About Enterprise File Encryption

This article was first published at owncloud.

Your Data is at risk. And thus is your personal life and your company’s values.
You avoid hackers, trade espionage and rogue governments getting your data by using your own cloud storage like ownCloud. Your data under your control.

But depending on where your storage is located some risks still remain. The connection to your ownCloud installation in the hosted datacenter is TLS protected. All data are encrypted on their transport to the datacenter. But within the datacenter your data is plain text.
You are using ownClouds integrated encryption? You even have the full disk encrypted using LUKS or similar methods? This is fine but only protects you from certain attacks like stealing the sole hard disk.
But if the attacker gains access to the very location where the actual encryption takes place, the encryption is useless, since this location also contains the encryption key! Thus, if the attacker has access to the datacenter or – more probably – is a rogue or bribed employee of the datacenter the attacker can get physical access to your encryption key and finally to your data.

This is why client side encrpytion is such a good idea. With client side encryption the data is encrypted on your own client. The key material is only available on your client, not on the ownCloud server. The data is sent already encrypted to the server. Not only is the transport layer encrypted using TLS but the payload itself within the TLS can not be read anymore.
The ownCloud server and the storage never sees any clear text data and never has access to the encryption key.
The tool cryptomator which was introduced in this[link] previous blog post works this way.


But enterprise scenarios come with a longer requirements list than tools like the slick cryptomater can cover.
Even smaller companies have to comply with the requirements of the enteprrises if they are supplier for the bigger ones.
I have run several projects where supplying companies were confronted with the requirements for encrpytion and two factor authentication since they delivered to bigger enterprises, that simple defined those requirements. Let us take a look at the requirements when you run a company or bigger organization.

File Encryption

In such scenarios when encrypting data it is important to encrypt files. In contrast to full disk encryption and encrypted containers encrypted files can be moved around without breaking the encryption. Even the encrypting file system does not provide this sticky encryption. If the user moves the file to another disk or a USB stick, the file would not be encrypted anymore, since with full disc encryption and container encryption the encryption is bound to the storage and not to the data.
The data should not be decrypted when the file is moved. This is why we require to encrypt the files and keep them encrypted when moving the file to another locatoin.

Client Side Encryption

As mentioned in the beginning the files should be encrypted and decrypted on the client. This way only encrypted data is transferred via the network. The user can also move the files as in the previous requirement but most important the encryption gets independent from the storage location.
The administrator can access the file but can not read the data in the file. This way all backup mechanisms still work, but the data is persistently protected.


When working with data in a company users are usually working on projects with other colleages.
Thus several users need access to the encrypted data. The project leader or data owner might need to add other users to the group and grant them access to the encrypted data or withdraw this access again.

It is important to note, that usually not *the* administrator gives access to the data. Complying to the concept of duty of separation, the administrator may be responsible for providing the storage and taking care of the backup, but he might not be allowed, to read the data and probalby will not be allowed to decide who is allowed to read the data.

This leads us to the requirement for a bit more sophisticated key management.

Key Management

If files are encrypted with passwords then a password based key derivation function (PBKDF) is used to generate the encryption key. A badly implemented encryption would use this key to encrypt the file. This would result in the problem, that – if you change the password – the complete file needs to be decrypted with the old password and re-encrypted with the new password. This might be fine for one small file but totally fails with a complete directory, a harddisk or a huge storage.

When you look at encryption a multi-step encryption has proven to be sensible. Even in the case of a PGP encrypted Email, the email is for many reasons not encrypted with the public key of the recipient directly but with a symmetric data encryption key (DEK), which is unique to this email.
Only this DEK is encrypted with the public key of the recipient. This is called Key Encryption Key (KEK).

The other great thing when using a DEK and KEK is, that several users can have access to the same data with different passwords – or different KEKs. This way a user who has access to the data can also be allowed to grant access on the data to a new user. The software can access the DEK with the KEK of the old user and encrypt the DEK of the file with the KEK of the new user.

This way, each file has a list of KEK-encrypted DEKs attached to it. Thus an enterprise encryption software needs to allow adding users with their key encryption key to files.
Users need to have different roles like adding users to access groups or only being allowed to access the data.

(Of course you can not effectively avoid the user breach: The user who has been granted access to the data can go rogue and print the data, take a photograph or copy. If you want to tackle with this threat you need to think about implementing data leakage prevenion.)

So what the heck with the KEK?

You might use the latest and greatest symmetric unbreakable encryption algorithms for actually encrypting the data. But these are of no use, if the access to this encryption – usually the password – is week. An attacker would always target the KEK (a.k.a. Passwords) and not the DEK (The encryption itself).

Thus, another important requirement is not only to encrypt the data but also to protect the access to this encryption. A good way to do this is not to use a password based access but to use public key cryptography.
As mentioned with the PGP example, the KEK is the public key of the user. The DEK is encrypted with the public key.
The user has to provide his private key to decrypt the DEK to access the data.

Perfectly the private key is located on a smartcard, so that the private key can not (easily) be copied or stolen.
If the private key was initially created on the smartcard, you can in addition be sure that the private key was not stolen or copied.

