Я ищу информацию о том, как интегрировать U2F (используя YubiKey или аналогичные устройства) в домен Windows Active Directory (будет Windows 2016 Server). Особенно я заинтересован в обеспечении безопасности входа в систему Windows на рабочих станциях / серверах, чтобы в качестве второго фактора требовался токен U2F (только пароль не должен работать вообще).
Короче говоря, цель заключается в том, чтобы каждая аутентификация выполнялась либо с помощью пароля + токена U2F, либо с использованием токенов Kerberos.
Любые советы, где можно найти дополнительную информацию об этом конкретном сценарии или извлеченных уроках, были бы полезны.
Я не уверен, что это легко возможно, так как U2F был специально разработан для Интернета как децентрализованное решение для входа в систему. Теоретически это может сработать, но вам придется пройти очень долгий путь. Вы должны создать AppID для своего домена. Ответ на вызов будет выполняться локально на рабочем столе. Поскольку устройство U2F не хранит сертификат входа в систему с помощью смарт-карты, вы никогда не сможете выполнить аутентификацию Kerberos. Вы всегда будете в конечном итоге с клиентской стороны решения , как этот: turboirc.com/bluekeylogin
—
cornelinux
Ну, по крайней мере, с yubikey решение на основе смарт-карт возможно, если путь U2F - нет - на случай, если вы знаете хорошую доступную информацию о AD на основе смарт-карт?
—
Fionn
"Смарткарта AD"?
—
cornelinux
Вы упомянули: «Поскольку устройство U2F не хранит сертификат входа со смарт-карты, вы никогда не сможете выполнить аутентификацию Kerberos», насколько я знаю, по крайней мере, yubikey можно использовать и как смарт-карту. Таким образом, при использовании yubikey в качестве смарт-карты должна быть возможность защитить Kerberos? Проблема даже в том, что документация по AD защищена смарт-картами.
—
Fionn
Вы можете начать с загрузки PIV Manage от yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux