Я ищу информацию о том, как интегрировать U2F (используя YubiKey или аналогичные устройства) в домен Windows Active Directory (будет Windows 2016 Server). Особенно я заинтересован в обеспечении безопасности входа в систему Windows на рабочих станциях / серверах, чтобы в качестве второго фактора требовался токен U2F (только пароль не должен работать вообще).
Короче говоря, цель заключается в том, чтобы каждая аутентификация выполнялась либо с помощью пароля + токена U2F, либо с использованием токенов Kerberos.
Любые советы, где можно найти дополнительную информацию об этом конкретном сценарии или извлеченных уроках, были бы полезны.
Ответы:
Укороченная версия
Я начал изучать использование FreeRADIUS со службой доступа к сетевой политике Windows (NPS), потому что у нас смешанная среда Windows / Linux (и потому что YubiRADIUS больше не поддерживается). FreeRADUIS будет использоваться, чтобы связать YubiKey с AD Auth вместе.
В своих поисках я нашел несколько несвободных ресурсов, таких как WiKID Systems и AuthLite, для выполнения 2-фактора с Yubikeys (ссылки ниже). Похоже, что есть способ приблизиться, используя встроенные службы Windows (используя Network Policy and Access Services (NPS)), которые я использовал в качестве основы для своей работы в FreeRADIUS.
Вот учебник по настройке NPS для работы с WiKD
http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/
Этот URL описывает, как заставить его работать с AuthLite
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Кажется, что обе реализации хотят, чтобы какая-то форма RADIUS Server проходила аутентификацию второго фактора. По крайней мере, это мое понимание.
Дополнительно: если вы ищете "Windows Server 2016 2-factor yubikey" или подобное, вы можете найти больше.
Надеюсь это поможет!
источник