我需要做的是用户像往常一样输入他的域名/用户名/密码,但也输入一个额外的令牌,我可以在登录过程中以某种方式拦截,验证它,并允许登录。因此,实际上,如果Windows允许,用户只能登录 ,和这个辅助身份验证过程允许它。
Windows是否支持此功能?实现这个的一些机制?
答案 0 :(得分:1)
所有现代版本的Windows(自XP以来)都对双因素身份验证有不同程度的原生支持。您的要求并不是非常具体,但如果您只需要本地工作站身份验证(意味着域用户需要2FA才能登录到特定的PC),那么您可以使用任何Yubikey产品轻松完成此操作。他们的20美元USB令牌可以使用他们的免费软件和使用内置的Microsoft控件与工作站上的用户相关联。
如果您需要Active Directory域级别身份验证,那么您将需要像Authlite这样的产品来对用户进行身份验证。基本上,您通过GPO向所有资源推出一个简单的.MSI,您可以集中注册用户或用户可以自己注册。密钥对存储在Active Directory应用程序分区中,并且所有密钥对都可以无缝地工作。适用于32位或64位Windows,一直到Windows 8 / Server 2012.目前,Authlite的每用户成本为48美元,没有经常性费用。每个用户都需要USB或NFC令牌。
Mark Ringo