सक्रिय निर्देशिका + Google प्रमाणक - विज्ञापन FS, या कैसे?

10

(उत्तर-लेखकों की समझ का मिलान करने के लिए संपादित - नया, ताज़ा, स्वच्छ प्रश्न यहाँ पोस्ट किया गया: सक्रिय निर्देशिका + Google प्रमाणक - विंडोज सर्वर में मूल समर्थन? )

रिसर्च किया तो बहुत दूर

सक्रिय निर्देशिका Federated Services (AD FS) के साथ Google प्रमाणक का उपयोग करने का एक तकनीकी लेख है: https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/use/time-based-one-time -passwords के लिए बहु कारक प्रमाणीकरण-इन-एड-FS-3-0 /

अजीब तरह से, यह एक देव परियोजना प्रतीत होती है, जिसमें कुछ कोड और अपने स्वयं के SQL DB की आवश्यकता होती है।

हम यहां विशेष रूप से AD FS की बात नहीं कर रहे हैं। हम देख रहे हैं, जब आप इसे प्राप्त करते हैं, तो 2FA के लिए, AD में निर्मित Google प्रमाणक RFC का समर्थन करने के लिए, प्रीफ़ करें।

windows  active-directory  authentication 
जोंसोम पुनः स्थापित मोनिका
स्रोत
Google प्रमाणक एक मालिकाना ग्राहक है। समतुल्य RSA टोकन होगा। आप जो चाहते हैं वह प्रमाणीकरण सर्वर या सेवा है जो AD FS के साथ काम करने वाले प्रमाणक का समर्थन करता है। मैं AD FS से परिचित नहीं हूं, लेकिन सामान्य रूप से AD के लिए, NPS का उपयोग अधिकांश 2FA सर्वरों को एकीकृत करने के लिए किया जा सकता है क्योंकि अधिकांश RADIUS का समर्थन करते हैं। यदि AD FS प्रमाणीकरण के लिए त्रिज्या का उपयोग कर सकता है, तो आप ADFS >> NPS / AD >> 2FA सर्वर पर जा सकते हैं। ठीक वैसे ही जैसे आप किसी वीपीएन आदि के लिए करते हैं
20:22 बजे
@ आप गलत हैं। प्रति en.wikipedia.org/wiki/Google_Authenticator Google प्रमाणक RFC 6238 पर आधारित है। इस RFC को लागू करने वाले अन्य प्रमाणक ऐप्स भी हैं, और वे Google प्रमाणक के साथ विनिमेय हैं।
जोंसोम ने मोनिका
सही @samsmith मेरा मतलब था 'क्लोज्ड सोर्स' यह स्पष्ट करने के लिए कि यह अब नहीं खुला है।
अब
@ नहीं, तुम अभी भी इस बिंदु से दूर हो। RFC सार्वजनिक है। Microsoft सहित बहुत सी कंपनियों ने प्रमाणिक एप्स का निर्माण किया है जो कि संगत w google प्रमाणक हैं। तुम्हारी पूरी बात बंद है। हम AD में उचित MFA की तलाश कर रहे हैं (जैसा कि हमें हर चीज में MFA की आवश्यकता होती है)।
जोंसोम ने मोनिका
मैं शायद बाल-बाल बँटा हूँ। ;-)। मेरा मतलब है कि Google प्रमाणक उत्पाद Google इंक। क्रोम की संपत्ति है और ओपेरा मालिकाना सॉफ्टवेयर के अन्य उदाहरण हैं जो खुले RFC को लागू करते हैं और मालिकाना होते हैं। यह ओपन-सोर्स हुआ करता था, लेकिन Google एक मालिकाना लाइसेंस में बदल गया।
nowen

जवाबों:

9

हमें यह देखने की जरूरत है कि यहां क्या हो रहा है।

AD FS सभी SAML के बारे में है । यह SAML पहचान प्रदाता के रूप में उपयोग करने के लिए सक्रिय निर्देशिका से कनेक्ट होगा। Google में पहले से ही SAML सेवा प्रदाता के रूप में कार्य करने की क्षमता है । दोनों को एक साथ रखें, इसलिए Google आपके सर्वर के एसएएमएल टोकन पर भरोसा करेगा, और आप सक्रिय निर्देशिका क्रेडेंशियल्स के माध्यम से Google खाते में प्रवेश कर रहे हैं। 1

दूसरी ओर, Google प्रमाणक, एक पहचान प्रदाता के एक कारक के रूप में कार्य करता है ... आमतौर पर Google की अपनी सेवा के लिए। हो सकता है कि अब आप देख सकते हैं कि AD FS के साथ यह वास्तव में कैसे फिट नहीं है। Google के साथ AD FS का उपयोग करते समय, आप वास्तव में Google के आइडेंटिटी प्रोवाइडर का उपयोग नहीं कर रहे हैं, और जब तक AD FS Google को वापस बंद कर देता है, तब तक पहचान पक्ष पहले ही समाप्त हो जाता है। आप कुछ भी किया है, यह प्रमाणक एक के रूप में की आवश्यकता होती है करने के लिए गूगल को विन्यस्त किया जाएगा पूरक के शीर्ष पर पहचान की पुष्टि (लेकिन से अलग) ई एफएस या अन्य SAML पहचान प्रदाताओं। (नोट: मुझे नहीं लगता कि Google इसका समर्थन करता है, लेकिन उन्हें ऐसा करना चाहिए)।

अब, इसका मतलब यह नहीं है कि आप जो करना चाहते हैं वह असंभव है ... बस यह शायद सबसे अच्छा फिट नहीं है। जबकि यह मुख्य रूप से सक्रिय निर्देशिका के साथ उपयोग किया जाता है, AD FS को एक अधिक सामान्य SAML सेवा के रूप में कार्य करने के लिए डिज़ाइन किया गया है; आप इसे सक्रिय निर्देशिका की तुलना में अन्य पहचान प्रदाताओं से जोड़ सकते हैं, और यह कई अलग-अलग विकल्पों और एक्सटेंशनों का समर्थन करता है। इनमें से एक अपने स्वयं के मल्टी-फैक्टर प्रमाणीकरण प्रदाता बनाने की क्षमता है। इसके अतिरिक्त, Google प्रमाणक बहु-कारक प्रमाणीकरण के लिए TOTP मानक का समर्थन करता है ।

दोनों को एक साथ रखें, और AD FS के साथ मूल प्रमाणीकरण प्रदाता के रूप में Google प्रमाणक का उपयोग करना संभव है (हालांकि निश्चित रूप से तुच्छ नहीं)। आपके द्वारा जोड़ा गया लेख इस तरह के एक प्रयास की अवधारणा का प्रमाण है। हालाँकि, यह ऐसा कुछ नहीं है जो FS FS बॉक्स से बाहर है; यह प्लग-इन बनाने के लिए प्रत्येक मल्टी-फैक्टर सेवा पर निर्भर है।

हो सकता है कि एमएस कुछ बड़े म्यूटली-फैक्टर प्रदाताओं (अगर ऐसी कोई बात है) के लिए प्रथम-पक्ष का समर्थन प्रदान कर सकता है, लेकिन Google प्रमाणक पर्याप्त नया है और AD FS 3.0 पुराना है जो ऐसा करने के लिए संभव नहीं है इस रिलीज के समय में। इसके अतिरिक्त, MS के लिए इनको बनाए रखना चुनौतीपूर्ण होगा, जब इन पर कोई प्रभाव नहीं पड़ेगा या इन अन्य प्रदाताओं को कौन से अपडेट धक्का दे सकते हैं।

हो सकता है जब विंडोज सर्वर 2016 अपडेटेड एडी एफएस से बाहर हो तो यह आसान हो जाएगा। लगता है कि उन्होंने बेहतर मल्टी-फैक्टर सपोर्ट के लिए कुछ काम किया है , लेकिन मुझे बॉक्स में एक प्रतियोगी के प्रमाणक सहित किसी भी नोट के बारे में नहीं दिखता है। इसके बजाय, ऐसा लगता है कि वे चाहते हैं कि आप ऐसा करने के लिए एज़्योर स्थापित करें, और संभवतः अपने स्वयं के प्रतियोगी के लिए एक आईओएस / एंड्रॉइड / विंडोज ऐप प्रदान करें।

मैं अंततः MS डिलीवर क्या देखना चाहता हूँ, एक सामान्य TOTP प्रदाता है, जहाँ मैं यह बताने के लिए कुछ चीजों को कॉन्फ़िगर करता हूँ कि मैं Google प्रमाणक से बात कर रहा हूँ, और यह बाकी काम करता है। शायद किसी दिन। हो सकता है कि सिस्टम पर अधिक विस्तृत नज़र डालें, एक बार जब हम वास्तव में इसे प्राप्त कर सकते हैं, तो इसे वहां दिखाएंगे।

