U2F (YubiKey, etc) e Active Directory

Navegue suas respostas
11

Estou procurando informações sobre como integrar o U2F (usando o YubiKey ou dispositivos semelhantes) em um domínio do Windows do Active Directory (será um servidor do Windows 2016). Especialmente, estou interessado em proteger o logon do Windows em estações de trabalho / servidores para exigir um token U2F como um segundo fator (a senha não deve funcionar).

Em suma, o objetivo é que cada autenticação seja feita por meio de senha + token U2F ou usando tokens do kerberos.

Quaisquer sugestões de onde encontrar mais informações sobre esse cenário específico ou lições aprendidas seriam ótimas.

    
por Fionn 25.11.2016 / 16:04

1 resposta

1

Versão resumida

Comecei a investigar o uso do FreeRADIUS com o NPS (Serviço de Acesso à Diretiva de Rede) do Windows porque temos um ambiente misto do Windows / Linux (e porque o YubiRADIUS não é mais suportado). O FreeRADUIS seria usado para ligar os YubiKey ao AD Auth juntos.

Nas minhas pesquisas, encontrei alguns recursos não gratuitos, como WiKID Systems e AuthLite, para fazer dois fatores com o Yubikeys (links abaixo). Há - parece ser uma maneira de chegar realmente perto usando serviços internos do Windows (usando o NPS (Network Policy and Access Services)) que eu estava usando como base para o meu trabalho no FreeRADIUS.

Aqui está um tutorial para fazer o NPS funcionar com o WiKD

link

Este URL descreve como fazê-lo funcionar com o AuthLite

link

Ambas as implementações parecem querer alguma forma de servidor RADIUS para transmitir a autenticação de segundo fator. Pelo menos é esse o meu entendimento.

Além disso, se você pesquisar por "Windows Server 2016 yubikey de dois fatores" ou algo semelhante, poderá encontrar mais.

Espero que isso ajude!

    
por 05.01.2017 / 20:04

Tags

Como usar o systemd-firstboot.service? Como limitar o uso da largura de banda no AWS EC2?