PKI - общие учетные записи и отказ от авторства
Я надеюсь, что это не выглядит как идиотский вопрос, но вот сценарий:
У нас есть домен сервера 2008R2, использующий аутентификацию PKI, управляемую через safenet. Для некоторых систем в нашем домене из-за конструктивных ограничений несколько пользователей должны использовать одну общую учетную запись. Это легко сделать, добавив общую учетную запись к их смарт-карте, но это поднимает вопрос о непризнании. По существу:
Есть ли способ отследить, какая карта вошла в общую учетную запись? или каким-то другим способом дифференцировать использование пользователей, чтобы отслеживать, кто на самом деле использовал учетную запись в данный момент?
При этих условиях ни одна карта не будет иметь только общую учетную запись, все карты также будут иметь назначенную учетную запись пользователя, общая учетная запись будет вторичной.
2 ответа
Ваш дизайн полностью обходит всю цель двухфакторной аутентификации. Вы взяли фактор "что-то, что у вас есть" и изменили его на "что-то, что имеет / делит кучка людей".
Серийный номер или уникальный идентификатор смарт-карты не передается на сервер, поэтому он не знает, какая смарт-карта использовалась для аутентификации, при условии, что учетные данные на смарт-картах одинаковы.
Вы можете проверить вставку смарт-карт на стороне клиента, PnP Manager (UserPnp, WudfUsbccidDrv и т. Д.) Должен записать некоторые уникальные события в журнал событий клиента, которые содержат серийный номер, который, вероятно, может использоваться для однозначной идентификации, какая смарт-карта в какое время был вставлен, но вы не можете контролировать, в какие клиентские системы ваши пользователи могут вставлять свои смарт-карты.
По своему дизайну мы используем разные учетные записи, чтобы дифференцировать пользователей Вы не можете говорить об отказе от участия в этом сценарии. Как вы можете доказать, что пользователь использовал свою карту, если есть несколько карт для идентификации этого пользователя и несколько человек, назначенных для этих учетных данных. Если коротко ответить на ваш вопрос, вы можете реализовать функцию отслеживания физических вставок и входов в систему, но она не выдержит аудита безопасности. Помните, что токен идентифицирует пользователя из каталога, а не человека, вставляющего карту.