• Microsoft CSP
    Microsoft CSP

    S Microsoft CSP transformujeme  business pro dosažení obchodních a technologických cílů.

  • Managed Microsoft 365
    Managed Microsoft 365

    Zajistíme bezpečnost, produktivitu a optimalizaci. Vy se soustředíte na podnikání, my na IT.

  • Dozvědet se víc

    Získejte více informací o produktech Microsoft solution partner

  • Chci vědět víc

    Získejte více informací o produktech Kybernetická bezpečnost

  • Copilot M365
    Copilot M365

    Copilot pro Microsoft 365 nabízí pokročilé AI funkce integrované do byznysových nástrojů.

  • Copilot Osobní trenér
    Copilot Osobní trenér

    Žádné teorie, jen praktické rady a tipy, které vám ušetří čas a energii při vaši každodenní práci.

  • Dozvědet se víc

    Získejte více informací o produktech Umělá inteligence

  • Chci vědět víc

    Získejte více informací o produktech Cloudová infrastruktura

    • KPCS řeší technologické výzvy efektivně a v čas. Tím podporujeme růst vašeho podnikání.

      • Dozvědet se víc

        Získejte více informací o produktech Microsoft solution partner

      • Microsoft CSP
        Microsoft CSP

        S Microsoft CSP transformujeme  business pro dosažení obchodních a technologických cílů.

      • Managed Microsoft 365
        Managed Microsoft 365

        Zajistíme bezpečnost, produktivitu a optimalizaci. Vy se soustředíte na podnikání, my na IT.

    • Kybernetická bezpečnost je klíčová. S našimi službami jsou vaše data a systémy chráněny.

      • Chci vědět víc

        Získejte více informací o produktech Kybernetická bezpečnost

    • Zmapujte svůj potenciál AI a najděte nejlepší řešení. AI bude vaším důvěryhodným kolegou.

      • Dozvědet se víc

        Získejte více informací o produktech Umělá inteligence

      • Copilot M365
        Copilot M365

        Copilot pro Microsoft 365 nabízí pokročilé AI funkce integrované do byznysových nástrojů.

      • Copilot Osobní trenér
        Copilot Osobní trenér

        Žádné teorie, jen praktické rady a tipy, které vám ušetří čas a energii při vaši každodenní práci.

    • Azure je flexibilní a škálovatelná platforma, která poskytuje moderní produkty, služby a provoz.

      • Chci vědět víc

        Získejte více informací o produktech Cloudová infrastruktura

  • Reference
  • Proč KPCS
  • Kariéra
  • Novinky
  • Kontakt
Zpět na novinky

FIDO2 přihlašování bez hesla i v lokální Active Directory I. část

Blog
29. března 2021 Jan Žák
FIDO2 – přihlašování bez hesla i v lokální Active Directory – I. část

Přihlášení ke službám M365, resp. k Azure AD bez nutnosti zadávání hesla již dlouho není nic neobvyklého. Přistupovat ke zdrojům v lokálním Active Directory stejným způsobem, však stále ještě obvyklé není. V a následujícím článku si shrneme stávající možnosti „passwordless“ přihlašování právě v prostředí AD DS, i když budeme využívat Azure AD jako prostředníka.

Ve dvoudílném článku si postupně projdeme následující kapitoly:

První část

  • Co je FIDO2
  • Proč chceme FIDO2
  • Kerberos, SSO, jak to celé funguje
  • Výběr tokenů
  • Co potřebujeme v cloudu
  • Co potřebujeme v AD DS

Druhá část

  • Jak to vidí uživatel
  • Údržba a rutiny
  • Omezení a trable
  • Závěr

Co je FIDO2

FIDO (Fast Identity Online) Alliance je seskupení nejen technologických firem (např. Amazon, Apple, Gemalto, Google, Intel, Lenovo, Microsoft, Samsung, Visa a mnoho dalších), které zaštiťují a podporují moderní autentizační technologie.

