Ved hjelp av sentrallegitimasjon kan organisasjoner lagre sertifikater og privatnøkler i Active Directory-domenetjenester (AD DS) separat fra programtilstand eller konfigurasjonsinformasjon.

Slik fungerer sentrallegitimasjon

Sentrallegitimasjon bruker eksisterende mekanismer for pålogging og automatisk registrering for å laste sikkert ned sertifikater og nøkler til en lokal datamaskin hver gang en bruker logger på, og eventuelt fjerne dem når brukeren logger av. I tillegg vedlikeholdes legitimasjonenes integritet under alle forhold, for eksempel når sertifikater oppdateres eller brukere er logget på mer enn én datamaskin om gangen.

Følgende fremgangsmåte beskriver hvordan digital sentrallegitimasjon fungerer.

  1. En bruker logger på en klient som er koblet til et Active Directory-domene.

  2. Som en del av påloggingsprosessen brukes gruppepolicy for sentrallegitimasjon på brukerens datamaskin.

  3. Hvis dette er første gang sentrallegitimasjon brukes, blir sertifikatene i brukerens lager på klientmaskinen, kopiert til AD DS.

  4. Hvis brukeren allerede har sertifikater i AD DS, sammenlignes brukerens sertifikatlager på klienten med brukerens sertifikatlager i AD DS.

  5. Hvis sertifikatene i brukerens sertifikatlager er oppdatert, skjer det ikke noe mer. Hvis det imidlertid finnes nyere sertifikater for brukeren i AD DS, kopieres disse legitimasjonene til klientmaskinen. Hvis det finnes nyere sertifikater for brukeren på klienten, kopieres disse legitimasjonene til AD DS.

  6. Hvis det trengs flere sertifikater på klienten, behandles en anmodning om automatisk registrering av manglende sertifikater.

    Obs!  

    Nylig utstedte sertifikater lagres i sertifikatlageret på klienten, og replikeres til AD DS.

  7. Når brukeren logger på en annen klientdatamaskin som er koblet til domenet, brukes samme gruppepolicyinnstillingen, og legitimasjonen replikeres enda en gang fra AD DS. Sentrallegitimasjon synkroniserer og løser alle konflikter mellom sertifikater og privatnøkler fra alle klienter brukeren logger på, samt i AD DS.

    Viktig!

    I miljø med flere domener og i domener med flere domenekontrollere, kan det hende at legitimasjoner ikke blir tilgjengelig umiddelbart hvis en bruker logger på nettverket ved hjelp av en domenekontroller, like etter utstedelse av et sertifikat på en datamaskin som validerer brukerens identitet mot en annen domenekontroller. Legitimasjonen blir bare tilgjengelig etter at replikering mellom de to domenene eller domenekontrollene er fullført.

  8. Når brukerens sertifikat utløper, arkiveres det gamle sertifikatet automatisk i brukerens profil på datamaskinen og i AD DS.

Sentrallegitimasjon utløses hver gang en privatnøkkel eller et sertifikat i brukerens lokale sertifikatlager, endres, hver gang brukeren låser eller låser opp datamaskinen og hver gang gruppepolicy oppdateres.

All sertifikatrelatert kommunikasjon mellom komponenter på den lokale datamaskinen og mellom den lokale datamaskinen og AD DS, er signert og kryptert.

Innholdsfortegnelse