web-dev-qa-db-ja.com

多要素認証はどのようにAD認証プロセスを変更しますか?

Windowsベースのシステムで多要素認証をサポートするために何を更新する必要があるのか​​を理解しようとしています。

変更する必要がある可能性のある可能性のあるもの:

  • Active Directory /ドメインコントローラー

  • アプリケーション自体(IIS、Apache + Webサイト)

  • サーバーまたはワークステーションの 資格情報プロバイダー (新しいGINA)

5

それは本当にあなたが多要素認証を実装するために使うテクノロジーに依存します。 Active Directoryでスマートカードを使用する場合は、スマートカードをサポートするようにすべてのクライアントデバイスを変更し、証明書のADの各ユーザーアカウントを構成する必要があります。 IISを変更する必要はありません。Windows認証だけを行う予定の場合は、クライアント認証でIISで相互認証を行う場合は、 d設定する必要があります。IIS=で実行されているアプリがWindows認証をサポートしていない場合は、多要素認証をサポートするようにアプリを変更する必要があります。サードパーティのソリューションを使用している場合は、すべて私が働いている会社には、Windows用の資格情報プロバイダー、カスタムアプリケーション用のAPI、IIS用のISAPIモジュールなどがあります。RSAのソリューションも同様で、他のすべてのソリューションの99%も同様です。

私が言ったように、それはあなたが使用するテクノロジーに依存しますが、基本的にすべてそれは要約されます:あなたは多要素認証を必要とする認証のすべてのポイントを修正しなければならず、それがサポートできない場合はそれを無効にします。

4
Steve

アプリケーションに2要素認証を追加するには、MS Radiusプラグインの使用を検討することをお勧めします。半径を話すようにアプリを構成するか、ForefrontやSSL-VPNなど、RADIUS認証を処理できるものの前にアプリを配置する必要があります。彼らは、グループメンバーシップなどの条件を適用するNPSに半径を話します。すべて問題なければ、NPSは資格情報を2要素認証サーバーにプロキシします。簡単な概要については、 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-nps を参照してください。

利点:ユーザー(AD)を無効にする1つの場所、ユーザーはユーザー名とOTPでログインするため、LANの外部でパスワードを使用せず、半径の強力な標準を使用しており、他の多くのシステムを追加して問題なく交換できます。

GINAはすべて一緒に別のものです。半径をサポートするpginaのようなものを見ることができますが、問題があります。そのため、多くの企業が代わりにリモートデスクトップソリューションを採用しています。

1
nowen