Estou procurando informações sobre como integrar o U2F (usando o YubiKey ou dispositivos semelhantes) em um domínio do Windows do Active Directory (será um servidor Windows 2016). Especialmente, estou interessado em proteger o logon do Windows em estações de trabalho / servidores para exigir um token U2F como um segundo fator (a senha apenas não deve funcionar).
Em resumo, o objetivo é que cada autenticação seja feita via senha + token U2F ou usando tokens kerberos.
Qualquer sugestão de onde encontrar mais informações sobre esse cenário específico ou as lições aprendidas seria ótimo.
Respostas:
Versão curta
Comecei a usar o FreeRADIUS com o NPS (Windows Network Policy Access Service) porque temos um ambiente Windows / Linux misto (e porque o YubiRADIUS não é mais suportado). O FreeRADUIS seria usado para vincular os YubiKey's ao AD Auth juntos.
Nas minhas pesquisas, encontrei alguns recursos não livres, como o WiKID Systems e o AuthLite, para realizar dois fatores com o Yubikeys (links abaixo). Parece que existe uma maneira de me aproximar muito dos serviços internos do Windows (NPS) que eu estava usando como base para o meu trabalho no FreeRADIUS.
Aqui está um tutorial para fazer o NPS trabalhar com o WiKD
http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/
Este URL descreve como fazê-lo funcionar com o AuthLite
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
Ambas as implementações parecem desejar que alguma forma de servidor RADIUS repasse a autenticação do segundo fator. Pelo menos esse é o meu entendimento.
Além disso: se você pesquisar "yubikey de 2 fatores do Windows Server 2016" ou semelhante, poderá encontrar mais.
Espero que isto ajude!
fonte