是否有足够的控制来控制 AD 用户属性以拥有自定义字段(只有 SELF 具有读取权限的字段)并使用证书服务自动维护/自动更新证书并将公钥和私钥放入 Active Directory 中的单独字段?
我们正在构建一个应用程序,其中 Active Directory 是身份和权限的唯一来源,我们需要实施文档签名。如果用户访问权限存储在其他地方,我们想不出任何其他方法来维护用户访问权限。
答案1
TL;DR 从技术上讲是的,但能够通过 (S)LDAP 直接访问/修改与密钥相关的任何内容是徒劳的;我没有发现任何明确说你不能做的事情,但我从来没有找到办法做到这一点。
据我所知,我的方法是错误的;维护一个单独的临时私钥数据库要容易得多,这些私钥会随着用户数据的任何变化而过期,并记录所有带有时间戳的公钥/用户对以继续验证签名。