U2F (YubiKey 등) 및 Active Directory

U2F (YubiKey 또는 유사한 장치 사용)를 Active Directory Windows 도메인 (Windows 2016 서버)에 통합하는 방법에 대한 정보를 찾고 있습니다. 특히 U2F 토큰을 두 번째 요소로 요구하기 위해 워크 스테이션 / 서버에 Windows 로그온을 보호하는 데 관심이 있습니다 (암호 만 작동하지 않아야 함).

간단히 말해 각 인증은 password + U2F 토큰 또는 kerberos 토큰을 통해 수행됩니다.

이 특정 시나리오 또는 학습 한 교훈에 대한 추가 정보를 찾을 수있는 힌트가 있으면 좋을 것입니다.

— 피온
소스

U2F가 웹을 위해 탈 중앙화 로그인 솔루션으로 특별히 설계 되었기 때문에 이것이 가능한지 확실하지 않습니다. 이론적으로는 이것이 효과가있을 수 있지만, 매우 먼 길을 가야합니다. 도메인의 AppID를 구성해야합니다. 챌린지 응답은 데스크톱에서 로컬로 수행됩니다. U2F 장치는 스마트 카드 로그온 인증서를 저장하지 않으므로 Kerberos 인증을 수행 할 수 없습니다. 당신은 항상이 같은 클라이언트 측 솔루션으로 종료됩니다 : turboirc.com/bluekeylogin

— cornelinux

U2F 경로가 그렇지 않으면 스마트 카드 기반 솔루션이 가능합니다. 스마트 카드 기반 AD에 대한 유용한 정보가 있습니까?

— Fionn

"스마트 카드 기반 AD"?

— cornelinux

유 유키가 최소한 스마트 카드로도 사용될 수 있다는 것을 아는 한 "U2F 장치는 스마트 카드 로그온 인증서를 저장하지 않으므로 Kerberos 인증을 수행 할 수 없습니다"라고 언급했습니다. yubikey를 스마트 카드로 사용할 때 kerberos를 확보 할 수 있어야합니까? 문제는 스마트 카드 보안 AD에 대한 문서조차 드물다는 것입니다.

— Fionn

yubico에서 PIV 관리를 다운로드하여 시작할 수 있습니다. yubico.com/support/knowledge-base/categories/articles/piv-tools

— cornelinux

짧은 버전

Windows / Linux 환경이 혼합되어 있고 YubiRADIUS가 더 이상 지원되지 않기 때문에 Windows NPS (Network Policy Access Service)와 함께 FreeRADIUS를 사용하기 시작했습니다. FreeRADUIS는 YubiKey를 AD Auth에 연결하는 데 사용됩니다.

검색에서 Yubikeys와 함께 2 단계를 수행하기위한 WiKID Systems 및 AuthLite와 같은 두 가지 비 무료 리소스가 발견되었습니다 (아래 링크). FreeRADIUS 작업의 기초로 사용했던 내장 된 Windows 서비스 (NPS (Network Policy and Access Services) 사용)를 사용하여 실제로 접근 할 수있는 방법이 있습니다.

다음은 NPS를 WiKD와 함께 사용하기위한 자습서입니다.

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

이 URL은 AuthLite와 작동하도록하는 방법을 설명합니다

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

두 구현 모두 어떤 형태의 RADIUS 서버가 2 차 인증을 통과하기를 원하는 것으로 보입니다. 적어도 그것은 나의 이해입니다.

또한 "Windows Server 2016 2 단계 yubikey"또는 이와 유사한 것을 검색하면 더 많은 것을 찾을 수 있습니다.

도움이 되었기를 바랍니다!

— 반조 폭스
소스