FIDO2 je otevřený standard pro autentizaci, která umožňuje dvoufaktorové ověření pomocí specializovaných zařízení (např. USB tokeny, NFC/Bluetooth zařízení, biometrické prvky, TPM čipy atp.). Oproti svému předchůdci (U2F) lez využívat druhého faktoru bez dalšího hesla. FIDO2 také zahrnuje standard pro ověřování na webu (WebAuthn).

FIDO U2F (Universal 2nd Factor) je předchůdcem FIDO2. FIDO2 je s U2F zpětně kompatibilní.

FIDO2 klíče jsou zařízení, která umožňují přihlášení např. k Azure AD, aniž by uživatel musel někam zadávat (nebo dokonce i znát) uživatelské heslo, přihlašovací jméno nebo telefonní číslo.

Proč chceme FIDO2

Klíče FIDO2 umožňují „passwordless“ ověřování (volitelně s PINem), které je dnes považováno za ideální silnou/bezpečnou metodu. Tento způsob přihlašování zároveň uživatelům poskytuje rozumnou úroveň přívětivosti a komfortu při každodenním používání.

Kombinace asymetrické kryptografie, nutnost fyzického přístupu k zařízení, ochrana PINem, a v neposlední řadě nutnost fyzické interakce uživatele (žádný mallware prozatím není schopen se fyzicky dotknout tlačítka na USB klíči a potvrdit tak proces přihlášení) zajišťuje opravdu velmi vysoký bezpečnostní standard.

Uživatelé přitom mohou mít zaregistrováno několik účtů k jedinému klíči, a zároveň mohu mít ke každému svému účtu připojeno více bezpečnostních klíčů.

Své FIDO2 klíče mohou uživatelé používat pro zabezpečení mnoha dalších služeb. Kromě obligátních služeb typu Facebook, Google apod. je možné je použít také pro přístup k Portálu občana, do datových schránek – resp. k portálu národního bodu pro identifikaci a autentizaci.

FIDO klíče jsou samozřejmě také ideálním způsobem pro přihlašování administrátorů služeb Azure/M365.

Kerberos, SSO, jak to celé funguje

Definujme si nyní náš dnešní cíl. Chceme zajistit bezpečné ověření uživatele při přístupu ke zdrojům v místní Active Directory, kdy ověření proběhne s využitím FIDO2 klíče. Standardní řadiče domény nám to sice neumožní přímo, my ale využijeme toho, že Azure Active Directory může vystavit Kerberos Ticket Granting Ticket (TGT) pro všechny naše místní domény AD DS.

Řešení je založeno na vytvoření virtuálního účtu řadiče domény (Azure AD Kerberos Server), který je propojen s Azure Active Directory.

Zdroj: Microsoft

  1. Uživatel se ověří z Windows 10 stanice pomocí svého FIDO2 klíče k Azure AD
  2. Azure AD vyhledá příslušný Kerberos Server klíč a vystaví uživateli Kerberos TGT obsahující pouze uživatelův SID. TGT v tomto okamžiku tedy ještě není kompletní.
  3. Klient získá TGT a PRT
  4. Klient předá získaný TGT místnímu řadiči domény a obdrží kompletní verzi TGT
  5. Klient má k dispozici Azure AD PRT a kompletní TGT – má tedy přístup ke cloudovým i místním službám.

Předpoklady:

  • Klienti musí používat Windows 10 verze 2004 nebo novější a musí být zavedeni v Azure AD
  • Verze používaného Azure AD Connect serveru musí být alespoň 1.4.32.0
  • Řadiče domény musí být alespoň na úrovni Windows Server 2016 (KB4534307) nebo Windows Server 2019 (KB4534321). Aktualizace z ledna 2020 již máte jistě nainstalovány

Výběr tokenů

FIDO2 klíč může být implementován jako software, například telefon s operačním systémem Android, my se ale dnes budeme zabývat pouze hardwarovými klíči. Klíče je dnes možné pořídit od mnoha výrobců, určitě doporučujeme certifikaci od výše zmíněné FIDO Alliance.

