我希望这个问题听起来不会很愚蠢,但情况是这样的:
我们有一个服务器 2008R2 域,使用通过 safenet 管理的 PKI 身份验证。对于我们域中的几个系统,由于设计限制,多个用户必须使用单个共享帐户。通过将共享帐户添加到他们的智能卡中可以轻松管理,但这引发了不可否认性的问题。本质上:
有没有办法跟踪哪张卡登录了共享帐户?或者其他方法来区分用户使用情况,以跟踪在特定时间内谁实际使用了该帐户?
在这种情况下,没有一张卡只有共享帐户,所有卡都会分配有一个指定的用户帐户,共享帐户是次要的。
答案1
您的设计完全违背了双因素身份验证的整个目的。您已将“您拥有的东西”因素更改为“一群人拥有/共享的东西”。
智能卡的序列号或唯一标识符不会传输到服务器,因此它不知道使用哪张智能卡进行身份验证,假设智能卡上的凭据都是相同的。
您可以审核客户端智能卡的插入情况,PnP 管理器(UserPnp、WudfUsbccidDrv 等)应该将一些唯一事件写入客户端的事件日志,其中包含序列号,该序列号可能用于唯一地标识在何时插入了哪张智能卡,但您可能无法控制用户可以将智能卡插入哪些客户端系统。
答案2
根据设计,我们使用不同的用户帐户来区分用户。在这种情况下,您无法谈论不可否认性。如果有多张卡可以识别此用户,并且有多个人员被分配到这些凭证,您如何证明用户已经使用了他的卡。简而言之,您可以实现跟踪物理插入和登录的功能,但它无法通过安全审计。请记住,令牌是从目录中识别用户,而不是插入卡的人。