Saya mencari informasi tentang cara mengintegrasikan U2F (menggunakan YubiKey atau perangkat serupa) ke dalam Active Directory Windows Domain (Akan menjadi Server Windows 2016). Terutama saya tertarik untuk mengamankan windows logon ke workstation / server untuk memerlukan token U2F sebagai faktor kedua (kata sandi tidak boleh bekerja sama sekali).
Singkatnya tujuannya adalah bahwa setiap otentikasi dilakukan melalui kata sandi + token U2F atau menggunakan token kerberos.
Petunjuk mana pun untuk menemukan informasi lebih lanjut tentang skenario khusus ini atau pelajaran yang dipetik akan sangat bagus.
Saya tidak yakin apakah ini mudah, karena U2F dirancang khusus untuk web sebagai solusi masuk yang tidak terpusat. Secara teori ini mungkin berhasil, tetapi Anda harus menempuh jalan yang sangat panjang. Anda harus membuat AppID untuk domain Anda. Respons tantangan akan dilakukan secara lokal di desktop. Karena perangkat U2F tidak menyimpan sertifikat masuk kartu pintar, Anda tidak akan pernah bisa melakukan otentikasi kerberos. Anda akan selalu berakhir dengan solusi sisi klien seperti ini: turboirc.com/bluekeylogin
—
cornelinux
Yah setidaknya dengan yubikey solusi berbasis smartcard dimungkinkan jika jalur U2F tidak - kalau-kalau Anda tahu informasi yang tersedia tentang AD berbasis smartcard?
—
Fionn
"AD berbasis kartu pintar"?
—
cornelinux
Anda menyebutkan "Karena perangkat U2F tidak menyimpan sertifikat masuk smartcard, Anda tidak akan pernah dapat melakukan otentikasi kerberos", sejauh yang saya tahu yubikey setidaknya dapat digunakan sebagai kartu pintar juga. Jadi ketika menggunakan yubikey sebagai smartcard itu mungkin untuk mengamankan kerberos? Masalahnya bahkan dokumentasi tentang smartcard secure AD jarang.
—
Fionn
Anda dapat mulai dengan mengunduh PIV Manage dari yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux