FIDO 2 - 4 lokale Benutzer auf 3 PCs
Guten Tag allerseits!
Frage: Wir haben 4 Benutzer, die alle auf 3 PCs einen eigenen lokalen Benutzer bekommen. (Workgroup)
Diese Benutzer würden dann die MS 365 Office Apps über den Status "Registered" beziehen.
Ist es möglich, auf allen 3 PCs Konten für diese 4 Benutzer anzulegen und das so, das jeder der 4 Benutzer an jedem der 3 PCs sich mit seinem FIDO2 Stick anmelden kann?
Bei Azure AD ist die Antwort ja klar. Die FIDO2 Sticks sind mit dem Azure AD Konto verbunden und können sich somit an allen 3 PCs anmelden.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit?
Ich vermute sehr stark dass die Antwort nein ist, aber ich dachte, ich frage hier mal nach!
Außerdem wünsche ich eine schöne Woche!
mfG
Goodfred
Frage: Wir haben 4 Benutzer, die alle auf 3 PCs einen eigenen lokalen Benutzer bekommen. (Workgroup)
Diese Benutzer würden dann die MS 365 Office Apps über den Status "Registered" beziehen.
Ist es möglich, auf allen 3 PCs Konten für diese 4 Benutzer anzulegen und das so, das jeder der 4 Benutzer an jedem der 3 PCs sich mit seinem FIDO2 Stick anmelden kann?
Bei Azure AD ist die Antwort ja klar. Die FIDO2 Sticks sind mit dem Azure AD Konto verbunden und können sich somit an allen 3 PCs anmelden.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit?
Ich vermute sehr stark dass die Antwort nein ist, aber ich dachte, ich frage hier mal nach!
Außerdem wünsche ich eine schöne Woche!
mfG
Goodfred
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13068645736
Url: https://administrator.de/forum/fido-2-4-lokale-benutzer-auf-3-pcs-13068645736.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Scheinen hier nicht so viele zu nutzen...
Google ist, wie so oft Dein Freund
Du gibst den Stick ja nicht an. Ich nutze den Yubikey und er ist mein Schweizer Taschenmesser, was Logins angeht. Aber nicht für Windows.
Viele Grüße, commodity
Google ist, wie so oft Dein Freund
Du gibst den Stick ja nicht an. Ich nutze den Yubikey und er ist mein Schweizer Taschenmesser, was Logins angeht. Aber nicht für Windows.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit
m.W. nein, wenn es um den User-Login geht. Yubico hat oder hatte eine Software für Win10, da konnte man Fido2 als zusätzlichenFaktor einsetzen.Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?
IMO klappt es sogar nur in AAD-Domains. Mit einer klassischen Domäne sollte die Anmeldung mit dem Yubikey als Smartcard möglich sein, wohl nicht aber mit FIDO2.Viele Grüße, commodity
Moin @Goodfred,
nein, das geht auch mit lokalen Accounts, du benötigst dafür jedoch Zusatzsoftware.
Das folgenden Beispiel zeigt wie das z.B. mit Yubico's funktioniert.
https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-f ...
Gruss Alex
Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?
nein, das geht auch mit lokalen Accounts, du benötigst dafür jedoch Zusatzsoftware.
Das folgenden Beispiel zeigt wie das z.B. mit Yubico's funktioniert.
https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-f ...
Gruss Alex
Meist liege ich falsch, wenn ich dem Kollegen @MysticFoxDE widerspreche
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Wenn das dem TO aber genügt (der Sicherheit dient es definitiv), ist dies der Weg.
Viele Grüße, commodity
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.
Wenn das dem TO aber genügt (der Sicherheit dient es definitiv), ist dies der Weg.
Viele Grüße, commodity
Moin @commodity,
wir haben beide nicht unrecht. 🤪
Du kannst mit dem Yubikey, soweit ich weiss beides machen. 😁
Wir haben das bei uns z.B. über die AD als zusätzliche Authentifizierungsmethode schor vor längerem implementiert.
Sprich, wenn ich den Yubikey zur Hand habe, dann schiebe ich diesen in den Rechner rein, gebe die PIN ein und schon bin ich drin. 🤪
Bei uns ist jedoch auch noch alternativ die Anmeldung mit Benutzername und Passwort weiterhin möglich.
Wie das mit dem Yubikey als 2FA Login funktioniert, habe ich noch gar nicht ausprobiert.
Mir ist ehrlich gesagt schon die Funktion, dass sich die User nur noch mit dem Yubikey und PIN anmelden, vollkommen ausreichend.
