Ich suche nach Informationen zum Integrieren von U2F (mit YubiKey oder ähnlichen Geräten) in eine Active Directory-Windows-Domäne (wird ein Windows 2016-Server sein). Insbesondere bin ich daran interessiert, die Windows-Anmeldung an Arbeitsstationen / Servern so zu sichern, dass ein U2F-Token als zweiter Faktor erforderlich ist (nur das Kennwort sollte überhaupt nicht funktionieren).
Kurz gesagt, das Ziel ist, dass jede Authentifizierung entweder über Passwort + U2F-Token oder mithilfe von Kerberos-Token erfolgt.
Alle Hinweise, wo Sie weitere Informationen zu diesem speziellen Szenario oder zu den gewonnenen Erkenntnissen finden, sind hilfreich.
Antworten:
Kurzfassung
Ich habe angefangen, FreeRADIUS mit dem Windows Network Policy Access Service (NPS) zu verwenden, weil wir eine gemischte Windows / Linux-Umgebung haben (und weil YubiRADIUS nicht mehr unterstützt wird). FreeRADUIS würde verwendet, um die YubiKey's mit der AD Auth zusammenzubinden.
Bei meiner Suche habe ich einige nicht freie Ressourcen wie WiKID Systems und AuthLite gefunden, um 2-Faktor mit Yubikeys zu machen (Links unten). Es scheint eine Möglichkeit zu geben, mit integrierten Windows-Diensten (unter Verwendung von Netzwerkrichtlinien- und Zugriffsdiensten (NPS)), die ich als Grundlage für meine FreeRADIUS-Arbeit verwendet habe, wirklich nahe zu kommen.
Hier ist ein Tutorial, wie NPS mit WiKD funktioniert
http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/
Diese URL beschreibt, wie es mit AuthLite funktioniert
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Beide Implementierungen scheinen zu wollen, dass irgendeine Form von RADIUS-Server die Zweitfaktorauthentifizierung weitergibt. Zumindest ist das mein Verständnis.
Zusätzlich: Wenn Sie nach "Windows Server 2016 2-Faktor-Yubikey" oder ähnlichem suchen, können Sie möglicherweise mehr finden.
Hoffe das hilft!
quelle