U2F (YubiKey, etc.) et Active Directory

11

Je recherche des informations sur la façon d'intégrer U2F (en utilisant YubiKey ou des appareils similaires) dans un domaine Windows Active Directory (sera un serveur Windows 2016). En particulier, je suis intéressé à sécuriser la connexion Windows aux postes de travail / serveurs pour exiger un jeton U2F comme deuxième facteur (le mot de passe uniquement ne devrait pas fonctionner du tout).

En bref, l'objectif est que chaque authentification soit effectuée via un mot de passe + un jeton U2F ou à l'aide de jetons Kerberos.

Tout indice où trouver de plus amples informations sur ce scénario spécifique ou les leçons apprises serait formidable.

active-directory authentication windows-server-2016 two-factor-authentication Fionn
la source
Je ne sais pas si cela est facilement possible, car U2F a été spécialement conçu pour le Web en tant que solution de connexion décentralisée. En théorie, cela pourrait fonctionner, mais vous devez aller très loin. Vous devez créer un AppID pour votre domaine. La réponse de défi sera effectuée localement sur le bureau. Comme le périphérique U2F ne stocke pas de certificat de connexion par carte à puce, vous ne pourrez jamais effectuer une authentification Kerberos. Vous vous retrouverez toujours avec une solution côté client comme celle-ci: turboirc.com/bluekeylogin
cornelinux
Eh bien au moins avec un yubikey, une solution basée sur une carte à puce est possible si le chemin U2F n'est pas - juste au cas où vous connaissez de bonnes informations disponibles sur la carte à puce basée sur AD?
Fionn
"AD basé sur carte à puce"?
cornelinux
Vous avez mentionné "Comme l'appareil U2F ne stocke pas de certificat de connexion par carte à puce, vous ne pourrez jamais faire d'authentification Kerberos", pour autant que je sache, le yubikey au moins peut également être utilisé comme carte à puce. Ainsi, lors de l'utilisation du yubikey comme carte à puce, il devrait être possible de sécuriser les kerberos? Le problème est même que la documentation sur AD sécurisée par carte à puce est rare.
Fionn
Vous pouvez commencer par télécharger le PIV Manage depuis yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
cornelinux

Réponses:

1

Version courte

J'ai commencé à chercher à utiliser FreeRADIUS avec le service NPS (Windows Network Policy Access Service) car nous avons un environnement mixte Windows / Linux (et parce que YubiRADIUS n'est plus pris en charge). FreeRADUIS serait utilisé pour lier les YubiKey à l'AD Auth ensemble.

Dans mes recherches, j'ai trouvé quelques ressources non gratuites telles que WiKID Systems et AuthLite pour faire 2 facteurs avec Yubikeys (liens ci-dessous). Il semble qu'il existe un moyen de se rapprocher vraiment en utilisant les services Windows intégrés (en utilisant la stratégie réseau et les services d'accès (NPS)) que j'utilisais comme base pour mon travail FreeRADIUS.

Voici un tutoriel pour faire fonctionner NPS avec WiKD

http://www.techworld.com/tutorial/security/configuring-nps-2012-for-two-factor-authentication-3223170/

Cette URL décrit comment le faire fonctionner avec AuthLite

https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/

Les deux implémentations semblent vouloir qu'une certaine forme de serveur RADIUS passe le long de l'authentification du deuxième facteur. C'est du moins ce que je comprends.

De plus: si vous recherchez «yubikey à 2 facteurs Windows Server 2016», ou similaire, vous pourrez peut-être en trouver plus.

J'espère que cela t'aides!

BanjoFox
la source