U2F (YubiKey, v.v.) và Active Directory


11

Tôi đang tìm kiếm thông tin về cách tích hợp U2F (sử dụng YubiKey hoặc các thiết bị tương tự) vào Miền Windows của Active Directory (Sẽ là Máy chủ Windows 2016). Đặc biệt tôi quan tâm đến việc bảo mật đăng nhập windows vào máy trạm / máy chủ để yêu cầu mã thông báo U2F làm yếu tố thứ hai (mật khẩu hoàn toàn không nên hoạt động).

Nói tóm lại, mục tiêu là mỗi xác thực được thực hiện thông qua mật khẩu + mã thông báo U2F hoặc sử dụng mã thông báo kerberos.

Bất kỳ gợi ý nơi để tìm thêm thông tin về kịch bản cụ thể này hoặc bài học kinh nghiệm sẽ là tuyệt vời.


Tôi không chắc chắn liệu điều này có dễ dàng hay không, vì U2F được thiết kế riêng cho web dưới dạng một giải pháp đăng nhập không tập trung. Về lý thuyết điều này có thể hoạt động, nhưng bạn phải đi một chặng đường rất dài. Bạn phải tạo một AppID cho tên miền của bạn. Phản ứng thách thức sẽ được thực hiện cục bộ trên máy tính để bàn. Vì thiết bị U2F không lưu trữ thông tin đăng nhập thẻ thông minh xác nhận, bạn sẽ không bao giờ có thể thực hiện xác thực kerberos. Bạn sẽ luôn kết thúc với một giải pháp phía khách hàng như thế này: turboirc.com/bluekeylogin
cornelinux

Ít nhất là với một yubikey, một giải pháp dựa trên thẻ thông minh là có thể nếu đường dẫn U2F không - chỉ trong trường hợp bạn có biết thông tin tốt có sẵn về AD dựa trên thẻ thông minh không?
Fionn

"Thẻ thông minh dựa trên AD"?
cornelinux

Bạn đã đề cập "Vì thiết bị U2F không lưu trữ thông tin đăng nhập thẻ thông minh chứng nhận, bạn sẽ không bao giờ có thể thực hiện xác thực kerberos", theo như tôi biết thì yubikey ít nhất cũng có thể được sử dụng làm thẻ thông minh. Vậy khi sử dụng yubikey như một thẻ thông minh thì có nên bảo mật kerberos không? Vấn đề thậm chí là tài liệu về AD được bảo mật bằng thẻ thông minh còn thưa thớt.
Fionn

Bạn có thể bắt đầu bằng cách tải xuống Quản lý PIV từ yubico. yubico.com/support/ledgeledge-base/clists/articles/piv-tools
cornelinux

Câu trả lời:


1

Phiên bản ngắn

Tôi bắt đầu xem xét sử dụng FreeRADIUS với Dịch vụ truy cập chính sách mạng Windows (NPS) vì chúng tôi có môi trường Windows / Linux hỗn hợp (và vì YubiRADIUS không còn được hỗ trợ). FreeRADUIS sẽ được sử dụng để gắn kết YubiKey với AD Auth với nhau.

Trong các tìm kiếm của mình, tôi đã tìm thấy một vài tài nguyên không miễn phí như WiKID Systems và AuthLite để thực hiện 2 yếu tố với Yubikeys (liên kết bên dưới). Có vẻ như là một cách để thực sự gần gũi khi sử dụng các dịch vụ Windows tích hợp (sử dụng Chính sách mạng và Dịch vụ truy cập (NPS)) mà tôi đang sử dụng làm cơ sở cho công việc FreeRADIUS của mình.

Đây là hướng dẫn để NPS hoạt động với WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

URL này mô tả cách làm cho nó hoạt động với AuthLite

https://www.tachyondoperics.com/yubikey-and-windows-domain-2-factor-authentication/

Cả hai triển khai dường như muốn một số dạng Máy chủ RADIUS vượt qua xác thực nhân tố thứ hai. Ít nhất thì đó là sự hiểu biết của tôi.

Ngoài ra: nếu bạn tìm kiếm "Windows Server 2016 2 yếu tố yubikey" hoặc tương tự, bạn có thể tìm thấy thêm.

Hi vọng điêu nay co ich!

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.