SharePoint 2007的域认证与表单认证双因素认证详解

在SharePoint站点的管理中，实现域认证和表单认证的双重认证是一个重要的安全策略，特别是在需要与企业已有身份管理系统集成的情况下。SharePoint Server 2007引入了新的用户管理机制，利用ASP.NET 2.0的MembershipProvider功能，这使得管理员能够灵活地将用户认证扩展到非Active Directory环境，如LDAP服务器或自建的OA系统。 首先，为了实现双重认证，我们需要在SharePoint Server 2007中启用表单认证。这意味着用户登录时，除了常规的Windows身份验证之外，还需要通过一个自定义的表单提交用户名和密码。为此，你需要创建一个FORM认证数据库，可以使用Visual Studio创建一个新的Web站点，并通过SQL Server的aspnet_regsql.exe工具创建aspnetdb数据库，用于存储用户身份验证信息。 在配置过程中，要在现有的网站基础上扩展一个新的Web应用程序，例如从http://moss.3322.org 更改为 http://www.sharepoint.org.cn，确保新站点设置为允许匿名访问，并且区域选择为Internet，以适应表单认证的需求。原有的Windows认证模式需要被修改为表单认证，通过编辑验证设置，输入正确的MembershipProvider名称和角色管理器信息，保存配置。 编辑web.config文件时，可以看到新的表单认证相关的配置，如 `<authentication mode="Forms">` 和 `<forms>` 标签，这些设置会指示浏览器向指定的提供程序发送用户凭据进行身份验证。这样，当用户访问该站点时，他们会先经历Windows身份验证，然后在表单中输入用户名和密码进行二次验证。 双重认证的优势在于提高了安全性，防止未经授权的访问，同时又充分利用了企业已有的认证基础设施。这在企业环境中尤其重要，因为它减少了对AD的依赖，并且在需要公开访问或混合环境中提供了更好的控制。需要注意的是，管理和维护这样的配置可能需要一定的技术知识和经验，以确保系统的稳定运行和安全性。