Двухфакторная аутентификация в домене?

Подскажите способы организовать двухфакторную аутентификацию в домене для сотрудников.
Рабочие станции на Windows 7. Домен - MS AD.
Насколько я знаю, есть продукт JaCarta и вроде как с помощью него можно реализовать такой функционал. Может у кого есть опыт работы с ним?
  • Вопрос задан
  • 4872 просмотра
Решения вопроса 1
@aeowka Автор вопроса
Пожалуй сам и отвечу.
Есть два варианта применить двухфакторную аутентификацию при помощи токенов JaCarta или аналогов:
1) Ставим ПО на компьютер, на котором будет использоваться токен, это ПО генерирует длинный пароль и присваивает его учетке в AD, а так же записывает его на токен. В итоге при логине на компьютер берется пароль с токена и передается в AD, если все ок, то вы получаете доступ к рабочему столу. Т.е. по сути механизм аутентификации не меняется, он остается парольным, только вам его не надо помнить.
2) В домене разворачивается центр сертификации, на нужных компьютерах задаем политику входа только по смарт-карте (токену) и генерируем сертификаты для нужных пользователей, записывая их на токен. В итоге на выбранных компьютерах невозможно авторизоваться по логину/паролю, а сделать это можно только по смарт-карте (токену).
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Tkreks
@Tkreks
Системный инженер
точно не могу подсказать, лучше не джакарты а етокены, у нас 2-3 джакарты в год выходят из строя, когда етокены работают уже лет 5, и ломаются только потому что на них наступилм, утопили, оплавили. Есть софт крипто про, смотрите в их сторону, подробнее не подскажу к сожалению.
Ответ написан
Комментировать
asilonos
@asilonos
Программист
Самое быстрое и недорогое решение - Rohos Logon Key (rohos.ru). из плюсов - поддержка любых типов токенов, не требует сертификатов, Консоль управления списком Ключей на весь домен, переход на другие методы аутентификации такие как U2F ключи, OTP, Linux есть в поддержке.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы