U2F (YubiKey 등) 및 Active Directory Directory Windows 도메인

U2F (YubiKey 또는 유사한 장치 사용)를 Active Directory Windows 도메인 (Windows 2016 서버)에 통합하는 방법에 대한 정보를 찾고 있습니다. 특히 U2F 토큰을 두 번째 요소로 요구하기 위해 워크 스테이션 / 서버에 Windows 로그온을 보호하는 데 관심이 있습니다 (암호 만 작동하지 않아야 함).

간단히 말해 각 인증은 password + U2F 토큰 또는 kerberos 토큰을 통해 수행됩니다.

이 특정 시나리오 또는 학습 한 교훈에 대한 추가 정보를 찾을 수있는 힌트가 있으면 좋을 것입니다.



답변

짧은 버전

Windows / Linux 환경이 혼합되어 있고 YubiRADIUS가 더 이상 지원되지 않기 때문에 Windows NPS (Network Policy Access Service)와 함께 FreeRADIUS를 사용하기 시작했습니다. FreeRADUIS는 YubiKey를 AD Auth에 연결하는 데 사용됩니다.

검색에서 Yubikeys와 함께 2 단계를 수행하기위한 WiKID Systems 및 AuthLite와 같은 두 가지 비 무료 리소스가 발견되었습니다 (아래 링크). FreeRADIUS 작업의 기초로 사용했던 내장 된 Windows 서비스 (NPS (Network Policy and Access Services) 사용)를 사용하여 실제로 접근 할 수있는 방법이 있습니다.

다음은 NPS를 WiKD와 함께 사용하기위한 자습서입니다.

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

이 URL은 AuthLite와 작동하도록하는 방법을 설명합니다

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

두 구현 모두 어떤 형태의 RADIUS 서버가 2 차 인증을 통과하기를 원하는 것으로 보입니다. 적어도 그것은 나의 이해입니다.

또한 “Windows Server 2016 2 단계 yubikey”또는 이와 유사한 것을 검색하면 더 많은 것을 찾을 수 있습니다.

도움이 되었기를 바랍니다!


답변