Назад | Перейти на главную страницу

Могут ли службы сертификации MS AD поддерживать в активном каталоге как открытые, так и закрытые ключи?

Достаточно ли контроля над свойствами пользователя AD, чтобы иметь настраиваемые поля (одно только с SELF имеет разрешения на чтение) и с помощью служб сертификации для автоматического обслуживания / автоматического обновления сертификатов и помещения как открытого, так и закрытого ключей в отдельные поля в Active Directory?

Мы создаем приложение, в котором наша Active Directory является единственным источником удостоверений и полномочий, и нам необходимо реализовать подписание документов. Мы не можем придумать другого способа сохранить доступ пользователя, если он хранится где-то еще.

TL; DR Технически да, но возможность прямого доступа / изменения всего, что связано с ключами, через (S) LDAP - бесполезное занятие; Я не нашел ничего, что прямо говорило бы, что вы не можете, но я так и не нашел способа сделать это.

Судя по тому, что я обнаружил, мой подход был ошибочным; Было намного проще поддерживать отдельную базу данных эфемерных закрытых ключей, срок действия которых истекает при любом изменении пользовательских данных, и записывать все пары открытых ключей / пользователей с отметками времени, чтобы продолжить проверку подписей.