我有一个应用程序,理想情况下,用户将使用AD登录。我还需要为每个用户存储一个加密密钥,在存储之前应加密。
AD,kerberos或任何社交SSO提供的机制是否可以根据我可用于加密密钥的身份验证/授权给我一个秘密?
或者任何类似于DPAPI的API,但它可以跨设备可靠地工作?
最后,在AD中存储未加密的加密密钥会被视为不良做法吗?在我看来,bitlocker正在有效地做到这一点。
答案 0 :(得分:0)
目前为止我能找到的最好的方法是使用Hashicorp Vault之类的东西,它允许存储密钥以防止AD用户和最终基于内存驻留密钥的加密。
答案 1 :(得分:0)
您正在寻找Kerberos keytabs,不是吗?
答案 2 :(得分:0)