मैं एक सक्रिय निर्देशिका विंडोज डोमेन में U2F (YubiKey या इसी तरह के उपकरणों का उपयोग करके) को एकीकृत करने के बारे में जानकारी के लिए खोज कर रहा हूं (एक विंडोज 2016 सर्वर होगा)। विशेष रूप से मैं विंडोज़ लॉगऑन को कार्यस्थानों / सर्वरों के लिए एक दूसरे कारक के रूप में U2F टोकन की आवश्यकता के लिए सुरक्षित करना चाहता हूं (केवल पासवर्ड को काम नहीं करना चाहिए)।
संक्षेप में लक्ष्य यह है कि प्रत्येक प्रमाणीकरण या तो पासवर्ड + U2F टोकन के माध्यम से किया जाता है या केरबरोस टोकन का उपयोग किया जाता है।
किसी भी संकेत जहां इस विशिष्ट परिदृश्य या सीखे गए सबक के बारे में अधिक जानकारी प्राप्त करना बहुत अच्छा होगा।
मुझे यकीन नहीं है कि यह आसानी से संभव है, क्योंकि U2F विशेष रूप से वेब के लिए एक डी-केंद्रीकृत लॉगिन समाधान के रूप में डिज़ाइन किया गया था। सिद्धांत रूप में यह काम कर सकता है, लेकिन आपको बहुत लंबा रास्ता तय करना होगा। आपको अपने डोमेन के लिए एक अप्पड बनाना होगा। चुनौती की प्रतिक्रिया स्थानीय रूप से डेस्कटॉप पर की जाएगी। चूंकि U2F डिवाइस स्मार्टकार्ड लॉगऑन सर्टिफिकेट को स्टोर नहीं करता है इसलिए आप कभी भी केर्बरोस ऑथेंटिकेशन नहीं कर पाएंगे। आप हमेशा इस तरह से एक ग्राहक पक्ष समाधान के साथ समाप्त करेंगे: turboirc.com/bluekeylogin
—
कॉर्नेलिनक्स
कम से कम एक yubikey के साथ एक स्मार्टकार्ड आधारित समाधान संभव है यदि U2F पथ नहीं है - बस मामले में क्या आप स्मार्टकार्ड आधारित AD के बारे में अच्छी उपलब्ध जानकारी के बारे में जानते हैं?
—
फियन
"स्मार्टकार्ड आधारित AD"?
—
कॉर्नेलिनक्स
आपने उल्लेख किया है "जैसा कि U2F डिवाइस एक स्मार्टकार्ड लॉगऑन सर्टिफिकेट को स्टोर नहीं करता है, आप कभी भी केर्बरोस ऑथेंटिकेशन नहीं कर पाएंगे", जहां तक मुझे पता है कि yubikey कम से कम स्मार्टकार्ड के रूप में भी इस्तेमाल किया जा सकता है। तो जब yubikey का उपयोग स्मार्टकार्ड के रूप में किया जाता है, तो केबरोस को सुरक्षित करना संभव होना चाहिए? समस्या यह भी है कि स्मार्टकार्ड सुरक्षित विज्ञापन के बारे में दस्तावेज विरल है।
—
फिओन
आप yubico से PIV प्रबंधित डाउनलोड करके शुरू कर सकते हैं। yubico.com/support/knowledge-base/categories/articles/piv-tools
—
Cornelinux