U2F'yi (YubiKey veya benzeri aygıtları kullanarak) Active Directory Windows Etki Alanı'na (Windows 2016 Sunucusu olacak) entegre etme hakkında bilgi arıyorum. Özellikle ikinci bir faktör olarak bir U2F jetonu gerektiren iş istasyonlarına / sunuculara windows oturum açma güvenliğini ilgileniyorum (sadece şifre hiç çalışmamalı).
Kısacası amaç, her kimlik doğrulamasının şifre + U2F jetonu veya kerberos jetonları kullanılarak yapılmasıdır.
Bu özel senaryo veya öğrenilen dersler hakkında daha fazla bilgi bulabileceğiniz ipuçları harika olur.
U2F web için merkezi olmayan bir giriş çözümü olarak özel olarak tasarlandığından, bunun kolayca mümkün olup olmadığından emin değilim. Teorik olarak bu işe yarayabilir, ancak çok uzun bir yol kat etmelisiniz. Alan adınız için bir AppID oluşturmanız gerekir. Sınama yanıtı masaüstünde yerel olarak gerçekleştirilecektir. U2F cihazı bir akıllı kart oturum açma sertifikasını saklamadığından hiçbir zaman kerberos kimlik doğrulaması yapamazsınız. Her zaman böyle bir müşteri tarafı çözümü ile karşılaşacaksınız: turboirc.com/bluekeylogin
—
cornelinux
En azından bir yubikey ile U2F yolu değilse akıllı kart tabanlı bir çözüm mümkündür - akıllı kart tabanlı AD hakkında mevcut iyi bilgileri biliyor olmanız durumunda?
—
Fionn
"Akıllı kart tabanlı AD"?
—
cornelinux
En azından bildiğim kadarıyla yubikey akıllı kart olarak da kullanılabilir. Peki yubikey'i akıllı kart olarak kullanırken kerberos güvenliğini sağlamak mümkün olmalı? Sorun, akıllı kartla korunan AD ile ilgili belgelerin bile seyrek olmasıdır.
—
Fionn
Yubico'dan PIV Yönetimi'ni indirerek başlayabilirsiniz. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux