Назад | Перейти на главную страницу

U2F (YubiKey и др.) И Active Directory

Я ищу информацию о том, как интегрировать U2F (с помощью YubiKey или подобных устройств) в домен Windows Active Directory (будет Windows 2016 Server). Особенно меня интересует защита входа в Windows на рабочие станции / серверы, чтобы в качестве второго фактора требовался токен U2F (только пароль не должен работать вообще).

Короче говоря, цель состоит в том, чтобы каждая аутентификация выполнялась либо через пароль + токен U2F, либо с использованием токенов Kerberos.

Любые подсказки, где найти дополнительную информацию об этом конкретном сценарии или извлеченных уроках, были бы замечательными.

Укороченная версия

Я начал изучать возможность использования FreeRADIUS со службой доступа к сетевой политике Windows (NPS), потому что у нас смешанная среда Windows / Linux (и потому, что YubiRADIUS больше не поддерживается). FreeRADUIS будет использоваться, чтобы связать YubiKey с AD Auth вместе.

В своих поисках я нашел пару несвободных ресурсов, таких как WiKID Systems и AuthLite, для двухфакторной работы с Yubikeys (ссылки ниже). Кажется, есть способ приблизиться к этому с помощью встроенных служб Windows (с использованием сетевой политики и служб доступа (NPS)), которые я использовал в качестве основы для своей работы с FreeRADIUS.

Вот руководство по работе с NPS с WiKD.

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Этот URL описывает, как заставить его работать с AuthLite.

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Обе реализации, похоже, хотят, чтобы какая-то форма RADIUS-сервера передавала аутентификацию второго фактора. По крайней мере, я так понимаю.

Дополнительно: если вы выполните поиск по запросу «Windows Server 2016 2-factor yubikey» или аналогичному, вы можете найти больше.

Надеюсь это поможет!