-1

我有一个应用程序,理想情况下,用户将使用 AD 登录。我还需要为每个用户存储一个加密密钥,在存储之前应该对其进行加密。

AD、kerberos 或任何社交 SSO 提供的任何机制是否可以根据我的身份验证/授权给我一个秘密,我可以使用它来加密密钥?

或者,任何类似于 DPAPI 但可以跨设备可靠工作的 API?

最后,在 AD 中存储未加密的加密密钥是否被认为是不好的做法?在我看来,bitlocker 正在有效地做到这一点。

4

3 回答 3

0

到目前为止,我能找到的最好的方法是使用 Hashicorp Vault 之类的东西,它允许针对 AD 用户存储密钥并最终基于内存驻留密钥进行加密。

于 2018-01-31T09:50:22.793 回答
0

您正在寻找 Kerberos 密钥表,不是吗?

于 2018-01-31T09:54:44.237 回答
0

Hashicorp Vault 支持多个身份验证后端。LDAP 就是其中之一。另请查看t-vault。它建立在 Hashicorp Vault 之上,它会给你一个漂亮的 UI 以及更高级别的抽象,称为安全。您可以为 AD 中的每个用户创建保险箱。授予用户或 ldap 组对安全的访问权限。

您可以在此处查看t-vault 的快速演示。

于 2018-02-03T03:53:45.680 回答