我正在搜索有关如何将U2F(使用YubiKey或类似设备)集成到Active Directory Windows域(将是Windows 2016 Server)的信息。特别是我对确保Windows登录到工作站/服务器的安全性感兴趣,要求将U2F令牌作为第二个因素(仅密码根本不起作用)。
简而言之,目标是通过密码+ U2F令牌或使用kerberos令牌来完成每个身份验证。
在哪里可以找到有关此特定方案的更多信息或所汲取的经验教训的任何提示都是不错的选择。
我不确定这是否容易实现,因为U2F是专为Web设计的分散式登录解决方案。从理论上讲这可能有效,但是您必须走很长一段路。您必须为您的域组成一个AppID。质询响应将在桌面上本地执行。由于U2F设备不存储智能卡登录证书,因此您将永远无法进行Kerberos身份验证。您总会得到这样的客户端解决方案:turboirc.com/bluekeylogin
—
cornelinux
至少使用yubikey,如果U2F路径不可行,则可以使用基于智能卡的解决方案-以防万一您是否知道有关基于智能卡的AD的可用信息?
—
Fionn
“基于智能卡的广告”?
—
cornelinux '16
您提到“由于U2F设备不存储智能卡登录证书,因此您将永远无法进行kerberos身份验证”,据我所知,至少yubikey也可以用作智能卡。因此,当将yubikey用作智能卡时,应该可以保护kerberos吗?问题甚至在于有关智能卡保护的AD的文档很少。
—
Fionn
您可以先从yubico下载PIV Manage。yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux