Sto cercando informazioni su come integrare U2F (utilizzando YubiKey o dispositivi simili) in un dominio Windows Active Directory (sarà un server Windows 2016). Soprattutto sono interessato a proteggere l'accesso di Windows a workstation / server per richiedere un token U2F come secondo fattore (solo la password non dovrebbe funzionare affatto).
In breve, l'obiettivo è che ogni autenticazione sia effettuata tramite password + token U2F o usando i token kerberos.
Qualsiasi suggerimento su dove trovare ulteriori informazioni su questo specifico scenario o sulle lezioni apprese sarebbe fantastico.
Non sono sicuro che ciò sia facilmente possibile, poiché U2F è stato specificamente progettato per il Web come soluzione di accesso decentrata. In teoria questo potrebbe funzionare, ma devi fare molta strada. Devi creare un AppID per il tuo dominio. La risposta alla sfida verrà eseguita localmente sul desktop. Poiché il dispositivo U2F non memorizza un certificato di accesso con smart card, non sarà mai possibile eseguire un'autenticazione Kerberos. Finirai
—
cornelinux il
Beh, almeno con una yubikey è possibile una soluzione basata su smart card se il percorso U2F non lo è - nel caso in cui si conoscano buone informazioni disponibili su AD basato su smartcard?
—
Fionn,
"Annuncio basato su smartcard"?
—
cornelinux,
Hai citato "Poiché il dispositivo U2F non memorizza un certificato di accesso con smart card, non sarai mai in grado di eseguire un'autenticazione Kerberos", per quanto ne so almeno lo yubikey può essere usato anche come smartcard. Quindi, quando si utilizza yubikey come smartcard, dovrebbe essere possibile proteggere Kerberos? Il problema è che anche la documentazione sull'AD sicuro con smart card è scarsa.
—
Fionn,
Puoi iniziare scaricando PIV Manage da yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux,