U2F (YubiKey itp.) I Active Directory

11

Szukam informacji o tym, jak zintegrować U2F (używając YubiKey lub podobnych urządzeń) z domeną Windows Active Directory (będzie to Windows 2016 Server). Szczególnie interesuje mnie zabezpieczenie logowania systemu Windows na stacjach roboczych / serwerach, aby wymagały tokena U2F jako drugiego czynnika (samo hasło nie powinno w ogóle działać).

Krótko mówiąc, celem jest, aby każde uwierzytelnianie odbywało się za pomocą hasła + tokena U2F lub za pomocą tokenów Kerberos.

Wszelkie wskazówki, gdzie można znaleźć dalsze informacje na temat tego konkretnego scenariusza lub wyciągnięte wnioski, byłyby świetne.

active-directory authentication windows-server-2016 two-factor-authentication Fionn
źródło
Nie jestem pewien, czy jest to łatwe, ponieważ U2F został zaprojektowany specjalnie dla Internetu jako zdecentralizowane rozwiązanie logowania. Teoretycznie może to działać, ale musisz przejść bardzo długą drogę. Musisz utworzyć identyfikator aplikacji dla swojej domeny. Odpowiedź na wyzwanie zostanie wykonana lokalnie na pulpicie. Ponieważ urządzenie U2F nie przechowuje certyfikatu logowania do karty inteligentnej, nigdy nie będzie można wykonać uwierzytelnienia Kerberos. Zawsze znajdziesz rozwiązanie po stronie klienta, takie jak to: turboirc.com/bluekeylogin
cornelinux
Cóż, przynajmniej w przypadku yubikey możliwe jest rozwiązanie oparte na karcie inteligentnej, jeśli ścieżka U2F nie jest - na wypadek, jeśli znasz dobre dostępne informacje o reklamie opartej na karcie inteligentnej?
Fionn
„AD oparte na kartach inteligentnych”?
cornelinux
Wspomniałeś: „Ponieważ urządzenie U2F nie przechowuje certyfikatu logowania do karty inteligentnej, nigdy nie będziesz w stanie przeprowadzić uwierzytelnienia Kerberos”, o ile wiem, że yubikey może być przynajmniej używane jako karta inteligentna. Więc kiedy używasz yubikey jako karty inteligentnej, powinno być możliwe zabezpieczenie Kerberos? Problemem jest nawet to, że dokumentacja na temat AD zabezpieczonej kartą inteligentną jest rzadka.
Fionn
Możesz zacząć od pobrania PIV Manage z Yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Odpowiedzi:

1

Krótka wersja

Zacząłem rozważać używanie FreeRADIUS z Windows Network Policy Access Service (NPS), ponieważ mamy mieszane środowisko Windows / Linux (i ponieważ YubiRADIUS nie jest już obsługiwany). FreeRADUIS zostałby użyty do powiązania YubiKey z Autoryzacją AD.

Podczas moich poszukiwań znalazłem kilka niewolnych zasobów, takich jak WiKID Systems i AuthLite, do robienia 2-czynnikowego z Yubikeys (linki poniżej). Wydaje się, że jest to sposób, aby zbliżyć się naprawdę za pomocą wbudowanych usług systemu Windows (przy użyciu zasad sieciowych i usług dostępu (NPS)), których użyłem jako podstawy mojej pracy FreeRADIUS.

Oto samouczek, jak uzyskać NPS do pracy z WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Ten adres URL opisuje, jak sprawić, by działał z AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Wydaje się, że obie implementacje chcą, aby jakaś forma serwera RADIUS przekazywała uwierzytelnianie drugiego stopnia. Tak przynajmniej rozumiem.

Dodatkowo: jeśli wyszukujesz „Windows Server 2016 2-czynnikowy yubikey” lub podobny, możesz znaleźć więcej.

Mam nadzieję że to pomoże!

BanjoFox
źródło