U2F (YubiKey usw.) und Active Directory

11

Ich suche nach Informationen zum Integrieren von U2F (mit YubiKey oder ähnlichen Geräten) in eine Active Directory-Windows-Domäne (wird ein Windows 2016-Server sein). Insbesondere bin ich daran interessiert, die Windows-Anmeldung an Arbeitsstationen / Servern so zu sichern, dass ein U2F-Token als zweiter Faktor erforderlich ist (nur das Kennwort sollte überhaupt nicht funktionieren).

Kurz gesagt, das Ziel ist, dass jede Authentifizierung entweder über Passwort + U2F-Token oder mithilfe von Kerberos-Token erfolgt.

Alle Hinweise, wo Sie weitere Informationen zu diesem speziellen Szenario oder zu den gewonnenen Erkenntnissen finden, sind hilfreich.

Fionn
quelle
Ich bin mir nicht sicher, ob dies leicht möglich ist, da U2F speziell für das Web als dezentrale Anmeldelösung entwickelt wurde. Theoretisch mag das funktionieren, aber Sie müssen einen sehr langen Weg gehen. Sie müssen eine AppID für Ihre Domain erstellen. Die Challenge-Antwort wird lokal auf dem Desktop ausgeführt. Da das U2F-Gerät kein Smartcard-Anmeldezertifikat speichert, können Sie niemals eine Kerberos-Authentifizierung durchführen. Sie werden immer mit einer clientseitigen Lösung wie dieser enden
cornelinux
Nun, zumindest mit einem yubikey ist eine Smartcard-basierte Lösung möglich, wenn der U2F-Pfad nicht vorhanden ist - nur für den Fall, dass Sie gute verfügbare Informationen über Smartcard-basierte AD kennen?
Fionn
"Smartcard-basierte AD"?
Cornelinux
Sie haben erwähnt, dass "da das U2F-Gerät kein Smartcard-Anmeldezertifikat speichert, Sie niemals eine Kerberos-Authentifizierung durchführen können", soweit ich weiß, kann der Yubikey zumindest auch als Smartcard verwendet werden. Wenn Sie den Yubikey als Smartcard verwenden, sollte es möglich sein, Kerberos zu sichern? Das Problem ist sogar, dass die Dokumentation über Smartcard Secured AD spärlich ist.
Fionn
Sie können beginnen, indem Sie PIV Manage von yubico herunterladen. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Antworten:

1

Kurzfassung

Ich habe angefangen, FreeRADIUS mit dem Windows Network Policy Access Service (NPS) zu verwenden, weil wir eine gemischte Windows / Linux-Umgebung haben (und weil YubiRADIUS nicht mehr unterstützt wird). FreeRADUIS würde verwendet, um die YubiKey's mit der AD Auth zusammenzubinden.

Bei meiner Suche habe ich einige nicht freie Ressourcen wie WiKID Systems und AuthLite gefunden, um 2-Faktor mit Yubikeys zu machen (Links unten). Es scheint eine Möglichkeit zu geben, mit integrierten Windows-Diensten (unter Verwendung von Netzwerkrichtlinien- und Zugriffsdiensten (NPS)), die ich als Grundlage für meine FreeRADIUS-Arbeit verwendet habe, wirklich nahe zu kommen.

Hier ist ein Tutorial, wie NPS mit WiKD funktioniert

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Diese URL beschreibt, wie es mit AuthLite funktioniert

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Beide Implementierungen scheinen zu wollen, dass irgendeine Form von RADIUS-Server die Zweitfaktorauthentifizierung weitergibt. Zumindest ist das mein Verständnis.

Zusätzlich: Wenn Sie nach "Windows Server 2016 2-Faktor-Yubikey" oder ähnlichem suchen, können Sie möglicherweise mehr finden.

Hoffe das hilft!

BanjoFox
quelle