Ich suche nach Informationen zum Integrieren von U2F (mit YubiKey oder ähnlichen Geräten) in eine Active Directory-Windows-Domäne (wird ein Windows 2016-Server sein). Insbesondere bin ich daran interessiert, die Windows-Anmeldung an Arbeitsstationen / Servern so zu sichern, dass ein U2F-Token als zweiter Faktor erforderlich ist (nur das Kennwort sollte überhaupt nicht funktionieren).
Kurz gesagt, das Ziel ist, dass jede Authentifizierung entweder über Passwort + U2F-Token oder mithilfe von Kerberos-Token erfolgt.
Alle Hinweise, wo Sie weitere Informationen zu diesem speziellen Szenario oder zu den gewonnenen Erkenntnissen finden, sind hilfreich.
Ich bin mir nicht sicher, ob dies leicht möglich ist, da U2F speziell für das Web als dezentrale Anmeldelösung entwickelt wurde. Theoretisch mag das funktionieren, aber Sie müssen einen sehr langen Weg gehen. Sie müssen eine AppID für Ihre Domain erstellen. Die Challenge-Antwort wird lokal auf dem Desktop ausgeführt. Da das U2F-Gerät kein Smartcard-Anmeldezertifikat speichert, können Sie niemals eine Kerberos-Authentifizierung durchführen. Sie werden immer mit einer clientseitigen Lösung wie dieser enden
—
cornelinux
Nun, zumindest mit einem yubikey ist eine Smartcard-basierte Lösung möglich, wenn der U2F-Pfad nicht vorhanden ist - nur für den Fall, dass Sie gute verfügbare Informationen über Smartcard-basierte AD kennen?
—
Fionn
"Smartcard-basierte AD"?
—
Cornelinux
Sie haben erwähnt, dass "da das U2F-Gerät kein Smartcard-Anmeldezertifikat speichert, Sie niemals eine Kerberos-Authentifizierung durchführen können", soweit ich weiß, kann der Yubikey zumindest auch als Smartcard verwendet werden. Wenn Sie den Yubikey als Smartcard verwenden, sollte es möglich sein, Kerberos zu sichern? Das Problem ist sogar, dass die Dokumentation über Smartcard Secured AD spärlich ist.
—
Fionn
Sie können beginnen, indem Sie PIV Manage von yubico herunterladen. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux