Active Directory - Autenticación basada en certificado - Múltiples certificados para el usuario

Question

Active Directory - Autenticación basada en certificado - Múltiples certificados para el usuario

#1 de Tom Leek (4 votos)

5

Primero, tengo un conocimiento muy limitado sobre AD.

Problema: autentico usuarios en AD usando certificados de usuario. Quiero autenticar al usuario en varios dispositivos (incluyendo dispositivos móviles). Cada uno generará su propio certificado a través de una CA. La CA está vinculada con AD, por lo que el usuario se autentica en AD mediante certificados.

En la pregunta es: ¿Puede una cuenta de usuario en AD mantener un certificado múltiple para un solo usuario? Porque en mi caso, la clave privada no se compartirá entre dispositivos (los dispositivos se conectarán con CA para recuperar su propio certificado de identidad)

Por favor ayuda

certificates certificate-authority active-directory

pregunta Manmay 04.04.2014 - 09:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates certificate-authority active-directory

¿Debe notificar a los proveedores de software que su software ha sido descifrado? Acción de seguridad preventiva en la aplicación de Android

score 4 · Answer 1

En el mundo de Microsoft / Active Directory, hay varias formas en que puede ocurrir la autenticación basada en certificados, pero la respuesta corta es: sí, un usuario puede tener varios certificados.

En la terminología de IIS, que se llama "asignación de certificado", con la opción clientCertificateMappingAuthentication (no debe confundirse con iisClientCertificateMappingAuthentication ). Existen dos métodos mediante los cuales un certificado de cliente determinado puede asignarse a una cuenta de AD de usuario:

La cuenta en el AD puede contener una copia del certificado (no la clave privada) en su atributo userCertificate .
El servidor AD puede extraer el UPN del certificado de cliente validado y usarlo como nombre de cuenta.

Dado que el atributo userCertificate tiene varios valores, puede contener varios certificados, por lo que esto funciona con lo que está buscando. El segundo tipo de asignación puede ser complicado de configurar (el servidor AD también debe tener un certificado propio, y existe un juego complejo con el "almacén de certificados de NTAuth empresarial") pero significa que un número virtualmente infinito de certificados, no conocido de antemano, puede asignarse a una cuenta de usuario determinada.