Назад | Перейти на главную страницу

PKI - общие учетные записи и предотвращение отказа от авторства

Надеюсь, это не покажется идиотским вопросом, но вот сценарий:

У нас есть домен server 2008R2, использующий аутентификацию PKI, управляемую через safenet. Для нескольких систем в нашем домене из-за ограничений дизайна несколько пользователей должны использовать одну общую учетную запись. Этим легко управлять, добавив общую учетную запись на их смарт-карту, но это поднимает вопрос о невозможности отказа от авторства. По сути:

Есть ли способ отслеживать, с какой карты вы вошли в общую учетную запись? или какой-либо другой способ дифференцировать использование пользователей, чтобы отслеживать, кто на самом деле использовал учетную запись в данный момент?

В этих условиях ни одна карта не будет иметь только общую учетную запись, всем картам также будет назначена назначенная учетная запись пользователя, общая учетная запись будет вторичной.

Ваш дизайн полностью обходит цель двухфакторной аутентификации. Вы взяли фактор «что-то, что у вас есть» и изменили его на «что-то, чем есть / делятся группой людей».

Серийный номер или уникальный идентификатор смарт-карты не передается на сервер, поэтому он не знает, какая смарт-карта использовалась для аутентификации, при условии, что учетные данные на смарт-картах одинаковы.

Вы можете проверить вставку смарт-карт на стороне клиента, PnP Manager (UserPnp, WudfUsbccidDrv и т. Д.) Должен записывать некоторые уникальные события в журнал событий клиента, которые содержат серийный номер, который, вероятно, может использоваться для однозначной идентификации смарт-карты. был вставлен в это время, но вы можете не контролировать, в какие клиентские системы ваши пользователи могут вставлять свои смарт-карты.

По дизайну мы используем разные учетные записи пользователей, чтобы различать пользователей. В этом сценарии нельзя говорить об отказе от авторства. Как вы можете доказать, что пользователь использовал свою карту, если существует несколько карт для идентификации этого пользователя и несколько человек, которым назначены эти учетные данные. Короче говоря, вы можете реализовать функцию отслеживания физических вставок и входов в систему, но она не выдержит аудита безопасности. Помните, что токен идентифицирует пользователя из каталога, а не человека, вставляющего карту.