Коллеги, такая трабла, надо зашифровать файл, но разрешить определенным людям его править.
Собственно создаю файл, шифрю добавляю свой и их сертификаты, делаю шару, но не могу открыть его с их компьютеров Более того не могу открыть его с локального компа под их логинами !!!
3.
The user must have either a local profile on the computer where EFS operations will occur or a roaming profile. If the user does not have a local profile on the remote computer or a roaming profile, EFS creates a local profile for the user on the remote computer.
If the remote computer is a server in a cluster, the user must have a roaming profile.
4.
To encrypt a file, the user must have a valid EFS certificate. If EFS cannot locate a pre-existing certificate, EFS contacts a trusted enterprise certification authority for a certificate. If no trusted enterprise certification authorities are known, a self-signed certificate is created and used. The certificate and keys are stored in the user’s profile on the remote computer or in the user’s roaming profile if available.
[/quote]
3.
The user must have either a local profile on the computer where EFS operations will occur or a roaming profile. If the user does not have a local profile on the remote computer or a roaming profile, EFS creates a local profile for the user on the remote computer.
If the remote computer is a server in a cluster, the user must have a roaming profile.
4.
To encrypt a file, the user must have a valid EFS certificate. If EFS cannot locate a pre-existing certificate, EFS contacts a trusted enterprise certification authority for a certificate. If no trusted enterprise certification authorities are known, a self-signed certificate is created and used. The certificate and keys are stored in the user’s profile on the remote computer or in the user’s roaming profile if available.
[/quote]
Спасибо,
а по русски? Я добился того, что локально под пользователем чей сертификат добавлен, все открывается, но заметил, что даже под моим аккаунтом с другой машины по сети Access Denied!
Сами понимаете, что у меня сертификат один и уж точно есть локальный профиль на компьютере!
Должен быть установлен флаг- computer trusted for delegation на соответсвующем серваке.
Сетрификаты должны быть выданы с соответсвующими атрибутами (EFS) из CA, не самоподписанные командой cipher.
Storing EFS certificates and private keys on smartcards is not currently supported.
Strong private key protection for EFS private keys is not currently supported.
Цитата
Более того не могу открыть его с локального компа под их логинами
[/quote]
Для этого сертификат с локальном профиле должен быть с приватным ключом.
1. computer trusted for delegation - что это даст?
2. сертификат с локальном профиле должен быть с приватным ключом - то есть, на компе пользователя, с зашифрованным фалом, должен быть мой приватный ключ? А это не безопасно?!
А если файл зашифрован на сервере - то как тогда, получается там должен быть прайват ключ и пользователя и мой?
Поймите простой принцип - файл шифруестя открытым ключем пользователя, а пользователь, для которо файл зашифрован, дешефрует его своим приватным ключем (в EFS файл криптуется симметричным ключом, сам ключ криптуется открытым ключом пользователя и ложится в поле FEK. Полей FEK будет столько, для скольких пользователей можно расшифровать этот файл - все они объеденяются в DDF). В 2000/2003 (в Висте и Лонгхорне уже будет по другому ), криптинг и декриптинг, проводится там, где физически лежит файл, т.е. в Вашем случае на удаленном сервере, но там естественно нет приватного ключа юзера в профиле. Вот для этого и используется computer trusted for delegation, либо премещаемый профиль.
Цитата
А это не безопасно?!
[/quote]
Нет ничего безопасного Сами приватные ключи хранятся в профиле пользователя, в части именуемой защищенным хранилищем, как оно устроено не готов ответить, ибо не знаю
slz спсб, с локальной дешифровкой у меня получилось, и позже чуть порисовав,
прикинул что по другому и быть не может: узнать пароль гораздо легче чем стыбрить приватный ключ, поэтому не достаточно просто залогиниться для расшифровки.
с этим у меня получилось.
но вот по сети все же нет во первых мой приватный ключ уже есть на сервере где лежит файл, иначе, как мы уже разобрались, я бы локально его не дешифранул бы
галочку computer trusted for delegation поставил и на своем компе и на сервере, и один фик ничего ГЫ, вру сегодня с утра все заработало, когда галку ставил, там говорилось о том, что изменения произойдут не сразу.
Ответьте пжлста, а на каком компьютере надо ставить галку, на обоих или только на сервере, или на клиентах? И что она все же дает, помимо того, что дешифрация начинает работать?!
С ходу ответить не готов, давай после выходных [/quote]
Добро,
ну и если вдруг будет информация о том, как не потерять свой ключ после например переустановки винды и как подпихнуть старый ключ в новую винду.
Или даже в CA, если вдруг пьяный админ сделает Revoke ключа.
Буду так же очень благодарен.
Remy » 15 фев 2007, 19:44 
