На чем лучше реализовывать двухфакторную аутентификацию в AD DS?
1. На чем сейчас лучше построить вход в домен: Smart-карты или USB-токены?
2. Реально ли построить это без стороннего ПО?
Нужно уйти от логинов и паролей в сторону двойной аутентификации с помощью токенов.
Нашел два вида ключей JaCarta-2 PKI и Рутокен'ы. Рутокены требуют какие то ПО ставить чтобы эта фигня работала. Но я знаю что в AD DS можно это как то реализовать через центр сертификации, но ведь нужно будет ПО чтобы записать сертификаты на ЮСБи токены и т.д.
Может кто реализовывал рабочую схему подобного и может поделиться мануалом не столетней давности?
Без 3rd party не знаю, софт rohos key меня устраивает + google authenticator.
В доменной среде поддерживается, но не пользовался, ибо нужно только для домашнего RDP - когда невозможно использоватю vpn.
PS
Т.к. вам видимо нужен бесплатный вариант - это не ваш случай.
Нужен бесплатный вариант, тем более скорее всего он есть. Возможно даже на банальной службе AD CS, просто я не могу найти толковый мануал как это довести до ума, чтобы был окончательный рабочий вариант.
Desert-Eagle, не хочу вас отговаривать, но с вероятностью 99% такого нет. Банальная служба AD CS, не очень банальная, и цель у нее другая - банальный внутрикорпоративный PKI :-)
Вы же хотите не подписывать, шифровать, а изменить механизм аутентификации. А это msgina.dll если я не ошибаюсь, дополнительный софт, использующий вызовы этой длл, со своими формами аутентификации.
akelsey, Вы видимо не сильно вникали туда, я точно знаю что можно реализовать аутентификацию через smart-карты без дополнительного ПО. Настраивается в GPO через шаблоны сертификатов, которые прописываются на карты, там же и включает вход на ПК через токены.
Просто я думаю, что допольнительное ПО дает больше плюшек в плане реализации, по типу: Общая консоль, управления жизнями токенов, права доступа и т.д.
