U2F (YubiKey и т. Д.) И Active Directory

11

Я ищу информацию о том, как интегрировать U2F (используя YubiKey или аналогичные устройства) в домен Windows Active Directory (будет Windows 2016 Server). Особенно я заинтересован в обеспечении безопасности входа в систему Windows на рабочих станциях / серверах, чтобы в качестве второго фактора требовался токен U2F (только пароль не должен работать вообще).

Короче говоря, цель заключается в том, чтобы каждая аутентификация выполнялась либо с помощью пароля + токена U2F, либо с использованием токенов Kerberos.

Любые советы, где можно найти дополнительную информацию об этом конкретном сценарии или извлеченных уроках, были бы полезны.

Финн
источник
Я не уверен, что это легко возможно, так как U2F был специально разработан для Интернета как децентрализованное решение для входа в систему. Теоретически это может сработать, но вам придется пройти очень долгий путь. Вы должны создать AppID для своего домена. Ответ на вызов будет выполняться локально на рабочем столе. Поскольку устройство U2F не хранит сертификат входа в систему с помощью смарт-карты, вы никогда не сможете выполнить аутентификацию Kerberos. Вы всегда будете в конечном итоге с клиентской стороны решения , как этот: turboirc.com/bluekeylogin
cornelinux
Ну, по крайней мере, с yubikey решение на основе смарт-карт возможно, если путь U2F - нет - на случай, если вы знаете хорошую доступную информацию о AD на основе смарт-карт?
Fionn
"Смарткарта AD"?
cornelinux
Вы упомянули: «Поскольку устройство U2F не хранит сертификат входа со смарт-карты, вы никогда не сможете выполнить аутентификацию Kerberos», насколько я знаю, по крайней мере, yubikey можно использовать и как смарт-карту. Таким образом, при использовании yubikey в качестве смарт-карты должна быть возможность защитить Kerberos? Проблема даже в том, что документация по AD защищена смарт-картами.
Fionn
Вы можете начать с загрузки PIV Manage от yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Ответы:

1

Укороченная версия

Я начал изучать использование FreeRADIUS со службой доступа к сетевой политике Windows (NPS), потому что у нас смешанная среда Windows / Linux (и потому что YubiRADIUS больше не поддерживается). FreeRADUIS будет использоваться, чтобы связать YubiKey с AD Auth вместе.

В своих поисках я нашел несколько несвободных ресурсов, таких как WiKID Systems и AuthLite, для выполнения 2-фактора с Yubikeys (ссылки ниже). Похоже, что есть способ приблизиться, используя встроенные службы Windows (используя Network Policy and Access Services (NPS)), которые я использовал в качестве основы для своей работы в FreeRADIUS.

Вот учебник по настройке NPS для работы с WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Этот URL описывает, как заставить его работать с AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Кажется, что обе реализации хотят, чтобы какая-то форма RADIUS Server проходила аутентификацию второго фактора. По крайней мере, это мое понимание.

Дополнительно: если вы ищете "Windows Server 2016 2-factor yubikey" или подобное, вы можете найти больше.

Надеюсь это поможет!

BanjoFox
источник