Estou procurando informações sobre como integrar o U2F (usando o YubiKey ou dispositivos semelhantes) em um domínio do Windows do Active Directory (será um servidor Windows 2016). Especialmente, estou interessado em proteger o logon do Windows em estações de trabalho / servidores para exigir um token U2F como um segundo fator (a senha apenas não deve funcionar).
Em resumo, o objetivo é que cada autenticação seja feita via senha + token U2F ou usando tokens kerberos.
Qualquer sugestão de onde encontrar mais informações sobre esse cenário específico ou as lições aprendidas seria ótimo.
Não tenho certeza se isso é facilmente possível, pois o U2F foi projetado especificamente para a Web como uma solução de login descentralizada. Em teoria, isso pode funcionar, mas você precisa percorrer um longo caminho. Você precisa criar um AppID para o seu domínio. A resposta ao desafio será realizada localmente na área de trabalho. Como o dispositivo U2F não armazena um certificado de logon de cartão inteligente, você nunca poderá fazer uma autenticação kerberos. Você sempre terá uma solução do lado do cliente como esta: turboirc.com/bluekeylogin
—
cornelinux 26/11/16
Bem, pelo menos com um yubikey, uma solução baseada em cartão inteligente é possível se o caminho U2F não for - apenas no caso de você conhecer boas informações disponíveis sobre o AD baseado em cartão inteligente?
—
Fionn
"AD baseado em cartão inteligente"?
—
Cornelinux 27/11/16
Você mencionou "Como o dispositivo U2F não armazena um certificado de logon de cartão inteligente, você nunca poderá fazer uma autenticação kerberos", pelo que eu saiba, pelo menos o yubikey também pode ser usado como cartão inteligente. Então, ao usar o yubikey como um cartão inteligente, deve ser possível proteger kerberos? O problema é que a documentação sobre o AD protegido por cartão inteligente é escassa.
—
Fionn
Você pode começar baixando o PIV Manage do yubico. yubico.com/support/knowledge-base/categories/articles/piv-tools
—
cornelinux