确配置,以避免不必要的身份验证冲突。
结论
SPA验证和智慧卡登入都是用于提高安全性的身份验证方法,但它们的运作机制和应用场景不同。在某些情况下,这两者可能会发生冲突,特别是在配置不当的情况下。了解这些技术的基本原理和相互关係,有助于用户更有效地管理身份验证过程,并减少不必要的操作提示。
-
1 -
-
菜鸡
iT邦新手 5 级 ‧
2024-12-25 09:39:00
谢谢回覆,目前邮件帐号验证没有勾SPA,在没有设定LDAP通讯录情况下是不会跳出"插入智慧卡",目前从您的回覆看起来我可能有两个做法
1.修改机码让LDAP不使用SPA验证
2.写个批次档给使用者自己开关SMARTCARD服务
修改
0
zivzhong
iT邦研究生 4 级 ‧ 2024-12-25 10:32:11
不能交由贵司 IT 单位协助处里吗?
-
1 -
-
菜鸡
iT邦新手 5 级 ‧
2024-12-25 10:39:51
呃...我就是菜鸡IT
修改
0
cmwang
iT邦大师 1 级 ‧ 2024-12-25 10:55:53
SSL/TLS和SPA是两回事,不想让LDAP走cleartext的话是要开LDAP的SSL/TLS,跟SPA与否无关....