Jon*_*ica 9 windows active-directory authentication
用例:2FA 登录 Active Directory(例如登录 AD 上的公司台式计算机)
期望的解决方案:Google Authenticator 风格的、基于 RFC 的 MFA 系统。这条路径引人注目,因为它基于 RFC,并广泛用于基于 Internet 的应用程序,并且用户群已经拥有并一直使用它。我们认为这将内置到 Server 2016 中,但似乎不是?
终极梦想:通过 2FA 以这种方式提升 AD,我们使用的其他使用 AD 作为目录的应用程序将(我们希望)神奇地获得 2FA 的好处。
为清楚起见:我们不会尝试使用谷歌(或其他)帐户登录 AD。我们正在尝试使用 google 身份验证器工具(或 authy 或任何其他实现该 RFC 的工具)将 2FA 添加到 AD 本身。(我们将谷歌身份验证器与 Amazon AWS 和许多其他托管系统一起使用——这些系统中的每一个都有自己的用户数据库。)例如,这与面向 Web 的 OpenID 等无关。
我们今天的立场:今天,登录台式机和 PC 是通过简单的 jane 密码进行的。但是一些工具(比如我们的 vpn 服务器),使用 AD 进行身份验证,并在此基础上支持 Google Authenticator。我们希望物理登录与 VPN 一样紧密(并使用类似的身份验证工具)。
迄今为止所做的研究
有一篇关于如何将谷歌身份验证器与 Active Directory 联合服务 (AD FS) 结合使用的技术网文章:https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0/
奇怪的是,它似乎是一个开发项目,需要一些代码和它自己的 SQL DB。
我们在这里不是专门谈论 AD FS。我们正在寻找,当你找到它时,对于 2FA,pref 支持 Google Authenticator RFC,内置于 AD。
AD 是否没有对 Google Authenticator 的原生支持(到目前为止,2016 年...)?
如果不是,它是否会在 Server 2016 中出现?
(如果 Win Server 2016 选择不支持最流行的基于 RFC 的 2FA,请帮助我理解为什么 MS 会做出这样的决定?)
| 归档时间: |
|
| 查看次数: |
12871 次 |
| 最近记录: |