我需要做的是,用户像往常一样输入他的域/用户名/密码,但也输入一个额外的令牌,我可以在登录过程中以某种方式拦截它,对其进行身份验证,并允许或不允许登录。因此,有效地说,如果Windows允许,用户只登录,和这个二次身份验证过程允许。
Windows对此提供支持吗?有什么机制可以实现这一点?
所有现代版本的Windows(自XP以来)都对双因素身份验证有不同程度的本机支持。您的要求不是很具体,但如果您只需要本地工作站身份验证(意味着域用户需要2FA才能登录到特定的PC),那么您可以使用任何Yubiky产品轻松做到这一点。他们20美元的USB代币可以使用他们的免费软件和内置的Microsoft控件与工作站上的用户关联。
如果你想要Active Directory域级别的身份验证,那么你需要像Authlite这样的产品来验证用户。基本上,你可以通过GPO向所有资源推出一个简单的.MSI,你可以集中注册用户,也可以用户自己注册。密钥对存储在Active Directory应用程序分区中,并且所有操作都非常无缝。适用于32位或64位Windows,一直到Windows 8/Server 2012。目前,Authlite的每个用户成本总计为48美元,没有经常性成本。每个用户都需要一个USB或NFC令牌。
Mark Ringo