Tôi đang tìm kiếm thông tin về cách tích hợp U2F (sử dụng YubiKey hoặc các thiết bị tương tự) vào Miền Windows của Active Directory (Sẽ là Máy chủ Windows 2016). Đặc biệt tôi quan tâm đến việc bảo mật đăng nhập windows vào máy trạm / máy chủ để yêu cầu mã thông báo U2F làm yếu tố thứ hai (mật khẩu hoàn toàn không nên hoạt động).
Nói tóm lại, mục tiêu là mỗi xác thực được thực hiện thông qua mật khẩu + mã thông báo U2F hoặc sử dụng mã thông báo kerberos.
Bất kỳ gợi ý nơi để tìm thêm thông tin về kịch bản cụ thể này hoặc bài học kinh nghiệm sẽ là tuyệt vời.
Tôi không chắc chắn liệu điều này có dễ dàng hay không, vì U2F được thiết kế riêng cho web dưới dạng một giải pháp đăng nhập không tập trung. Về lý thuyết điều này có thể hoạt động, nhưng bạn phải đi một chặng đường rất dài. Bạn phải tạo một AppID cho tên miền của bạn. Phản ứng thách thức sẽ được thực hiện cục bộ trên máy tính để bàn. Vì thiết bị U2F không lưu trữ thông tin đăng nhập thẻ thông minh xác nhận, bạn sẽ không bao giờ có thể thực hiện xác thực kerberos. Bạn sẽ luôn kết thúc với một giải pháp phía khách hàng như thế này: turboirc.com/bluekeylogin
—
cornelinux
Ít nhất là với một yubikey, một giải pháp dựa trên thẻ thông minh là có thể nếu đường dẫn U2F không - chỉ trong trường hợp bạn có biết thông tin tốt có sẵn về AD dựa trên thẻ thông minh không?
—
Fionn
"Thẻ thông minh dựa trên AD"?
—
cornelinux
Bạn đã đề cập "Vì thiết bị U2F không lưu trữ thông tin đăng nhập thẻ thông minh chứng nhận, bạn sẽ không bao giờ có thể thực hiện xác thực kerberos", theo như tôi biết thì yubikey ít nhất cũng có thể được sử dụng làm thẻ thông minh. Vậy khi sử dụng yubikey như một thẻ thông minh thì có nên bảo mật kerberos không? Vấn đề thậm chí là tài liệu về AD được bảo mật bằng thẻ thông minh còn thưa thớt.
—
Fionn
Bạn có thể bắt đầu bằng cách tải xuống Quản lý PIV từ yubico. yubico.com/support/ledgeledge-base/clists/articles/piv-tools
—
cornelinux