Η περιαγωγή πιστοποιήσεων επιτρέπει σε οργανισμού να αποθηκεύουν πιστοποιητικά και ιδιωτικά κλειδιά στις υπηρεσίες τομέα Active Directory (AD DS) ανεξάρτητα από την κατάσταση εφαρμογής ή τις πληροφορίες παραμέτρων.
Λειτουργία της περιαγωγής διαπιστευτηρίων
Η περιαγωγή πιστοποιήσεων χρησιμοποιεί υπάρχοντες μηχανισμούς σύνδεσης και αυτόματης εγγραφής για ασφαλή λήψη πιστοποιητικών και κλειδιών σε κάποιον τοπικό υπολογιστή κατά τη σύνδεση του χρήστη και, εάν είναι επιθυμητό, την κατάργησή τους κατά την αποσύνδεση του χρήστη. Επιπλέον, η ακεραιότητα αυτών των διαπιστευτηρίων διατηρείται υπό οποιεσδήποτε συνθήκες, για παράδειγμα όταν τα πιστοποιητικά ενημερώνονται και όταν οι χρήστες συνδέονται με περισσότερους υπολογιστές ταυτόχρονα.
Τα ακόλουθα βήματα περιγράφουν τον τρόπο λειτουργίας της περιαγωγής ψηφιακών διαπιστευτηρίων.
-
Ένας χρήστης συνδέεται με τον υπολογιστή-πελάτη που είναι συνδεδεμένος με ένα τομέα της υπηρεσίας καταλόγου Active Directory.
-
Στο πλαίσιο της διεργασίας σύνδεσης χρήστη, εφαρμόζεται στον υπολογιστή του χρήστη η Πολιτική ομάδας περιαγωγής διαπιστευτηρίων.
-
Εάν πρόκειται για την πρώτη χρήση της περιαγωγής διαπιστευτηρίων, τα πιστοποιητικά στο χώρο αποθήκευσης χρήστη στον υπολογιστή-πελάτη αντιγράφονται στην υπηρεσία τομέα Active Directory.
-
Εάν ο χρήστης διαθέτει ήδη πιστοποιητικά στην AD DS, τα πιστοποιητικά στον αποθηκευτικό χώρο του υπολογιστή-πελάτη συγκρίνονται με τα αποθηκευμένα πιστοποιητικά του χρήστη στην AD DS.
-
Εάν τα πιστοποιητικά στο χώρο αποθήκευσης του χρήστη είναι έγκυρα δεν εκτελείται καμία περαιτέρω ενέργεια. Ωστόσο, εάν στην AD DS βρίσκονται αποθηκευμένα πιο πρόσφατα πιστοποιητικά για το χρήστη, αυτά τα διαπιστευτήρια αντιγράφονται στον υπολογιστή-πελάτη. Εάν στον υπολογιστή-πελάτη βρίσκονται αποθηκευμένα πιο πρόσφατα πιστοποιητικά για το χρήστη, αυτά τα διαπιστευτήρια αντιγράφονται στην AD DS.
-
Εάν ο υπολογιστής-πελάτης χρειάζεται πρόσθετα πιστοποιητικά, διεκπεραιώνονται οι εκκρεμείς αιτήσεις αυτόματης εγγραφής πιστοποιητικών.
Σημείωση Τα πιστοποιητικά που εκδόθηκαν πρόσφατα αποθηκεύονται στο χώρο αποθήκευσης πιστοποιητικών του πελάτη και αναπαράγονται στην AD DS.
-
Όταν ο χρήστης συνδέεται με άλλον υπολογιστή-πελάτη που είναι συνδεδεμένος με τον τομέα, εφαρμόζεται η ίδια Πολιτική ομάδας, και τα διαπιστευτήρια αναπαράγονται ξανά από την AD DS. Η περιαγωγή διαπιστευτηρίων συγχρονίζει και επιλύει τις διενέξεις μεταξύ πιστοποιητικών και ιδιωτικών κλειδιών σε διάφορους υπολογιστές-πελάτες με τους οποίους συνδέεται ο χρήστης, καθώς και στην AD DS.
Σημαντικό Σε περιβάλλοντα πολλών τομέων και τομέων με πολλαπλούς ελεγκτές, τα διαπιστευτήρια είναι δυνατό να μην είναι άμεσα διαθέσιμα, όταν ο χρήστης συνδέεται με το δίκτυο με χρήση ενός ελεγκτή λίγο μετά την έκδοση ενός πιστοποιητικού σε υπολογιστή, οποίος επαληθεύει την ταυτότητα του χρήστη σε σύγκριση με ένα διαφορετικό ελεγκτή τομέα. Τα διαπιστευτήρια είναι διαθέσιμα μόνον μετά την ολοκλήρωση της αναπαραγωγής μεταξύ των δύο τομέων ή ελεγκτών τομέων.
-
Όταν λήξει το πιστοποιητικό ενός χρήστη, το παλαιό πιστοποιητικό αυτόματα αρχειοθετείται στο προφίλ του χρήστη στον υπολογιστή και στην AD DS.
Η περιαγωγή διαπιστευτηρίων εκτελείται κάθε φορά που αλλάζει ένα ιδιωτικό κλειδί ή πιστοποιητικό στον τοπικό χώρο αποθήκευσης πιστοποιητικών, όταν ο χρήστης κλειδώνει και ξεκλειδώνει τον υπολογιστή και όταν γίνεται ανανέωση της Πολιτικής ομάδας.
Όλες οι επικοινωνίες που αφορούν πιστοποιητικά μεταξύ των στοιχείων του τοπικού υπολογιστή και μεταξύ του τοπικού υπολογιστή και της AD DS είναι υπογεγραμμένες και κρυπτογραφημένες.