我正在search有关如何将U2F(使用YubiKey或类似设备)集成到Active Directory Windows域(将成为Windows 2016服务器)的信息。 特别是我有兴趣确保Windowslogin到工作站/服务器需要一个U2F令牌作为第二个因素(密码只应该不起作用)。
简而言之,目标是通过密码+ U2F令牌或者使用Kerberos令牌来完成每个authentication。
任何提示可以find关于这个特定场景或经验教训的进一步信息。
短版
我开始考虑将FreeRADIUS与Windowsnetworking策略访问服务(NPS)结合使用,因为我们有一个混合的Windows / Linux环境(因为YubiRADIUS不再受支持)。 FreeRADUIS将被用于将YubiKey和AD Auth绑定在一起。
在我的search中,我发现了一些非自由的资源,比如WiKID Systems和AuthLite,用于与Yubikeys做双因素(下面的链接)。 有一些似乎是使用内置的Windows服务(使用networking策略和访问服务(NPS))真正closures的方法,这是我用作FreeRADIUS工作的基础。
这是一个让NPS与WiKD合作的教程
这个URL描述了如何使它与AuthLite一起工作
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
两种实现似乎都希望某种forms的RADIUS服务器传递第二因素authentication。 至less这是我的理解。
此外:如果您search“Windows Server 2016 2因子yubikey”或类似的,您可能能够find更多。
希望这可以帮助!