Отключение сильного шифрования с закрытым ключом на персональном сертификате
Мы "решили" проблему путем стандартизации на RHEL/CentOS. Это решает полную лодку других проблем мобильности также.
Что касается LDAP, мы используем его также, но интерфейс между ldap и NSS совсем не прекрасен (то же идет для любой другой сетевой службы). Если бы у меня было время, то я изучил бы развертывание nsscache вместо nss_ldap. Или возможно даже замена pam_ldap и nss_ldap с winbind, для лучше интеграции с нашей средой окон (аналогично вариант winbind, нет?).
В политике Локальной защиты машины существует политика, названная:-
Системная Криптография: Вызовите сильную ключевую защиту для пользовательских ключей, сохраненных на компьютере
Установка этого к "Вводу данных пользователем не требуется, когда новые ключи хранятся и используются", включил эту опцию, тогда как это было ранее greyed, когда установлено на "Пользователя, должен ввести пароль каждый раз, когда они используют ключ".
После того как сертификат добавляется, задержание этой политики не влияло на сертификат, только опция в мастере импорта.
Надеюсь это решение работы на Вас также.