Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт карт, начиная с Windows 2000.
По сути своей, возможность аутентификации с помощью смарт карт заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556. См. [1]. Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.
Благодаря чему и появляется возможность использования смарт карт. Т. е. мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, т. к. уже реализована схема Kerberos + PKINIT.

Читать дальше →