PKI - Общие учетные записи и Неотказуемость
Я надеюсь, что это не сталкивается идиотичного вопроса, но здесь является сценарием:
У нас есть сервер 2008R2 домен, с помощью аутентификации PKI, организованной через safenet. Для нескольких систем в нашем домене, должном разработать ограничения, несколько пользователей должны использовать единственную общую учетную запись. Этим легко управляют путем добавления общей учетной записи к их смарт-карте, но это поднимает вопрос неотказуемости. По существу:
Существует ли способ отслеживать то, какая карта вошла в общую учетную запись? или некоторый другой способ дифференцировать пользовательские использования для отслеживания, кто на самом деле использовал учетную запись в установленный срок?
При этих условиях никакая карта не имела бы только общую учетную запись, всем картам также присвоят обозначенную учетную запись пользователя им, общая учетная запись была бы вторична.
Ваша конструкция полностью обходит цель двухфакторной аутентификации. Вы взяли фактор "то, что у вас есть" и поменяли его на "то, что есть/не есть у кучи людей"
Серийный номер или уникальный идентификатор смарт-карты не передается на сервер, поэтому он не знает, какая смарт-карта была использована для аутентификации, предполагая, что учетные данные на смарт-картах все одинаковые.
Вы можете проверить вставку смарт-карт на стороне клиента, PnP Manager (UserPnp, WudfUsbccidDrv и т.д.) должен записывать некоторые уникальные события в журнал событий клиента, которые содержат серийный номер, который, вероятно, может быть использован для однозначной идентификации того, какая смарт-карта была вставлена в это время, но у вас может не быть контроля над тем, в какие клиентские системы ваши пользователи могут вставлять свои смарт-карты.
.По замыслу, мы используем разные учетные записи, чтобы различать пользователей. В этом сценарии нельзя говорить об отказе от авторства. Как вы можете доказать, что пользователь использовал свою карту, если существует несколько карт для идентификации этого пользователя и несколько человек, которым назначены эти учетные данные. Если коротко ответить на ваш вопрос, вы можете реализовать функцию отслеживания физических вставок и входов в систему, но она не выдержит аудита безопасности. Помните, что токен идентифицирует пользователя из каталога, а не человека, вставляющего карту.