Denn in dem Fall, muss der Benutzer überhaupt nicht sein Account Passwort wissen und kann dieses demzufolge auch gar nicht bei irgendwelchen externen Accounts mitverwenden, wo es dann geklaut werden kann. 😁
Und wenn der Yubikey doch verloren geht, so kann der Finder ohne die PIN damit auch nichts wirklich anfangen.
Denn nach meine ich drei Fehlversuchen, wird der Yubikey wie auch eine SIM gesperrt und man muss zum freischalten den PUK eingeben.
Und wird auch der PUK x Mal falsch eingegeben, dann "killt" sich der Yubikey von alleine. 🤪
Damit das mit dem Yubikey als einzige Loginvariante sauber läuft, müssen jedoch alle Programme/Dienste die auf der AD Authentifizierung beruhen, SSO unterstützen und genau das ist leider bei vielen nicht der Fall. 😭
Gruss Alex
Meist liege ich falsch, wenn ich dem Kollegen @MysticFoxDE widerspreche
wir haben beide nicht unrecht. 🤪
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Du kannst mit dem Yubikey, soweit ich weiss beides machen. 😁
Wir haben das bei uns z.B. über die AD als zusätzliche Authentifizierungsmethode schor vor längerem implementiert.
Sprich, wenn ich den Yubikey zur Hand habe, dann schiebe ich diesen in den Rechner rein, gebe die PIN ein und schon bin ich drin. 🤪
Bei uns ist jedoch auch noch alternativ die Anmeldung mit Benutzername und Passwort weiterhin möglich.
Wie das mit dem Yubikey als 2FA Login funktioniert, habe ich noch gar nicht ausprobiert.
Mir ist ehrlich gesagt schon die Funktion, dass sich die User nur noch mit dem Yubikey und PIN anmelden, vollkommen ausreichend.
Denn in dem Fall, muss der Benutzer überhaupt nicht sein Account Passwort wissen und kann dieses demzufolge auch gar nicht bei irgendwelchen externen Accounts mitverwenden, wo es dann geklaut werden kann. 😁
Und wenn der Yubikey doch verloren geht, so kann der Finder ohne die PIN damit auch nichts wirklich anfangen.
Denn nach meine ich drei Fehlversuchen, wird der Yubikey wie auch eine SIM gesperrt und man muss zum freischalten den PUK eingeben.
Und wird auch der PUK x Mal falsch eingegeben, dann "killt" sich der Yubikey von alleine. 🤪
Damit das mit dem Yubikey als einzige Loginvariante sauber läuft, müssen jedoch alle Programme/Dienste die auf der AD Authentifizierung beruhen, SSO unterstützen und genau das ist leider bei vielen nicht der Fall. 😭
Gruss Alex
Hallo Alex,
die Kombi PIN und Yubikey ist natürlich ein sehr guter Mittelweg. Absolut machbar und schützt das Passwort. Werde ich mich mal ran machen.
Wenn ich das recht verstehe, funktioniert dieser Weg aber nur für Geräte im AD und nicht mit der Yubikey-Software "Yubikey-Login for Windows", die Du oben verlinkt hattest. Die ist ja nur für Arbeitsgruppencomputer vorgesehen und erwartet die Eingabe Username und Passwort (was ich nachteilig finde).
Ich glaube, ich hatte die Software seinerzeit (damals noch ohne AD) als nicht zielführend verworfen, weil parallele Anmeldewege (PIN) danach noch gingen und ich die PIN-Anmeldung nicht abschalten wollte. Bin aber nicht ganz sicher, ob das der Grund war. In der Beschreibung steht:
Am Rande noch ein Link, der im Kontext vielleicht für den einen oder anderen auch interessant sein könnte:
Yubikey for RDP Login
Viele Grüße, commodity
Viele Grüße, commodity
die Kombi PIN und Yubikey ist natürlich ein sehr guter Mittelweg. Absolut machbar und schützt das Passwort. Werde ich mich mal ran machen.
Wenn ich das recht verstehe, funktioniert dieser Weg aber nur für Geräte im AD und nicht mit der Yubikey-Software "Yubikey-Login for Windows", die Du oben verlinkt hattest. Die ist ja nur für Arbeitsgruppencomputer vorgesehen und erwartet die Eingabe Username und Passwort (was ich nachteilig finde).
Ich glaube, ich hatte die Software seinerzeit (damals noch ohne AD) als nicht zielführend verworfen, weil parallele Anmeldewege (PIN) danach noch gingen und ich die PIN-Anmeldung nicht abschalten wollte. Bin aber nicht ganz sicher, ob das der Grund war. In der Beschreibung steht:
Alternative sign-in methods supported by Windows will not be affected.
Am Rande noch ein Link, der im Kontext vielleicht für den einen oder anderen auch interessant sein könnte:
Yubikey for RDP Login
Viele Grüße, commodity
Viele Grüße, commodity