Szukam informacji o tym, jak zintegrować U2F (używając YubiKey lub podobnych urządzeń) z domeną Windows Active Directory (będzie to Windows 2016 Server). Szczególnie interesuje mnie zabezpieczenie logowania systemu Windows na stacjach roboczych / serwerach, aby wymagały tokena U2F jako drugiego czynnika (samo hasło nie powinno w ogóle działać).
Krótko mówiąc, celem jest, aby każde uwierzytelnianie odbywało się za pomocą hasła + tokena U2F lub za pomocą tokenów Kerberos.
Wszelkie wskazówki, gdzie można znaleźć dalsze informacje na temat tego konkretnego scenariusza lub wyciągnięte wnioski, byłyby świetne.
Odpowiedzi:
Krótka wersja
Zacząłem rozważać używanie FreeRADIUS z Windows Network Policy Access Service (NPS), ponieważ mamy mieszane środowisko Windows / Linux (i ponieważ YubiRADIUS nie jest już obsługiwany). FreeRADUIS zostałby użyty do powiązania YubiKey z Autoryzacją AD.
Podczas moich poszukiwań znalazłem kilka niewolnych zasobów, takich jak WiKID Systems i AuthLite, do robienia 2-czynnikowego z Yubikeys (linki poniżej). Wydaje się, że jest to sposób, aby zbliżyć się naprawdę za pomocą wbudowanych usług systemu Windows (przy użyciu zasad sieciowych i usług dostępu (NPS)), których użyłem jako podstawy mojej pracy FreeRADIUS.
Oto samouczek, jak uzyskać NPS do pracy z WiKD
http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/
Ten adres URL opisuje, jak sprawić, by działał z AuthLite
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Wydaje się, że obie implementacje chcą, aby jakaś forma serwera RADIUS przekazywała uwierzytelnianie drugiego stopnia. Tak przynajmniej rozumiem.
Dodatkowo: jeśli wyszukujesz „Windows Server 2016 2-czynnikowy yubikey” lub podobny, możesz znaleźć więcej.
Mam nadzieję że to pomoże!
źródło