Data Read Escalation

As we required earlier the administrator usually can not read the data and can not add users to the group of data users, who can read the encrypted data.
But in certain cases – when all users have lost their smartcard, forgotten their passwords, have quit the job – the company needs to be able to access the encrypted data without one of the originial users available.

In this case the encryption solution needs to provide a process with preferably 4 eyes principle to regain access.
4 eyes principle is important to increase the trust and allow full deniability for all participants.

Technicaly the key management can to this by adding a system-KEK or recovery-KEK to all files.

Hardware Security Modules

Besides using smartcards for the user’s KEKs, the support for hardware security modules can be a good idea. The HSM can be used to protect the system-KEK or recovery-KEK or to sign configuration data. Otherwise a user with the right to only read encrypted data could escalate his rights to „assign-new-users to the encryption group“ by flipping some bytes in the database.


We already said, that reencrypting the data is a bad idea and should be avoided. Nevertheless it can be necessary. E.g. if the symmetric encryption algorithm used to encrypt the files is know to have weeknesses. This is especially important if you need to upgrade the encrpytion algorithm.
In a worst case scenario the system- or backup-key could be compromized, then this keys need to be changed.
The solution should provide the possibility to reencrypt the data.

Possible Solutions

There is a quite nice long list of commercial products, which cover those requirements. Some are better and more convenient in smartcard support, some in group management and some in automation.
It is always a good idea, to identify your own needs and evaluate the right solution.
Most of the tools are products of companies located in Germany and thus comply to the (still) stirct data protection laws.

Why is there no open source?

Nevertheless there is no open source tool, which is capable of covering the requirements and competing with the commercial tools available. This might be due to the scratch-your-own-itch concept of open source development. Individuals start open source projects, which will provide a solution to their own problem. A perfect example is the tool cryptomator. It does a great job in file encryption and covers a lot of requirements but totally lacks the key management and because of this will only work for a single user, but not for project groups in a company.
Another reason might be, that the customers for such an enterprise file encryption tool in 95% of the cases runs Windows on their clients and may thus be used to install and use closed source software – so why should the software vendor bother about an open source busines model?

With the growing pressure of undemocratic survailance requests even by the German government the threat through backdoors and unpublished zero days increases dramatically. In a sensitive area like data encryption, where data obviously is to be protected from preying eyes, open source solutions can help to regain the trust in such software.
So I urge all open source companies with data storage centric products to think about enhancing their portfolio with an open source project for a trustyworthy, modern, enterprise ready file encryption solution. In my opinion this is not only a gap in the market but would also be a great help for a mature and democratic society.

privacyIDEA Appliance, LDAP-Proxy, FrOSCon und it-sa

privacyIDEA Appliance

Für unsere Enterprise Kunden ist neben dem Python Package Index, Ubuntu-Pakenten, UCS-Paketen, CentOS und RHEL-Paketen nun auch eine privacyIDEA Appliance verfügbar, die die Einrichtung von Konfigurationen wie MySQL-Master-Master-Replikation und RADIUS-Clients vereinfacht. Außerdem unterstützt sie beim Backup und Restore und bei der Wartung des anwachsenden Audit Logs.
Lesen Sie mehr dazu in unserem Blog oder schauen Sie sich einen Beitrag im Youtube Kanal an.

privacyIDEA 2.19.1 nun auch auf Univention Corporate Server 4.2

Die aktuelle Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server 4.2 verfügbar. Die letzte Version von privacyIDEA 2.18 war lediglich auf dem Univention Corporate Server 4.1 verfügbar. Nutzer des UCS 4.2 kommen nun auch in den Genuss, das aktuelle privacyIDEA leicht auf dem aktuellen Univention Corporate Server installieren und betreiben zu können.
Lesen Sie mehr dazu in unserem Blog.

privacyIDEA LDAP Proxy verfügbar

Der privacyIDEA LDAP Proxy ist nun als Service-Level-Agreement/Produkt verfügbar. Der LDAP Proxy erlaubt die leichte Anbindung von Applikationen, die lediglich das LDAP Protokoll beherrschen. Der LDAP Proxy steht als Broker zwischen der Applikation, dem LDAP und privacyIDEA. Damit lassen sich schnell und effizient auch proprietäre Applikationen mit einem zweiten Faktor absichern.
Lesen Sie mehr auf unserer Webseite.


Es stehen wieder weitere Veranstaltungen an.
Zum Ende des Sommers werden Friedrich Weber und Cornelius Kölbel einen Vortrag auf der FrOSCon zur Zwei-Faktor-Authentifizierung mit dem LDAP Proxy halten. Die NetKnights ist Aussteller auf der FrOSCon und steht Rede und Antwort rund um das Thema Zwei-Faktor-Authentifizierung und privacyIDEA.
Die FrOSCon findet am 19. und 20. August in St. Augustin in der Hochschule Bonn-Rhein-Sieg statt. Lehrreiche und unterhaltsame frühere Vorträge von Cornelius Kölbel auf der FrOSCon wie „Alles meins!“ und „Am Puls der Zeit“ finden Sie bei Youtube.
Im Oktober 2017 wird die NetKnights das erste mal bei der IT-Sicherheits-Messe „it-sa“ in Nürnberg mit einem Stand vertreten sein. Lesen Sie mehr dazu in unserem Blog.


privacyIDEA 2.19.1 auf Univention Corporate Server verfügbar

Die Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar. Mit der Version 2.19.1 vollzieht die NetKnights GmbH außerdem den Wechsel zur Unterstützung des Univention Corporate Servers 4.2. Kunden können somit leicht von einem UCS 4.1 mit privacyIDEA 2.18 auf den UCS 4.2 mit privacyIDEA 2.19.1 upgraden.

