Аутентификация карты общего доступа (CAC) DOD

Question

Я разобрался со всеми необходимыми шагами, чтобы заставить аутентификацию сертификата клиента на основе карты DOD CAC работать в Apache, но сейчас я пытаюсь получить хороший GUID для пользователя из полученного сертификата. Имеется ли в сертификате GUID, который не изменится при обновлении карты CAC? Я думал об использовании SSL_CLIENT_S_DN, который выглядел бы примерно так:

/ C = US / O = U.S. Правительство / OU = DoD / OU = ИПК / OU = ИСПОЛНИТЕЛЬ / CN = LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789

но я слышал, что номер на конце изменяется при обновлении карты CAC. Это правда? Есть ли лучшая информация для GUID? Я также хотел бы получить адрес электронной почты пользователей, но я не вижу его доступным в информации, которую я получаю из сертификата. Адрес электронной почты доступен в каком-то пользовательском расширении, которое я не вижу?

Спасибо!

Answer 1

Мы сталкивались с множеством случаев, когда это число в конце изменяется. В конечном итоге нас избили с помощью процесса, при котором если пользователь получает новый CAC, мы требуем, чтобы пользователь повторно связал эту новую карту со своей учетной записью. Это процесс в большинстве систем DoD, таких как DKO (Defense Knowledge Online) и другие. Если в нашей базе данных нет предоставленных данных сертификата CAC, пользователь должен войти в систему, используя имя пользователя и пароль. Если учетные данные верны, идентифицирующая информация этого CAC связана с учетной записью пользователя в системе.

По крайней мере, так мы это сделали.

И, если получить доступ к адресу электронной почты, @harningt верен. Это зависит от того, какой сертификат вам предоставлен.

Answer 2

Я уверен, что вы уже все выяснили свои ответы. Но для других, приходящих на этот пост позже, просто пара замечаний:

Это справочный сайт DISA: http://iase.disa.mil/pki-pke/

PKI - это инфраструктура, PKE включает ваши компьютеры / серверы / приложения с аутентификацией PKI

Это руководство по началу работы администратора PKE:

http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx

Answer 3

PIN-код DOD EDI НЕ должен изменяться.

Я могу привести множество примеров, когда вы можете перейти на сайт DOD411 (требуется CAC), чтобы найти кого-то, и он покажет сертификаты того времени, когда он был подрядчиком, а затем снова покажет того же человека, теперь как гражданское лицо DOD. (мы видим это много с новыми сотрудниками).

Я только что посмотрел одного из наших новых сотрудников, который по-разному работал в военно-воздушных силах, затем подрядчиком для военно-морского флота, затем подрядчиком для армии, и теперь работает на нас как гражданское лицо DA.

Тот же PIN DOD EDI.

CN (общее имя) может измениться (например, в результате брака), но десятизначный DOD EDI не должен измениться.

Что касается какого сертификата для аутентификации, большинство сайтов проходят аутентификацию на основании сертификата электронной почты, но некоторые используют вместо этого сертификат идентификации.

Mike

Answer 4

Во-первых, многие сайты DOD с поддержкой PKI должны поддерживать аппаратные токены, выпущенные через коммерческие центры сертификации, которые участвуют в программе ECA DOD (Verisign, IdenTrust, ORC). Эти сертификаты, выданные ECA, даже не включают этот «номер», DOD EDI PN.

Насколько я понимаю, должны быть предприняты некоторые усилия, чтобы сохранить число стабильным для конкретного человека. Например, даже если я оставлю свою гражданскую работу в DOD и пойду работать на подрядчика, выйду замуж и поменяю свое имя, уйду с работы и поступлю в Береговую охрану, мой DOD EDI PN должен быть таким же. Однако на практике я сомневаюсь, что это так работает.

И даже если бы это было так, у меня, вероятно, не должно быть того же доступа к приложению. Каждый раз, когда моя работа меняется, сертификат на мой CAC должен быть отозван. Если приложение просматривает только общее имя или альтернативное имя субъекта сертификата, оно пропустит изменения в организации, которые могут повлиять на авторизацию этого субъекта.

Аутентификация на основе определенного сертификата (эмитента и серийного номера) является проблемой для пользователей, но она имеет смысл с точки зрения безопасности и надежности.

Answer 5

Адрес электронной почты доступен в наборе полей Альтернативное имя субъекта. Это зависит от сертификата CAC, но тот, который используется для входа в систему SSL, должен содержать его (это также сертификат подписи электронной почты).

Тема вряд ли изменится для данного человека очень часто. Номер действительно является уникальным номером, идентифицирующим человека. Этот номер также будет присутствовать в поле UPN в альтернативном имени субъекта для входа в Windows (в форме, такой как NUMBER @ MIL)

Answer 6

Я слышал аргумент в пользу использования числа на конце в качестве уникального идентификатора для отдельных лиц, потому что другая информация (имя, организация и т. Д.) - это биты информации, которые могут реально меняться со временем в отличие от числа. Тем не менее, я не видел ни официального документа, ни какой-либо другой авторитетной информации, которая бы фактически подтверждала это как факт.

Просто любопытно, есть ли документ, в котором говорится о пошаговом процессе включения Apache и DOD CAC? Вот что на самом деле привело меня к этому вопросу в первую очередь:)

Answer 7

Вы можете получить SSN владельца из PIV. Это не изменится