1 रिकॉर्ड के लिए, मैंने यह किया है। ध्यान रखें कि जब आप छलांग लगाते हैं, तो यह जानकारी उस ऐप या अन्य ऐप पर लागू नहीं होगी जो खाते का उपयोग करते हैं। दूसरे शब्दों में, आप Google खाते का एक बड़ा हिस्सा तोड़ रहे हैं । इससे बचने के लिए, आपको Google का पासवर्ड सिंक टूल इंस्टॉल और कॉन्फ़िगर करना होगा । टूल के साथ, हर बार जब कोई सक्रिय निर्देशिका में अपना पासवर्ड बदलता है, तो आपका डोमेन नियंत्रक इन अन्य प्रमाणीकरणों के साथ उपयोग के लिए Google को पासवर्ड का एक हैश भेजेगा।

इसके अतिरिक्त, यह आपके उपयोगकर्ताओं के लिए सभी या कुछ भी नहीं है। आप समापन बिंदु IP पते द्वारा प्रतिबंधित कर सकते हैं, लेकिन उपयोगकर्ताओं के आधार पर नहीं। इसलिए यदि आपके पास विरासत उपयोगकर्ता हैं (उदाहरण के लिए: एक कॉलेज में पूर्व छात्र) जो किसी भी सक्रिय निर्देशिका क्रेडेंशियल को नहीं जानते हैं, तो उन सभी को ले जाना एक चुनौती हो सकती है। इस कारण से, मैं वर्तमान में Google के साथ AD FS का उपयोग नहीं कर रहा हूं, हालांकि मैं अभी भी छलांग लगाने की उम्मीद कर रहा हूं। हमने अब वह छलांग लगाई है।

जोएल कोएल
स्रोत
विस्तार के लिए धन्यवाद। बहुत मददगार! हम सब थोड़ा बग़ल में चले गए, इसलिए ओपी ने स्पष्टता के लिए बढ़ाया।
जोन्सोम ने मोनिका
"नई" पोस्ट पढ़ रहा है ... विंडोज सिर्फ इस का समर्थन नहीं करता है, और 2016 मदद नहीं करेगा ... लेकिन यह स्मार्ट कार्ड का समर्थन करता है। यदि आप 2 कारक चाहते हैं, तो वहां देखें।
जोएल कोएल
Microsoft के पास पहले से ही एक प्रमाणक ऐप है।
माइकल हैम्पटन
@samsmith इस बारे में सोचते हुए ... यह देखते हुए कि यहाँ दो सुविचारित उत्तर दिए गए हैं, दोनों ने इस प्रश्न का गलत अर्थ निकाला है, मैं सुझाव देता हूँ कि आप इस प्रश्न को संपादित करें कि यह पूछने के लिए कि हम सब ने सोचा था कि आप पहले क्या चाहते थे, और फिर एक नया प्रश्न पूछें जो आप वास्तव में पूछ रहे हैं चाहते हैं, आपको अपने प्रश्न को एक ऐसे श्रोता से जोड़ने का बेहतर मौका दें जो आपको जवाब दे सके। मुझे नहीं पता कि क्या आप "स्मार्टकार्ड" से बेहतर काम करेंगे, लेकिन यह एक शॉट के लायक है।
जोएल कोएल
1
@ जोलकोल ने किया। धन्यवाद। serverfault.com/q/764646/13716
जोन्सोम ने मोनिका
7

मुझे लगता है कि आपका प्रश्न यह धारणा गलत बनाता है कि किसी विशेष विक्रेता के 2FA / MFA समाधान के लिए समर्थन जोड़ना Microsoft का काम है। लेकिन बहुत सारे 2FA / MFA उत्पाद हैं जो पहले से ही Windows और AD का समर्थन करते हैं क्योंकि विक्रेताओं ने उस समर्थन को जोड़ने के लिए चुना है। अगर Google को नहीं लगता कि समर्थन जोड़ना काफी महत्वपूर्ण है, तो यह वास्तव में Microsoft की गलती नहीं है। प्रमाणीकरण और प्राधिकरण संबंधित एपीआई अच्छी तरह से प्रलेखित और उपयोग करने के लिए स्वतंत्र हैं।

आप जिस ब्लॉग को सैंपल कोड से लिंक करते हैं, उसे कोई भी पोस्ट कर सकता है, जो अपने स्वयं के AD FS वातावरण में RFC6238 TOTP समर्थन जोड़ने के लिए लिख सकता है। यह Google प्रमाणक के साथ काम करने के लिए होता है कि RFC का समर्थन करने वाले प्रमाणक का सिर्फ एक पक्ष प्रभाव है। मैं "कॉन्सेप्ट का प्रमाण", "कोई उचित त्रुटि से निपटने", और "सुरक्षा को ध्यान में रखकर नहीं बनाया जा रहा" कोड के बारे में नीचे दिए गए अस्वीकरणों के लिटनी पर भी ध्यान दूंगा।

