Аутентификация в AD внешнего актёра по сертификату

0

1

Есть SOAP-сервис. В виде BinarySecurityToken'а приходит сертификат X509, которым подписывается тело сообщения. Нужно провести аутентификацию актёра при том, что данные по нему (в том числе сертификаты) могут лежать только в AD. Если бы актёр присылал username+password, то можно было бы сделать bind под известным системе аккаунтом и найти по присланному username соотв-ю запись. Потом rebind под ней, и по результатам него принимать решение по аутентификации. Однако, как сделать bind в AD имея на руках только публичный ключ сертификата - понятия не имею. Можно ли делать bind в AD по публичной части сертификата? Если нет, то как лучше провести аутентификацию?

Ссылка

← Есть ли жизнь на марсе

«Cannot rollback() inside an XASession» в Fuse ESB Enterprise 7.1.0 →

Однако, как сделать bind в AD имея на руках только публичный ключ сертификата

Никак. В этом весь смысл сертификата.

~~no-dashi~~ ★★★★★
(01.02.13 11:30:53 MSK)

Ответ на: комментарий от no-dashi 01.02.13 11:30:53 MSK

В итоге у меня два выхода пока: 1) остаться на логинах-паролях 2) вкуривать Active Directory Federation Services в качестве Security Token Service для WS-Trust

Копаю второй вариант.

migesok ★
(04.02.13 08:47:19 MSK) автор топика