U2F (YubiKey, etc) e Active Directory

11

Estou procurando informações sobre como integrar o U2F (usando o YubiKey ou dispositivos semelhantes) em um domínio do Windows do Active Directory (será um servidor Windows 2016). Especialmente, estou interessado em proteger o logon do Windows em estações de trabalho / servidores para exigir um token U2F como um segundo fator (a senha apenas não deve funcionar).

Em resumo, o objetivo é que cada autenticação seja feita via senha + token U2F ou usando tokens kerberos.

Qualquer sugestão de onde encontrar mais informações sobre esse cenário específico ou as lições aprendidas seria ótimo.

Fionn
fonte
Não tenho certeza se isso é facilmente possível, pois o U2F foi projetado especificamente para a Web como uma solução de login descentralizada. Em teoria, isso pode funcionar, mas você precisa percorrer um longo caminho. Você precisa criar um AppID para o seu domínio. A resposta ao desafio será realizada localmente na área de trabalho. Como o dispositivo U2F não armazena um certificado de logon de cartão inteligente, você nunca poderá fazer uma autenticação kerberos. Você sempre terá uma solução do lado do cliente como esta: turboirc.com/bluekeylogin
cornelinux 26/11/16
Bem, pelo menos com um yubikey, uma solução baseada em cartão inteligente é possível se o caminho U2F não for - apenas no caso de você conhecer boas informações disponíveis sobre o AD baseado em cartão inteligente?
Fionn
"AD baseado em cartão inteligente"?
Cornelinux 27/11/16
Você mencionou "Como o dispositivo U2F não armazena um certificado de logon de cartão inteligente, você nunca poderá fazer uma autenticação kerberos", pelo que eu saiba, pelo menos o yubikey também pode ser usado como cartão inteligente. Então, ao usar o yubikey como um cartão inteligente, deve ser possível proteger kerberos? O problema é que a documentação sobre o AD protegido por cartão inteligente é escassa.
Fionn
Você pode começar baixando o PIV Manage do yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Respostas:

1

Versão curta

Comecei a usar o FreeRADIUS com o NPS (Windows Network Policy Access Service) porque temos um ambiente Windows / Linux misto (e porque o YubiRADIUS não é mais suportado). O FreeRADUIS seria usado para vincular os YubiKey's ao AD Auth juntos.

Nas minhas pesquisas, encontrei alguns recursos não livres, como o WiKID Systems e o AuthLite, para realizar dois fatores com o Yubikeys (links abaixo). Parece que existe uma maneira de me aproximar muito dos serviços internos do Windows (NPS) que eu estava usando como base para o meu trabalho no FreeRADIUS.

Aqui está um tutorial para fazer o NPS trabalhar com o WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Este URL descreve como fazê-lo funcionar com o AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Ambas as implementações parecem desejar que alguma forma de servidor RADIUS repasse a autenticação do segundo fator. Pelo menos esse é o meu entendimento.

Além disso: se você pesquisar "yubikey de 2 fatores do Windows Server 2016" ou semelhante, poderá encontrar mais.

Espero que isto ajude!

BanjoFox
fonte