Windows Domäne (ohne Azure AD) und 2 FA mit YubiKey
Hallo zusammen
Ich habe hier yubiKey 5 NFC und habe damit das ein oder andere Konto geschützt. An einem normalen PC kann ich mit der Software vom Hersteller den Login schützen, damit der Login nur noch geht wenn der YubiKey steckt.
Gibt es auch eine möglichkeit ähnliches in einer Domäne zu verwenden? Es soll jedoch keine Pflicht sein, und wenn dann nir wer in einer gewissen Sicherheitsgruppe ist. Aber aktuell würde es auf freiwilliger basis reichen.
Ich habe bisher nur eine Lösung gefunden den YubiKey als smartcard zu verwenden. Aber da braucht es ja kein Kennwort mehr (2FA)
Und für Bitlocker mit PreBoot key kann ich den YubiKey für den schlüssel verwenden aber nicht als smartcard da es glaub Windows nicht unterstützt. Ist das korrekt?
Gruss
Koda
Ich habe hier yubiKey 5 NFC und habe damit das ein oder andere Konto geschützt. An einem normalen PC kann ich mit der Software vom Hersteller den Login schützen, damit der Login nur noch geht wenn der YubiKey steckt.
Gibt es auch eine möglichkeit ähnliches in einer Domäne zu verwenden? Es soll jedoch keine Pflicht sein, und wenn dann nir wer in einer gewissen Sicherheitsgruppe ist. Aber aktuell würde es auf freiwilliger basis reichen.
Ich habe bisher nur eine Lösung gefunden den YubiKey als smartcard zu verwenden. Aber da braucht es ja kein Kennwort mehr (2FA)
Und für Bitlocker mit PreBoot key kann ich den YubiKey für den schlüssel verwenden aber nicht als smartcard da es glaub Windows nicht unterstützt. Ist das korrekt?
Gruss
Koda
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 550768
Url: https://administrator.de/forum/windows-domaene-ohne-azure-ad-und-2-fa-mit-yubikey-550768.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
wenn Du den Yubikey als Smartcard verwendest, wird eine PIN für den Key vergeben. Dann hast Du Deine 2FA. An dem betreffenden AD-Benutzerkonto stellst Du dann „Smartcard erforderlich“ ein. Beim Login wird dann die PIN verlangt. Eine Anmeldung ist dann mit Password nicht mehr möglich, die PIN ist aber immer erforderlich.
Grüße
lcer
wenn Du den Yubikey als Smartcard verwendest, wird eine PIN für den Key vergeben. Dann hast Du Deine 2FA. An dem betreffenden AD-Benutzerkonto stellst Du dann „Smartcard erforderlich“ ein. Beim Login wird dann die PIN verlangt. Eine Anmeldung ist dann mit Password nicht mehr möglich, die PIN ist aber immer erforderlich.
Grüße
lcer
Das reicht ja auch nicht. Folge dieser Anleitung vom Hersteller dann funktioniert das auch auf Anhieb in einer Domain
YubiKey Smart Card Deployment Guide
YubiKey Smart Card Deployment Guide
Hallo KodaCH!
ich versuche seit einigen Tage das selbe mit meinem YubiKey 5 NFC in einer Domäne einzurichten und stehe nun vor den selben Herausforderungen.
Aktuell habe ich das Problem, dass mir im Login egal die Smart-Card nicht erkannt wird (Minidriver ist installiert) und Login versuche ich zum Testen auf einen TS via RDP.
Ich habe mit GPOs (gibt mehrere für SmartCards) und mit dem in den AD-Account-Einstellungen versucht das Problem bisher zu lösen, leider ohne Erfolg.
Ich vermute aktuell, dass es an der Vorlage liegt. Kannst du mir sagen, wie du deine Vorlage für die SmartCard konfiguriert hast?
ich versuche seit einigen Tage das selbe mit meinem YubiKey 5 NFC in einer Domäne einzurichten und stehe nun vor den selben Herausforderungen.
