我希望这不会成为一个愚蠢的问题,但这是一个情景:
我们有一个服务器2008R2域,使用通过safenetpipe理的PKIauthentication。 对于我们域中的一些系统,由于devise限制,多个用户必须使用一个共享帐户。 这很容易通过将共享帐户添加到他们的智能卡来pipe理,但是这引起了不可否认的问题。 主要有:
有没有办法跟踪什么卡login到共享帐户? 或其他方式来区分用户使用情况,以跟踪谁在给定的时间实际使用帐户?
在这种情况下,没有卡只有共享帐户,所有卡也都有一个指定的用户帐户,共享帐户将是次要的。
您的devise完全避免了双因素身份validation的全部目的。 你已经采取了“你有的东西”的因素,并将其改为“一群人拥有/分享的东西”。
智能卡的序列号或唯一标识符不会传输到服务器,因此,假设智能卡上的凭证全部相同,它不知道使用哪个智能卡进行身份validation。
您可以在客户端审核智能卡的插入,PnPpipe理器(UserPnp,WudfUsbccidDrv等)应该向客户端的事件日志中写入一些唯一的事件,这些事件包含一个序列号,可能用于唯一标识哪个智能卡是在哪个时间插入的,但是您可能无法控制用户可以插入智能卡的客户端系统。