U2F (YubiKey, dll) dan Direktori Aktif

11

Saya mencari informasi tentang cara mengintegrasikan U2F (menggunakan YubiKey atau perangkat serupa) ke dalam Active Directory Windows Domain (Akan menjadi Server Windows 2016). Terutama saya tertarik untuk mengamankan windows logon ke workstation / server untuk memerlukan token U2F sebagai faktor kedua (kata sandi tidak boleh bekerja sama sekali).

Singkatnya tujuannya adalah bahwa setiap otentikasi dilakukan melalui kata sandi + token U2F atau menggunakan token kerberos.

Petunjuk mana pun untuk menemukan informasi lebih lanjut tentang skenario khusus ini atau pelajaran yang dipetik akan sangat bagus.

Fionn
sumber
Saya tidak yakin apakah ini mudah, karena U2F dirancang khusus untuk web sebagai solusi masuk yang tidak terpusat. Secara teori ini mungkin berhasil, tetapi Anda harus menempuh jalan yang sangat panjang. Anda harus membuat AppID untuk domain Anda. Respons tantangan akan dilakukan secara lokal di desktop. Karena perangkat U2F tidak menyimpan sertifikat masuk kartu pintar, Anda tidak akan pernah bisa melakukan otentikasi kerberos. Anda akan selalu berakhir dengan solusi sisi klien seperti ini: turboirc.com/bluekeylogin
cornelinux
Yah setidaknya dengan yubikey solusi berbasis smartcard dimungkinkan jika jalur U2F tidak - kalau-kalau Anda tahu informasi yang tersedia tentang AD berbasis smartcard?
Fionn
"AD berbasis kartu pintar"?
cornelinux
Anda menyebutkan "Karena perangkat U2F tidak menyimpan sertifikat masuk smartcard, Anda tidak akan pernah dapat melakukan otentikasi kerberos", sejauh yang saya tahu yubikey setidaknya dapat digunakan sebagai kartu pintar juga. Jadi ketika menggunakan yubikey sebagai smartcard itu mungkin untuk mengamankan kerberos? Masalahnya bahkan dokumentasi tentang smartcard secure AD jarang.
Fionn
Anda dapat mulai dengan mengunduh PIV Manage dari yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Jawaban:

1

Versi pendek

Saya mulai mencari menggunakan FreeRADIUS dengan Layanan Akses Kebijakan Jaringan Windows (NPS) karena kami memiliki lingkungan Windows / Linux campuran (dan karena YubiRADIUS tidak lagi didukung). FreeRADUIS akan digunakan untuk mengikat YubiKey ke Auth AD.

Dalam pencarian saya, saya menemukan beberapa sumber daya tidak bebas seperti WiKID Systems dan AuthLite untuk melakukan 2-faktor dengan Yubikeys (tautan di bawah). There -do-tampaknya menjadi cara untuk menjadi sangat dekat menggunakan layanan Windows bawaan (menggunakan Kebijakan Jaringan dan Layanan Akses (NPS)) yang saya gunakan sebagai dasar untuk pekerjaan FreeRADIUS saya.

Berikut ini adalah tutorial untuk membuat NPS bekerja dengan WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

URL ini menjelaskan cara membuatnya berfungsi dengan AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Kedua implementasi tampaknya menginginkan beberapa bentuk RADIUS Server untuk meneruskan auth faktor kedua. Setidaknya itulah pemahaman saya.

Selain itu: jika Anda mencari "Windows Server 2016 2-faktor yubikey", atau serupa, Anda mungkin dapat menemukan lebih banyak.

Semoga ini membantu!

BanjoFox
sumber