U2F (YubiKey, etc.) y Active Directory

11

Estoy buscando información sobre cómo integrar U2F (usando YubiKey o dispositivos similares) en un dominio de Windows de Active Directory (será un servidor Windows 2016). Especialmente estoy interesado en asegurar el inicio de sesión de Windows en estaciones de trabajo / servidores para requerir un token U2F como segundo factor (la contraseña solo no debería funcionar en absoluto).

En resumen, el objetivo es que cada autenticación se realice mediante contraseña + token U2F o utilizando tokens kerberos.

Cualquier sugerencia sobre dónde encontrar más información sobre este escenario específico o las lecciones aprendidas sería genial.

active-directory authentication windows-server-2016 two-factor-authentication Fionn
fuente
No estoy seguro de si esto es fácilmente posible, ya que U2F fue diseñado específicamente para la web como una solución de inicio de sesión descentralizada. En teoría, esto podría funcionar, pero hay que recorrer un largo camino. Tienes que inventar un AppID para tu dominio. La respuesta al desafío se realizará localmente en el escritorio. Como el dispositivo U2F no almacena un certificado de inicio de sesión con tarjeta inteligente, nunca podrá realizar una autenticación kerberos. Siempre terminará con una solución del lado del cliente como esta: turboirc.com/bluekeylogin
cornelinux el
Bueno, al menos con un yubikey, es posible una solución basada en una tarjeta inteligente si la ruta U2F no lo es, ¿en caso de que conozca la buena información disponible sobre AD basada en tarjeta inteligente?
Fionn
¿"AD basada en tarjeta inteligente"?
cornelinux el
Usted mencionó "Como el dispositivo U2F no almacena un certificado de inicio de sesión con tarjeta inteligente, nunca podrá hacer una autenticación kerberos", por lo que sé, el yubikey al menos también se puede usar como tarjeta inteligente. Entonces, cuando se usa el yubikey como tarjeta inteligente, ¿debería ser posible asegurar kerberos? El problema es que incluso la documentación sobre AD con tarjeta inteligente es escasa.
Fionn
Puede comenzar descargando PIV Manage desde yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux el

Respuestas:

1

Version corta

Comencé a buscar el uso de FreeRADIUS con el Servicio de acceso a políticas de red de Windows (NPS) porque tenemos un entorno mixto de Windows / Linux (y porque YubiRADIUS ya no es compatible). FreeRADUIS se usaría para vincular las YubiKey a la autenticación AD juntas.

En mis búsquedas encontré un par de recursos no gratuitos como WiKID Systems y AuthLite para hacer 2 factores con Yubikeys (enlaces a continuación). Parece que hay una manera de acercarse mucho usando los servicios integrados de Windows (usando la Política de red y los Servicios de acceso (NPS)) que estaba usando como base para mi trabajo en FreeRADIUS.

Aquí hay un tutorial para que NPS funcione con WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Esta URL describe cómo hacer que funcione con AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Ambas implementaciones parecen querer alguna forma de servidor RADIUS para transmitir la autenticación de segundo factor. Al menos eso es lo que yo entiendo.

Además: si busca "Windows Server 2016 2-factor yubikey", o similar, puede encontrar más.

¡Espero que esto ayude!

BanjoFox
fuente