我正在尝试仅使用证书登录到加入域的计算机, 我想知道是否有可能,我在智能卡和虚拟智能卡上读取分配,两者都需要ping代码。 据我了解,kerberos 允许使用 PKI 证书进行身份验证,因此基本问题是否可以仅使用证书将用户登录到域? 谢谢
是的。您需要部署可以为用户颁发证书的 CA,并将 Active Directory 配置为支持证书身份验证。这涉及在每个域控制器上注册 KDC 证书并向用户颁发证书。交互式登录的证书可以存储在智能卡或TPM中,用于经典身份验证方案,也可以使用Windows Hello等更现代的方案。
基本过程如下:
- 启动证书颁发机构并生成 Kerberos/用户身份验证/智能卡证书模板(示例步骤
- 为 KDC 身份验证请求每个 DC 的证书
- 请求给定用户的证书(在智能卡上注册证书(
从那里,您可以基于每个用户要求交互式登录的证书。有很多关于如何做到这一点的指南,例如上面链接的指南。