Достаточно ли контроля над свойствами пользователя AD, чтобы иметь настраиваемые поля (одно только с SELF имеет разрешения на чтение) и с помощью служб сертификации для автоматического обслуживания / автоматического обновления сертификатов и помещения как открытого, так и закрытого ключей в отдельные поля в Active Directory?
Мы создаем приложение, в котором наша Active Directory является единственным источником удостоверений и полномочий, и нам необходимо реализовать подписание документов. Мы не можем придумать другого способа сохранить доступ пользователя, если он хранится где-то еще.
TL; DR Технически да, но возможность прямого доступа / изменения всего, что связано с ключами, через (S) LDAP - бесполезное занятие; Я не нашел ничего, что прямо говорило бы, что вы не можете, но я так и не нашел способа сделать это.
Судя по тому, что я обнаружил, мой подход был ошибочным; Было намного проще поддерживать отдельную базу данных эфемерных закрытых ключей, срок действия которых истекает при любом изменении пользовательских данных, и записывать все пары открытых ключей / пользователей с отметками времени, чтобы продолжить проверку подписей.