我正在搜索有关如何将U2F(使用YubiKey或类似设备)集成到Active Directory
Windows域(将是
Windows 2016 Server)的信息.特别是我有兴趣保护Windows登录到工作站/服务器以要求U2F令牌作为第二个因素(密码不应该根本不起作用).
简而言之,目标是每个身份验证都通过密码U2F令牌或使用kerberos令牌完成.
精简版
我开始考虑将FreeRADIUS与Windows网络策略访问服务(NPS)一起使用,因为我们有一个混合的Windows / Linux环境(并且因为不再支持YubiRADIUS). FreeRADUIS将用于将YubiKey与AD Auth绑定在一起.
在我的搜索中,我找到了几个非免费资源,如WiKID Systems和AuthLite,用于与Yubikeys进行双因素(下面的链接).那些 – 似乎是一种使用内置Windows服务(使用网络策略和访问服务(NPS))非常接近的方式,我使用它作为我的FreeRADIUS工作的基础.
这是一个让NPS与WiKD一起工作的教程
此URL描述了如何使其与AuthLite一起使用
https://www.tachyondynamics.com/yubikey-and-windows-domain-2-factor-authentication/
两种实现似乎都希望某种形式的RADIUS服务器传递第二因子身份验证.至少这是我的理解.
另外:如果您搜索“Windows Server 2016双因素yubikey”或类似内容,您可以找到更多.
希望这可以帮助!