U2F (YubiKey, ecc.) E Active Directory


11

Sto cercando informazioni su come integrare U2F (utilizzando YubiKey o dispositivi simili) in un dominio Windows Active Directory (sarà un server Windows 2016). Soprattutto sono interessato a proteggere l'accesso di Windows a workstation / server per richiedere un token U2F come secondo fattore (solo la password non dovrebbe funzionare affatto).

In breve, l'obiettivo è che ogni autenticazione sia effettuata tramite password + token U2F o usando i token kerberos.

Qualsiasi suggerimento su dove trovare ulteriori informazioni su questo specifico scenario o sulle lezioni apprese sarebbe fantastico.


Non sono sicuro che ciò sia facilmente possibile, poiché U2F è stato specificamente progettato per il Web come soluzione di accesso decentrata. In teoria questo potrebbe funzionare, ma devi fare molta strada. Devi creare un AppID per il tuo dominio. La risposta alla sfida verrà eseguita localmente sul desktop. Poiché il dispositivo U2F non memorizza un certificato di accesso con smart card, non sarà mai possibile eseguire un'autenticazione Kerberos. Finirai
cornelinux il

Beh, almeno con una yubikey è possibile una soluzione basata su smart card se il percorso U2F non lo è - nel caso in cui si conoscano buone informazioni disponibili su AD basato su smartcard?
Fionn,

"Annuncio basato su smartcard"?
cornelinux,

Hai citato "Poiché il dispositivo U2F non memorizza un certificato di accesso con smart card, non sarai mai in grado di eseguire un'autenticazione Kerberos", per quanto ne so almeno lo yubikey può essere usato anche come smartcard. Quindi, quando si utilizza yubikey come smartcard, dovrebbe essere possibile proteggere Kerberos? Il problema è che anche la documentazione sull'AD sicuro con smart card è scarsa.
Fionn,

Puoi iniziare scaricando PIV Manage da yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux,

Risposte:


1

Versione breve

Ho iniziato a esaminare FreeRADIUS con il servizio di accesso ai criteri di rete (NPS) di Windows perché disponiamo di un ambiente Windows / Linux misto (e perché YubiRADIUS non è più supportato). FreeRADUIS verrebbe usato per legare insieme gli YubiKey all'Author AD.

Nelle mie ricerche ho trovato un paio di risorse non gratuite come WiKID Systems e AuthLite per fare 2 fattori con Yubikeys (link sotto). Sembra che ci sia un modo per avvicinarsi molto usando i servizi Windows integrati (usando i criteri di rete e i servizi di accesso (NPS)) che stavo usando come base per il mio lavoro con FreeRADIUS.

Ecco un tutorial per far funzionare NPS con WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Questo URL descrive come farlo funzionare con AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Entrambe le implementazioni sembrano volere che una qualche forma di RADIUS Server passi lungo l'autenticazione di secondo fattore. Almeno questa è la mia comprensione.

Inoltre: se cerchi "yubikey a 2 fattori Windows Server 2016" o simile, potresti trovarne di più.

Spero che questo ti aiuti!

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.