Я шукаю інформацію про те, як інтегрувати U2F (за допомогою YubiKey або подібних пристроїв) у домен Active Directory Windows (буде сервер Windows 2016). Особливо мені цікаво забезпечити вхід Windows на робочі станції / сервери, щоб вимагати маркер U2F як другий фактор (тільки пароль не повинен працювати взагалі).
Коротше кажучи, мета полягає в тому, щоб кожна автентифікація виконувалася через пароль + маркер U2F або використовувала лексеми kerberos.
Будь-які підказки, де можна отримати додаткову інформацію про цей конкретний сценарій чи вивчені уроки, були б чудовими.
Я не впевнений, чи легко це можливо, оскільки U2F був розроблений спеціально для Інтернету як децентралізованого рішення для входу. Теоретично це може спрацювати, але вам доведеться пройти дуже довгий шлях. Ви повинні скласти AppID для свого домену. Відповідь на виклик буде виконуватися локально на робочому столі. Оскільки пристрій U2F не зберігає сертифікат входу для смарт-карт, ви ніколи не зможете зробити автентифікацію kerberos. Ви завжди знайдете таке рішення на стороні клієнта: turboirc.com/bluekeylogin
—
cornelinux
Принаймні, з юбікею можливе рішення на основі смарт-карт, якщо шлях до U2F немає - про всяк випадок, якщо ви знаєте хорошої доступної інформації про смарт-картку AD?
—
Фіонн
"Smartcard на основі AD"?
—
cornelinux
Ви згадали "Оскільки пристрій U2F не зберігає сертифікат для входу в смарт-карту, ви ніколи не зможете зробити автентифікацію kerberos", наскільки я знаю, юбікій може бути використаний як смартфон. Тож при використанні юбікею як смарт-картки має бути можливість захистити kerberos? Проблема навіть у тому, що документація щодо захищеного смарт-карткою AD є рідкою.
—
Фіон
Ви можете почати із завантаження програми PIV Manage від yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux