Active Directory - Autenticazione basata su certificato - Più certificati per utente

Question

Active Directory - Autenticazione basata su certificato - Più certificati per utente

#1 da (4 voti)

5

In primo luogo, ho una conoscenza molto limitata di AD.

Problema: autenticando gli utenti su AD utilizzando i certificati utente. Voglio autenticare l'utente su vari dispositivi (inclusi i dispositivi mobili). Ciascuno genererà il proprio certificato tramite una CA. La CA è collegata con AD, quindi l'utente effettua l'autenticazione su AD tramite certificati.

La domanda è: un account utente su AD può contenere più certificati per un singolo utente. Perché nel mio caso la chiave privata non sarà condivisa tra dispositivi (i dispositivi si connetteranno con CA per recuperare il proprio certificato di identità)

Aiuta l'aiuto

active-directory certificates certificate-authority

posta Manmay 04.04.2014 - 09:52

fonte

1 risposta

Leggi altre domande sui tag active-directory certificates certificate-authority

messaggi sonda spam a stringa casuale? Dovresti avvisare i produttori di software che il loro software è stato violato?

score 4 · Answer 1

Nel mondo di Microsoft / Active Directory, ci sono diversi modi con cui può avvenire l'autenticazione basata su certificati, ma la risposta breve è: sì, un utente può avere diversi certificati.

Nella terminologia IIS, si parla di "mappatura dei certificati", con l'opzione clientCertificateMappingAuthentication (da non confondere con iisClientCertificateMappingAuthentication ). Esistono due metodi con cui è possibile associare un determinato certificato client a un account AD utente:

L'account nell'AD può contenere una copia del certificato (non la chiave privata) nel suo attributo userCertificate .
Il server AD può estrarre l'UPN dal certificato client convalidato e utilizzarlo come nome account.

Poiché l'attributo userCertificate è multivalore, può contenere diversi certificati, quindi funziona con quello che stai cercando. Il secondo tipo di mappatura può essere complicato da configurare (il server AD deve anche avere un proprio certificato e c'è un gioco complesso con "l'archivio di certificati NTAuth enterprise") ma significa che un numero virtualmente infinito di certificati, non noto in anticipo, può mappare su un determinato account utente.