Har någon lyckats ställa in en VPN-anslutning med tvåfaktorsautentisering (2FA) med en YubiKey?
2FA med e-post eller till och med text fungerar inte riktigt i min situation eftersom inte alla har en företagsmobile, så inte alla har tillgång till sin företags-e-post utanför organisationen.
AFAIK, Sonicwall stöder inte FIDO-protokollet.
Yubikeys är alla FIDO2, om jag minns rätt.
Vilket leder dina alternativ till antingen någon hårdvaru TOTP (som en RSA-token) eller tredje part (som Duo, om du kan få det att fungera) eller integrerat med ett annat system, något som att koppla det till en RADIUS-server som utför oberoende 2FA…
Annars tittar du på att byta VPN-plattformar för att få detta att fungera. Jag skulle inte bli förvånad om det finns en guide där ute för att få FIDO2 (Yubikey) att fungera på Windows VPN och SSTP; vilket är ganska likt NetExtender i form/funktion, plus det är redan integrerat i Windows.
Jag är säker på att det finns en lösning på problemet, jag är bara inte säker på att den kommer från Sonicwall.
Vad är fel med TOTP-koder?
Vi använder Authlite med Yubikeys för Windows-inloggningar. Vi har LDAP anslutet till Sonicwall. Authlite använder Yubikey som användarnamn och det fungerar bra när man loggar in på Sonicwall.
Vi råkade hitta detta av en slump och har aldrig försökt att låsa det så att det bara är Yubikey som gäller, så jag kan inte garantera att det är möjligt att tvinga fram Yubikey som enda autentiseringsmetod.
Det är möjligt med radius. Sätt upp några Freeradius-servrar med Yubico PAM-modulen.
Med LDAP hämtar den Yubikey-ID från AD (har lagt till ett fält i vår schema). Testade också att använda ett annat fält med Azure Active Directory Domain Services (deras DC-Lite molnarkitektur), eftersom du inte kan ändra i schemat.