किसी भी मामले में, नहीं। मुझे विश्वास नहीं है कि Google प्रमाणक का समर्थन स्पष्ट रूप से विंडोज सर्वर 2016 में समर्थित होगा। लेकिन मुझे नहीं लगता कि कुछ भी Google को सर्वर 2016 या उससे पहले समर्थन को जोड़ने से रोक रहा है।

रयान बोलगर
स्रोत
इतना ही नहीं, लेकिन एमएस अपने स्वयं के MFA को Windows Azure में धकेलता है।
विस्तार के लिए धन्यवाद। बहुत मददगार! हम सब थोड़ा बग़ल में चले गए, इसलिए ओपी ने स्पष्टता के लिए बढ़ाया।
जोन्सोम ने मोनिका
रयान, आप यह अवैध धारणा बनाते हैं कि Google प्रमाणक एक "विशेष विक्रेता" है, वास्तव में, यह RFC 6238 en.wikipedia.org/wiki/Google_Authenticator का कार्यान्वयन है जो मैं AD के लिए RFC- आधारित 2FA समाधान के लिए पूछ रहा हूं। मैं विशेष रूप से Google प्रमाणक के लिए नहीं कह रहा हूं (जो वास्तव में संभव नहीं है, क्योंकि अन्य RFC 6238 आधारित ऐप हैं जो Google प्रमाणक के साथ विनिमेय हैं)
जोन्सोम पुनः स्थापित मोनिका
सम्मानपूर्वक, मूल अप्रकाशित प्रश्न, जिसका मैंने विशेष रूप से पूछे गए (बहुत अधिक स्नार्क के साथ) उत्तर दिया कि क्या AD को Google प्रमाणक के लिए मूल समर्थन था और यदि नहीं, तो क्या यह सर्वर 2016 में अपेक्षित था। मैं उन प्रश्नों के मूल उत्तर के साथ खड़ा हूं।
रयान बोलगर
1

उत्तर, अक्टूबर 2017 तक:

डुओ से एमएफए सक्षम सिस्टम का उपयोग करें जो एलडीएपी को वापस एडी में करते हैं

हमने हर चीज पर शोध या प्रयास किया है।

  • Azure / Microsoft MFA (सेट अप करने के लिए जटिल और समय लेने वाली, ऑपरेशन में नाजुक)
  • RADIUS सर्वर

जबकि हम 50 उपयोगकर्ताओं के लिए डीयूओ की परिचालन लागत को पसंद नहीं करते हैं, हमारे लिए लागत, स्थापित करने और उपयोग करने के लिए सरलता के लायक है।

हमने अब तक इसका उपयोग किया है:

  • वीपीएन एक्सेस के लिए सिस्को एएसए डिवाइस

  • वीपीएन एक्सेस के लिए सोनिकवॉल रिमोट एक्सेस उपकरण (एलडीएपी करने वाले डिवाइस के साथ विज्ञापन भी)

हम किसी भी अन्य दृष्टिकोण के बारे में नहीं जानते हैं जो 2-4 घंटे में स्थापित किया जा सकता है और एमएफए एलडीएपी सेवाओं को सक्षम करता है जो ईडी को लटकाते हैं।

हमें विश्वास है कि AD खुद को Google प्रमाणक के पीछे TOTP / HOTP RFC का समर्थन करना चाहिए, और गहराई से निराश हैं कि MS ने Windows Server 2016 में इसे ठीक से हल नहीं किया है।

जोंसोम पुनः स्थापित मोनिका
स्रोत
भविष्य के संदर्भ के लिए, यहां एक और विकल्प, wikidsystems.com/learn-more/features-benefits/… है , लेकिन TOTP भी नहीं।
nowen
-2

ADFS के साथ वन टाइम पासवर्ड ऑथेंटिकेशन के लिए पहले से ही एक मुफ्त प्लगिंग है। यह Google या Microsoft प्रमाणक एप्लिकेशन के साथ ठीक काम करता है। अधिक जानकारी के लिए www.securemfa.com देखें। मैं उत्पादन में किसी भी मुद्दे के बिना इसका उपयोग कर रहा हूं।

पीटर बेल्स
स्रोत
यहाँ मुद्दा यह है कि एक निशुल्क थर्ड पार्टी प्लगइन, जो SQL सर्वर में डेटा संग्रहीत करता है: वास्तव में बदबू आ रही है। यह एमएस (ओएस में), या एक प्रतिष्ठित सुरक्षा विक्रेता से आने की जरूरत है। कोशिश के लिए धन्यवाद!
जोंसोम ने मोनिका को
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.