我正在尝试仅使用证书登录加入域的计算机, 我想知道是否有可能,我读取了智能卡和虚拟智能卡上的分配,并且都需要ping代码。 据我了解,kerberos允许使用PKI证书进行身份验证,因此基本问题是否可以仅使用证书将用户登录到域? 谢谢
答案 0 :(得分:1)
是的。您需要部署一个可以为用户颁发证书的CA,并将Active Directory配置为支持证书身份验证。这涉及在每个域控制器上注册KDC证书,然后向用户颁发证书。交互式登录的证书可以存储在智能卡或TPM中,用于经典身份验证方案,也可以使用例如Windows Hello提供更现代的方案。
基本过程如下:
从那里,您可以要求证书基于每个用户的交互式登录。有很多关于如何执行此操作的指南,例如上面的链接。