¿RADIUS permite la adopción gradual y eventual de la autenticación de 2 factores en un entorno de AD?

3

Tenemos varias aplicaciones que aprovechan AD

  • SAML (a través de Ping Federate)
  • autenticación LDAP de aplicaciones de terceros
  • Windows workstation / Exchange auth (Kerberos)
  • IIS y componentes web (su4user, suplantación, etc.)

Nunca he implementado autenticación de 2 factores en un entorno de AD y recuerdo haber leído que RADIUS se aprovechó de una manera que se adapta a muchos, si no a todos, los escenarios anteriores, con un impacto mínimo para los usuarios finales.

¿Alguien puede explicar la infraestructura que se necesita para que una corporación privada implemente 2FA en su bosque de AD, y permitir que terceros (como Salesforce, Dropbox, Office 365) aprovechen esa autenticación?

    
pregunta random65537 28.05.2014 - 19:05
fuente

1 respuesta

1

Una respuesta parcial que puede ponerlo en el camino correcto es configurar NPS como su servidor de radio y obtener la mayor cantidad de aplicaciones que use. Esto es simple para hacer VPNs. Las aplicaciones de terceros tendrán que admitir el radio, así como ldap. LDAP no enviará las credenciales a un servidor de terceros como el radio. Radio de soporte IIS auth. No estoy seguro si Ping soporta radio. No utilice el radio a través de Internet, excepto en un túnel cifrado.

El inicio de sesión en la estación de trabajo es muy difícil a través del radio, ya que la GINA simplemente no lo admite.

Tenemos un documento sobre cómo agregar dos factores a NPS: enlace y tenemos un pdf sobre su arquitectura aquí: enlace .

    
respondido por el nowen 28.05.2014 - 19:25
fuente

Lea otras preguntas en las etiquetas