U2F(YubiKeyなど)とActive Directory
U2Fを(YubiKeyまたは同様のデバイスを使用して)Active Directory Windowsドメイン(Windows 2016サーバーになる予定)に統合する方法についての情報を探しています。特に、ワークステーション/サーバーへのWindowsログオンをセキュリティで保護し、第2要素としてU2Fトークンを要求することに興味があります(パスワードだけではまったく機能しないはずです)。
つまり、各認証は、パスワード+ U2FトークンまたはKerberosトークンを使用して行われます。
この特定のシナリオや学習した教訓に関する詳細情報を見つけるためのヒントがあれば、すばらしいでしょう。
短縮版
WindowsとLinuxの混在環境があるため(そしてYubiRADIUSがサポートされなくなったため)、Windowsネットワークポリシーアクセスサービス(NPS)でFreeRADIUSを使用することを検討し始めました。 FreeRADUISは、YubiKeyをAD Authに結び付けるために使用されます。
私の検索で、Yubikeysで2要素を実行するためのWiKID SystemsやAuthLiteなどの非フリーのリソースをいくつか見つけました(以下のリンク)。 FreeRADIUSの作業の基礎として使用していた組み込みのWindowsサービス(ネットワークポリシーとアクセスサービス(NPS)を使用)を実際に使用する方法があるようです。
これはWiPSでNPSを動作させるためのチュートリアルです
このURLは、AuthLiteと連動させる方法を説明しています
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
どちらの実装でも、何らかの形式のRADIUSサーバーに第2要素の認証を渡す必要があります。少なくともそれが私の理解です。
さらに、「Windows Server 2016 2ファクターユビキー」などを検索すると、さらに検索できる場合があります。
お役に立てれば!