U2F(YubiKeyなど)およびActive Directory

11

U2Fを(YubiKeyまたは同様のデバイスを使用して)Active Directory Windowsドメイン(Windows 2016サーバーになります)に統合する方法に関する情報を探しています。特に、2番目の要素としてU2Fトークンを要求するために、ワークステーション/サーバーへのWindowsログオンをセキュリティで保護することに関心があります(パスワードのみがまったく機能しないはずです)。

要するに、目標は、各認証がパスワード+ U2Fトークンまたはkerberosトークンを使用して行われることです。

この特定のシナリオに関する詳細情報や学習した教訓を見つけるためのヒントは素晴らしいでしょう。

active-directory  authentication  windows-server-2016  two-factor-authentication 
フィオン
ソース
U2Fは、分散ログインソリューションとしてWeb用に特別に設計されているため、これが簡単に可能かどうかはわかりません。理論的にはこれでうまくいくかもしれませんが、非常に長い道のりを歩かなければなりません。ドメインのAppIDを作成する必要があります。チャレンジレスポンスはデスクトップ上でローカルに実行されます。U2Fデバイスはスマートカードログオン証明書を保存しないため、Kerberos認証を行うことはできません。:あなたは、常にこのようなクライアント側のソリューションとなってしまいますturboirc.com/bluekeylogin
cornelinux
まあ、少なくともyubikeyでは、U2Fパスがなければスマートカードベースのソリューションが可能です。念のために、スマートカードベースのADに関する有効な情報を知っていますか。
フィオン
「スマートカードベースのAD」
cornelinux
「U2Fデバイスにはスマートカードログオン証明書が保存されていないため、少なくともyubikeyがスマートカードとして使用できることを知っている限り、Kerberos認証を行うことはできません」と述べました。yubikeyをスマートカードとして使用する場合、Kerberosを保護することは可能でしょうか?問題は、スマートカードで保護されたADに関する文書でさえもまばらです。
フィオン
yubicoからPIV Manageをダウンロードすることから始めることができます。yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

回答:

1

短縮版

Windows / Linuxが混在する環境があるため(およびYubiRADIUSがサポートされなくなったため)、FreeRADIUSとWindowsネットワークポリシーアクセスサービス(NPS)の併用を検討し始めました。FreeRADUISは、YubiKeyをAD Authに結び付けるために使用されます。

私の検索で、Yubikeysで2要素を実行するためのWiKID SystemsやAuthLiteなどのフリーでないリソースがいくつか見つかりました(以下のリンク)。FreeRADIUSの作業の基礎として使用していた組み込みのWindowsサービス(ネットワークポリシーとアクセスサービス(NPS)を使用)を実際に使用する方法があります。

NPSをWiKDで動作させるためのチュートリアルがあります

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

このURLは、AuthLiteで動作させる方法を説明しています

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

どちらの実装も、何らかの形式のRADIUSサーバーが2番目の要素の認証を渡すことを望んでいるようです。少なくともそれは私の理解です。

また、「Windows Server 2016 2-factor yubikey」などを検索すると、さらに検索できる場合があります。

お役に立てれば!

バンジョーフォックス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.