Szukam informacji o tym, jak zintegrować U2F (używając YubiKey lub podobnych urządzeń) z domeną Windows Active Directory (będzie to Windows 2016 Server). Szczególnie interesuje mnie zabezpieczenie logowania systemu Windows na stacjach roboczych / serwerach, aby wymagały tokena U2F jako drugiego czynnika (samo hasło nie powinno w ogóle działać).
Krótko mówiąc, celem jest, aby każde uwierzytelnianie odbywało się za pomocą hasła + tokena U2F lub za pomocą tokenów Kerberos.
Wszelkie wskazówki, gdzie można znaleźć dalsze informacje na temat tego konkretnego scenariusza lub wyciągnięte wnioski, byłyby świetne.
Nie jestem pewien, czy jest to łatwe, ponieważ U2F został zaprojektowany specjalnie dla Internetu jako zdecentralizowane rozwiązanie logowania. Teoretycznie może to działać, ale musisz przejść bardzo długą drogę. Musisz utworzyć identyfikator aplikacji dla swojej domeny. Odpowiedź na wyzwanie zostanie wykonana lokalnie na pulpicie. Ponieważ urządzenie U2F nie przechowuje certyfikatu logowania do karty inteligentnej, nigdy nie będzie można wykonać uwierzytelnienia Kerberos. Zawsze znajdziesz rozwiązanie po stronie klienta, takie jak to: turboirc.com/bluekeylogin
—
cornelinux
Cóż, przynajmniej w przypadku yubikey możliwe jest rozwiązanie oparte na karcie inteligentnej, jeśli ścieżka U2F nie jest - na wypadek, jeśli znasz dobre dostępne informacje o reklamie opartej na karcie inteligentnej?
—
Fionn
„AD oparte na kartach inteligentnych”?
—
cornelinux
Wspomniałeś: „Ponieważ urządzenie U2F nie przechowuje certyfikatu logowania do karty inteligentnej, nigdy nie będziesz w stanie przeprowadzić uwierzytelnienia Kerberos”, o ile wiem, że yubikey może być przynajmniej używane jako karta inteligentna. Więc kiedy używasz yubikey jako karty inteligentnej, powinno być możliwe zabezpieczenie Kerberos? Problemem jest nawet to, że dokumentacja na temat AD zabezpieczonej kartą inteligentną jest rzadka.
—
Fionn
Możesz zacząć od pobrania PIV Manage z Yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux