Saya mencari informasi tentang cara mengintegrasikan U2F (menggunakan YubiKey atau perangkat serupa) ke dalam Active Directory Windows Domain (Akan menjadi Server Windows 2016). Terutama saya tertarik untuk mengamankan windows logon ke workstation / server untuk memerlukan token U2F sebagai faktor kedua (kata sandi tidak boleh bekerja sama sekali).
Singkatnya tujuannya adalah bahwa setiap otentikasi dilakukan melalui kata sandi + token U2F atau menggunakan token kerberos.
Petunjuk mana pun untuk menemukan informasi lebih lanjut tentang skenario khusus ini atau pelajaran yang dipetik akan sangat bagus.
Jawaban:
Versi pendek
Saya mulai mencari menggunakan FreeRADIUS dengan Layanan Akses Kebijakan Jaringan Windows (NPS) karena kami memiliki lingkungan Windows / Linux campuran (dan karena YubiRADIUS tidak lagi didukung). FreeRADUIS akan digunakan untuk mengikat YubiKey ke Auth AD.
Dalam pencarian saya, saya menemukan beberapa sumber daya tidak bebas seperti WiKID Systems dan AuthLite untuk melakukan 2-faktor dengan Yubikeys (tautan di bawah). There -do-tampaknya menjadi cara untuk menjadi sangat dekat menggunakan layanan Windows bawaan (menggunakan Kebijakan Jaringan dan Layanan Akses (NPS)) yang saya gunakan sebagai dasar untuk pekerjaan FreeRADIUS saya.
Berikut ini adalah tutorial untuk membuat NPS bekerja dengan WiKD
http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/
URL ini menjelaskan cara membuatnya berfungsi dengan AuthLite
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Kedua implementasi tampaknya menginginkan beberapa bentuk RADIUS Server untuk meneruskan auth faktor kedua. Setidaknya itulah pemahaman saya.
Selain itu: jika Anda mencari "Windows Server 2016 2-faktor yubikey", atau serupa, Anda mungkin dapat menemukan lebih banyak.
Semoga ini membantu!
sumber