Hallo,
ich befasse mich gerade mit der Sicherheit der ID-Dateien.
Speziell für den Fall, das eine ID-Datei gestohlen wird.
Dazu habe ich ein paar Test gemacht, die mich verwundert haben.
Ich habe einen TestUser angelegt und ihn danach im Adressbuch gelöscht.
Der User existiert nur noch als Name in einer Gruppe, die den Zugriff auf den Server regelt.
Servereinstellungen:
Anonyme Verbindungen werden nicht zugelassen.
Öffentliche Schlüssel werden nicht verglichen
Ergebnis: Der User kann auch ohne vorhandenes Personendokument auf den Server zugreifen. Es reicht der Name in der erwähnten Gruppe...
Den selben User, welcher nun ohne Personendokument ist, habe ich in einer anderen Domäne in einer ACL aufgenommen.
Ergebnis: Auch hier kann der User weiterhin fröhlich zugreifen.
Die andere Domäne hat ein Gegenzertifikat für den Zertifizierer mit dem der TestUser erstellt worden ist.
1) Liegt es eventuell daran das der Zugriff erhalten bleibt?
2) Wie funktioniert die Authentifizierung bei diesem Fall im Detail?
3) Kann es sogar sein, dass jemand mit einem eigenen gleichnamigen Zertifizierer einen gleichnamigen User einrichtet (Welchen es in meiner Domäne gibt) und sich somit Zugriff auf meine Server verschaffen kann?