Aktuell habe ich das Problem, dass mir im Login egal die Smart-Card nicht erkannt wird (Minidriver ist installiert) und Login versuche ich zum Testen auf einen TS via RDP.
Ich habe mit GPOs (gibt mehrere für SmartCards) und mit dem in den AD-Account-Einstellungen versucht das Problem bisher zu lösen, leider ohne Erfolg.
Ich vermute aktuell, dass es an der Vorlage liegt. Kannst du mir sagen, wie du deine Vorlage für die SmartCard konfiguriert hast?
Hallo,
Auf dem Domain-Controller mmc/AD Benutzer und Computer öffnen.
Den Benutzer auswählen. unter Konto/Kontooptionen: "Benutzer muss sich mit einer Smartcard anmelden" anhaken. fertig.
Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?
Grüße
lcer
Zitat von @KodaCH:
Guten Abend
Guten Abend
- Da trotz SmartCard Login der normale Loginnach wie vor möglich ist, wäre es ja eigentlich nicht nötig eine "Backup Karte" auf Vorrat zu erstellen. Gäbe es aber theoretisch eine Möglichkeit ohne das Zertifikat von Hand über den yubicon Manager zu kopieren?
- Gibt es unter Umständen sinn oder auch Möglichkeiten das der normale Login nicht sichtbar oder sogar deaktiviert ist, und nur ein Admin Account kann ihn ggf wieder aktivieren?
Auf dem Domain-Controller mmc/AD Benutzer und Computer öffnen.
Den Benutzer auswählen. unter Konto/Kontooptionen: "Benutzer muss sich mit einer Smartcard anmelden" anhaken. fertig.
* Kann man einen PIN Wechsel erzwingen? Wenn ich einen neuen YubiKey einstecke und der User sich anmeldet bekommt er die Meldung um das Zertifikat auf die SmartCard zu legen. Dort muss er den PIN eingeben. Jedoch den vordefinierten. Gerne würde ich da einen wechsel erzwingen wollen damit der User den PIN gleich ändern muss.
Siehe Anleitung von Yubiko (oben im Thread). Die PUK und PIN muss man als erstes mit dem Yubikey-Manager ändern. Erst dann darf man das Zertifikat draufschreiben.* Wenn der User seine SmartCard verliert, wie sperre ich das Zertifikat? Ich dachte ich gehe auf den CA Server, und sperre unter Zertifizierungsstelle (Lokal), Mein Root CA, Ausgestellte Zertifikate einfach das SmarcCard Zertifikat von Benutzer X. Leider war danach der Login mittels seiner SmartCard nach wie vor möglich
Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?
* Ich habe mal Testweise ein YubiKey PIN 3 mal falsch eingegeben und auch den PUK. Anschliessend musste ich diesen zurücksetzen. Damit der User wieder einen hat, habe ich bisher nur die Variante gefunden mmc zu öffnen, die Userzertifikate zu öffnen und das Zertifikat zu erneuern. Danach kam wieder der Assistent um das Zertifikat auf die SmartCard zu legen. Gibt es da einen einfacheren Weg für den User?
Nee, wenn der User so blöd ist, PIN und PUK zu verbrennen, dass ist das so. Du kannst aber die PUK behalten und nicht an den User herausgeben Grüße
lcer
Hallo,
Du musst die CRL neu erstellen lassen und diese auf den DCs neu pushen. (https://www.reddit.com/r/sysadmin/comments/b6war3/when_using_smartcard_a ..)
Gruß
parkerpanzer
das Zertifikat bleibt aber weiterhin für den Client gültig.
Du musst die CRL neu erstellen lassen und diese auf den DCs neu pushen. (https://www.reddit.com/r/sysadmin/comments/b6war3/when_using_smartcard_a ..)
Gruß
parkerpanzer