Я ищу информацию о том, как интегрировать U2F (с помощью YubiKey или подобных устройств) в домен Windows Active Directory (будет Windows 2016 Server). Особенно меня интересует защита входа в Windows на рабочие станции / серверы, чтобы в качестве второго фактора требовался токен U2F (только пароль не должен работать вообще).
Короче говоря, цель состоит в том, чтобы каждая аутентификация выполнялась либо через пароль + токен U2F, либо с использованием токенов Kerberos.
Любые подсказки, где найти дополнительную информацию об этом конкретном сценарии или извлеченных уроках, были бы замечательными.
Укороченная версия
Я начал изучать возможность использования FreeRADIUS со службой доступа к сетевой политике Windows (NPS), потому что у нас смешанная среда Windows / Linux (и потому, что YubiRADIUS больше не поддерживается). FreeRADUIS будет использоваться, чтобы связать YubiKey с AD Auth вместе.
В своих поисках я нашел пару несвободных ресурсов, таких как WiKID Systems и AuthLite, для двухфакторной работы с Yubikeys (ссылки ниже). Кажется, есть способ приблизиться к этому с помощью встроенных служб Windows (с использованием сетевой политики и служб доступа (NPS)), которые я использовал в качестве основы для своей работы с FreeRADIUS.
Вот руководство по работе с NPS с WiKD.
Этот URL описывает, как заставить его работать с AuthLite.
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Обе реализации, похоже, хотят, чтобы какая-то форма RADIUS-сервера передавала аутентификацию второго фактора. По крайней мере, я так понимаю.
Дополнительно: если вы выполните поиск по запросу «Windows Server 2016 2-factor yubikey» или аналогичному, вы можете найти больше.
Надеюсь это поможет!