ฉันกำลังค้นหาข้อมูลเกี่ยวกับวิธีการรวม U2F (โดยใช้ YubiKey หรืออุปกรณ์ที่คล้ายกัน) ในโดเมน Windows ของ Active Directory (จะเป็นเซิร์ฟเวอร์ Windows 2016) โดยเฉพาะอย่างยิ่งฉันสนใจในการรักษาความปลอดภัยการเข้าสู่ระบบ windows ไปยังเวิร์กสเตชัน / เซิร์ฟเวอร์เพื่อต้องการโทเค็น U2F เป็นปัจจัยที่สอง (รหัสผ่านเท่านั้นไม่ควรทำงานเลย)
ในระยะสั้นเป้าหมายคือการรับรองความถูกต้องแต่ละครั้งจะทำผ่านรหัสผ่าน + โทเค็น U2F หรือใช้โทเค็น Kerberos
คำแนะนำใด ๆ ที่จะหาข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์เฉพาะหรือบทเรียนที่เรียนรู้นี้จะดีมาก
ฉันไม่แน่ใจว่าสิ่งนี้เป็นไปได้อย่างง่ายดายหรือไม่เนื่องจาก U2F ได้รับการออกแบบมาโดยเฉพาะสำหรับเว็บเป็นโซลูชันการเข้าสู่ระบบแบบรวมศูนย์ ในทางทฤษฎีสิ่งนี้อาจใช้ได้ แต่คุณต้องไปไกลมาก คุณต้องสร้าง AppID สำหรับโดเมนของคุณ การตอบสนองต่อความท้าทายจะดำเนินการในพื้นที่บนเดสก์ท็อป เนื่องจากอุปกรณ์ U2F ไม่ได้จัดเก็บใบรับรองการเข้าสู่ระบบสมาร์ทการ์ดคุณจะไม่สามารถทำการตรวจสอบสิทธิ์ Kerberos ได้ คุณจะจบลงด้วยการแก้ปัญหาด้านลูกค้าเช่นนี้: turboirc.com/bluekeylogin
—
cornelinux
อย่างน้อยก็มี yubikey โซลูชันที่ใช้สมาร์ทการ์ดเป็นไปได้ถ้าเส้นทาง U2F ไม่ได้ - ในกรณีที่คุณทราบข้อมูลที่ดีเกี่ยวกับโฆษณาที่ใช้สมาร์ทการ์ดหรือไม่
—
Fionn
"โฆษณาตาม Smartcard" หรือไม่
—
cornelinux
คุณพูดถึง "เนื่องจากอุปกรณ์ U2F ไม่ได้จัดเก็บใบรับรองการเข้าสู่ระบบสมาร์ทการ์ดคุณจะไม่สามารถทำการตรวจสอบสิทธิ์ Kerberos ได้" เท่าที่ฉันรู้ว่า yubikey อย่างน้อยก็สามารถใช้เป็นสมาร์ทการ์ดได้เช่นกัน ดังนั้นเมื่อใช้ yubikey เป็นสมาร์ทการ์ดคุณควรจะรักษา Kerberos ได้หรือไม่ ปัญหาคือแม้เอกสารเกี่ยวกับโฆษณาที่มีความปลอดภัยมาร์ทการ์ดจะกระจัดกระจาย
—
Fionn
คุณสามารถเริ่มต้นด้วยการดาวน์โหลด PIV Manage จาก yubico yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux