我正在寻找有关如何将 U2F(使用 YubiKey 或类似设备)集成到 Active Directory Windows 域(将是 Windows 2016 服务器)的信息。我尤其感兴趣的是确保 Windows 登录到工作站/服务器的安全,以要求使用 U2F 令牌作为第二个因素(仅使用密码根本不起作用)。
简而言之,目标是每次身份验证都是通过密码+U2F 令牌或使用 kerberos 令牌完成的。
关于这个特定场景或经验教训的更多信息,任何关于哪里可以找到的提示都会很有用。
答案1
简洁版本
我开始研究将 FreeRADIUS 与 Windows 网络策略访问服务 (NPS) 结合使用,因为我们拥有混合的 Windows/Linux 环境(并且 YubiRADIUS 不再受支持)。FreeRADUIS 将用于将 YubiKey 与 AD Auth 绑定在一起。
我在搜索中找到了几个非免费资源,例如 WiKID Systems 和 AuthLite,它们可用于使用 Yubikeys 进行双因素身份验证(链接如下)。似乎有一种方法可以使用内置 Windows 服务(使用网络策略和访问服务 (NPS))来实现非常接近的效果,我将其用作 FreeRADIUS 工作的基础。
这是使 NPS 与 WiKD 协同工作的教程
此 URL 描述了如何使其与 AuthLite 配合使用
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
这两种实现似乎都需要某种形式的 RADIUS 服务器来传递第二因素身份验证。至少这是我的理解。
此外:如果您搜索“Windows Server 2016 2-factor yubikey”或类似内容,您可能会找到更多内容。
希望这可以帮助!