Nicméně, pokud se rozhodnete začít používat FIDO2 v Azure Active Directory, klíče musí splňovat některé další požadavky definované CTAP protokolem (Client to Authenticator Protocol):

  • Resident key
  • Client pin
  • Hmac-secret
  • Multiple accounts per RP

Pozor, že je klíč FIDO2 bohužel neznamená, že podporuje tato rozšíření. Nejčastěji narazíte na chybějící podporu PINu, některé klíče mohou být blokovány samotným Microsoftem. Ukázka chybového hlášení sice naznačuje, že klíč je blokován organizací – to ale není pravda.

Podobně jako při výběru čipových karet je tedy důležité testovat a vyzkoušet různé typy a dodavatele. Rozhodně Vám nechci podsouvat žádnou konkrétní značku nebo typ. Nicméně v mé sbírce jedna značka převažuje, a to je můj tajný tip do začátku.

Co potřebujeme v cloudu

V Azure AD toho mnoho nastavovat nemusíme. Ověřte, že uživatelé mají povolenu možnost kombinované registrace (combined security information registration).

Nejdůležitější je pak povolení FIDO2 v seznamu autentizačních metod. Povolte všem, případně skupině pilotních uživatelů.

A nakonec rychlá kontrola, zda jsou naše stanice v pořádku registrovány v Azure AD:

Co potřebujeme v AD DS

Nyní musíme v AD DS vytvořit objekt AzureADKereberos, který se tváři jako Read-only Domain Controller. S příslušnými oprávněni spustíme ideálně na severu Azure AD Connect několik příkazů:

Výsledkem bude nový objekt v organizační jednotce „Domain Controllers“.

Jeho vlastnosti si pak můžeme nechat vypsat na AAD Connect serveru:

ID“ je unikátní hodnota pro každý objekt v AD DS, „KeyVersion“ a „KeyUpdatedOn“ se budou zvyšovat při každé aktualizaci. Toto si upřesníme později.

Současně také vznikl účet „krbtgt_AzureAD“, který je s objektem AzureADKerberos propojen.

Dále musíme povolit klíče jako přihlašovací metodu pro naše stanice. K tomu je potřeba mít aktualizovány šablony pro správu. Stáhneme tedy šablony pro Windows 10 verze 2004 a aktualizujeme centrální úložiště GPO.

Následně našim klientům doručíme ono nastavení –„Turn on security key sign-in“:

Poznámka: Toto nastavení je možné provést i konfiguraci Intune, nicméně dnes se zaměřujeme na místní prostředí, kde je to jen trochu možné.

Zde bych pro tuto chvíli první díl článku ukončil, kapitoly Jak to vidí uživatel, Údržba a rutiny a Omezení a trable najdete v druhém navazujícím díle.

Novinky v KPCS

KPCS CZ získala specializaci Build AI Apps on Microsoft Azure
KPCS CZ získala specializaci Build AI Apps on Microsoft Azure

V době, kdy umělá inteligence mění způsob, jakým firmy inovují a komunikují se zákazníky, je důležité být připraven a mít potřebné znalosti i zkušenosti. Získání této specializace od společnosti Microsoft potvrzuje naši odbornost v oblasti návrhu, vývoje a nasazení moderních AI aplikací na platformě Azure.

24. dubna 2025
„AI – Kdy zapnout, kdy vypnout a kdy se usmívat!“
„AI – Kdy zapnout, kdy vypnout a kdy se usmívat!“

Chcete si usnadnit práci? Může být AI vaším nepostradatelným pomocníkem? Převezme AI monotónní úkoly a uvolní čas na strategické myšlení místo administrativy? Zvýšíte efektivitu s AI asistenty a agenty? Tyto a další otázky budou zodpovězeny na našem workshopu, kde se dozvíte, proč je pro vás důležité porozumět AI a jak vám může pomoci v každodenním fungování.

26. února 2025 KPCS
CES 2025 – Technologická inspirace a budoucnost pod taktovkou inovací
CES 2025 – Technologická inspirace a budoucnost pod taktovkou inovací

Každoroční technologický veletrh CES 2025 v Las Vegas znovu překonal očekávání a představil řadu revolučních, ale někdy i velmi podivných produktů a trendů, které formují budoucnost technologického průmyslu.

15. ledna 2025
Kontakt