Аутентификация DOD Common Access Card (CAC)

Я выполнил все необходимые шаги, чтобы аутентификация сертификата клиента на основе карты DOD CAC работала в Apache, но теперь я изо всех сил пытаюсь получить хороший GUID для пользователя из сертификата, который я получаю. Имеется ли в сертификате идентификатор GUID, который не изменится при обновлении карты CAC? Я думал об использовании SSL_CLIENT_S_DN, который выглядел бы примерно так:

/C=США/O=США Правительство/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789

но я слышал, что номер на конце меняется, когда карта CAC обновляется. Это правда? Есть ли лучшая информация для использования в GUID? Я также хотел бы получить адрес электронной почты пользователя, но я не вижу его в информации, которую я получаю из сертификата. Доступен ли адрес электронной почты в каком-то пользовательском расширении, которое я не вижу?

Спасибо!


x509certificate2 pki mod-ssl cac
person Community    schedule 04.03.2009    source источник

Ответы (7)


arrow_upward
6
arrow_downward

Мы столкнулись с множеством случаев, когда это число в конце изменилось. В конце концов мы были вынуждены использовать процесс, в котором, если пользователь получает новый CAC, мы требуем, чтобы пользователь повторно связал эту новую карту со своей учетной записью пользователя. Сейчас это процесс в большинстве систем Министерства обороны, таких как DKO (Defense Knowledge Online) и других. Если в нашей базе данных нет предоставленных данных сертификата CAC, пользователь должен войти в систему, используя имя пользователя и пароль. Если учетные данные верны, идентифицирующая информация этого CAC связывается с учетной записью пользователя в системе.

По крайней мере, так мы это сделали.

И, что касается получения доступа к адресу электронной почты, @harningt является правильным. Это зависит от того, какой сертификат вам предоставлен.

person Billyhole    schedule 24.07.2009

arrow_upward
5
arrow_downward

PIN-код DOD EDI НЕ должен меняться.

Я могу привести вам множество примеров, когда вы можете зайти на сайт DOD411 (требуется CAC), чтобы найти кого-то, и он покажет сертификаты, когда они были подрядчиками, а затем снова покажет того же человека, теперь уже гражданского лица Министерства обороны (мы видим это много с новыми сотрудниками).

Я только что нашла одного из наших новых сотрудников, который по разным причинам служил в ВВС, затем был подрядчиком ВМФ, затем подрядчиком в армии, а теперь работает на нас в должности гражданского окружного прокурора.

Тот же PIN-код DOD EDI.

CN (общее имя) может измениться (например, в результате брака), но десятизначный DOD EDI не должен меняться.

Что касается сертификата для аутентификации, большинство сайтов аутентифицируются по сертификату электронной почты, но некоторые вместо этого используют сертификат удостоверения личности.

Майк

person Schmagagled    schedule 22.11.2010

arrow_upward
5
arrow_downward

Я уверен, что вы все уже придумали ответы. Но для тех, кто придет к этому посту позже, всего пара заметок:

Это справочный сайт DISA: http://iase.disa.mil/pki-pke/

PKI — это инфраструктура, PKE позволяет вашим компьютерам/серверам/приложениям использовать аутентификацию PKI.

Это руководство по началу работы для администратора PKE:

http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx

person Kemacal    schedule 13.02.2014

arrow_upward
2
arrow_downward

Во-первых, многие сайты DOD с поддержкой PKI должны поддерживать аппаратные токены, выпущенные через коммерческие центры сертификации, которые участвуют в программе ECA Министерства обороны США (Verisign, IdenTrust, ORC). Эти сертификаты, выданные ECA, даже не включают этот «номер», DOD EDI PN.

Насколько я понимаю, должны быть предприняты некоторые усилия, чтобы сохранить число стабильным для конкретного человека. Например, даже если я уволюсь с гражданской работы в Министерстве обороны США и перейду на работу к подрядчику, женюсь и поменяю имя, уволюсь с работы и поступлю на службу в береговую охрану, мой PN EDI Министерства обороны США должен быть таким же. Однако на практике я сомневаюсь, что это так работает.

И даже если бы это было так, я, вероятно, не должен был бы иметь такой же доступ к приложению. Каждый раз, когда моя работа меняется, сертификат о моем CAC должен быть отозван. Если приложение просматривает только общее имя или альтернативное имя субъекта сертификата, оно пропустит изменения в организации, которые могут повлиять на авторизацию этого субъекта.

Основывать аутентификацию на конкретном сертификате (эмитент и серийный номер) неудобно для пользователей, но это имеет смысл с точки зрения безопасности и надежности.

person erickson    schedule 17.09.2009

arrow_upward
1
arrow_downward

Я слышал аргументы в пользу использования числа в конце в качестве уникального идентификатора для отдельных лиц, потому что другая информация (имя, организация и т. д.) — это биты информации, которые могут реально меняться с течением времени, в отличие от числа. Тем не менее, я не видел официального документа или какой-либо другой официальной информации, которая бы действительно констатировала это как факт.

Просто любопытно, есть ли документ, в котором описан пошаговый процесс включения Apache и DOD CAC? Это то, что на самом деле привело меня к этому вопросу в первую очередь :)

person Community    schedule 16.03.2009

arrow_upward
1
arrow_downward

Адрес электронной почты доступен в наборе полей Альтернативное имя субъекта. Это зависит от сертификата CAC, но тот, который используется для входа в систему SSL, должен содержать его (это также сертификат подписи электронной почты).

Тема вряд ли будет меняться для данного человека очень часто. Номер действительно является уникальным номером, идентифицирующим человека. Этот номер также будет присутствовать в поле UPN в альтернативном имени субъекта для входа в Windows (в такой форме, как NUMBER@MIL).

person harningt    schedule 23.05.2009

arrow_upward
0
arrow_downward

Вы можете получить SSN владельцев из PIV. Это не изменится

person Darryl    schedule 28.01.2010