Neben den Verbesserungen im Univention Corporate Server 4.2 bringt auch privacyIDEA 2.19.1 weitere Verbesserungen mit. Dies sind unter anderem der generische Benutzer-Cache, der die Anmeldezeiten erheblich verkürzen kann und eine bessere Verwaltung von U2F-Geräten, die es dem Administrator erlaubt zu definieren, welche Geräte die Benutzer überhaupt registrieren und benutzen dürfen. Ein Token-Janitor ermöglicht es dem Administrator, verwaiste Token aufzufinden und zu deaktivieren oder zu löschen. Wir berichteten bereits allgemein über privacyIDEA 2.19.

Service Level Agreement und Subskriptionen

privacyIDEA auf dem Univention Corporate Server kann aus dem Univention App Center leicht und schnell installiert werden. Weitere Details und Test-Subskriptionen finden Sie auf unserer Produktseite. Die normalen Service Level Agreements für privacyIDEA erlauben außerdem die Nutzung von privacyIDEA4UCS.

, ,

NetKnights ist auf der it-sa in Nürnberg

In diesem Jahr wird die NetKnights GmbH mit den Partnern bytemine und Rempartec auf der IT-Security Messe it-sa in Nürnberg dabei sein. Die it-sa findet jährlich für drei Tage im Herbst in Nürnberg statt. In diesem Jahr ist sie vom 10.10.-12.10.2017. In den vergangenen Jahre stellten knapp 500 Aussteller ihre Leistungen und Produkte aus dem Bereich der IT-Sicherheit vor. Die it-sa zieht mit diesem Angebot jedes Jahr über 10.000 Fachbesucher in die Messehallen nach Nürnberg.

Neues von NetKnights und privacyIDEA

Nutzen Sie die Gelegenheit, sich über die Leistungen der NetKnights zu informieren. Speziell erfahren Sie mehr zur privacyIDEA Enterprise Edition, der privacyIDEA Appliance oder dem privacyIDEA LDAP-Proxy.

Besuchen Sie uns in Halle 10.1 Stand 208, direkt gegenüber von Cisco Systems oder vereinbaren Sie vorab schon einen Termin.


privacyIDEA Enterprise Edition und Appliance

Als neue Leistungen der privacyIDEA Enterprise Edition bietet die NetKnights nun ein eigenes Enterprise-Repository mit stabilen Enterprise-Paketen an. Diese werden kurz auf das eigentliche Feature-Release als ein Bug-Release veröffentlicht. So wird bspw. nach dem allgemeinen Release 2.19 ein Enterprise Release 2.191. veröffentlicht.

Das Enterprise-Repository enthält lediglich die Version 2.19.1, nicht die allgemeine Version 2.19. Der Vorteil ist, dass ein Kunde sich nicht mehr überlegen muss, ob er ein Update installieren soll oder nicht. Er kann automatisch von 2.18.1 auf 2.19.1 aktualisieren und hat dabei die Gewissheit, auf eine noch stabilere Version zu aktualisieren.

Weiterhin ist in dem Enterprise-Repository die neue privacyIDEA Appliance enthalten, über die wir bereits berichteten.

Das Enterprise-Repository ist für Ubuntu 16.04LTS verfügbar.

Enterprise Repository einbinden

Erstellen Sie eine Datei /etc/apt/sources.list.d/privacyidea-enterprise.list mit dem folgenden Inhalt.

deb https://yourname:yourpassword@lancelot.netknights.it/apt/stable xenial main

Die NetKnights GmbH weist Ihnen als Kunde Ihre eigenen Zugangsdaten zu, die Sie entsprechend bei yourname und yourpassword angeben.

Die Software-Pakete sind signiert. Um die Signatur überprüfen zu können, laden Sie sich den public Key herunter:

wget https://lancelot.netknights.it/NetKnights-Release.asc

Überprüfen Sie den Fingerabduck (0940 4ABB EDB3 586D EDE4 AD22 00F7 0D62 AE25 0082) des Schlüssels

gpg --with-fingerprint NetKnights-Release.asc

Fügen Sie den Schlüssel nun zum Schlüsselbund hinzu:

apt-key add NetKnights-Release.asc

Nun können Sie die Paketlisten aktualisieren und die privacyIDEA Appliance installieren:

apt update
apt install pi-appliance

Durch Aufruf des Tools pi-appliance können Sie nun

das erste Admin-Passwort setzen, mit dem Sie sich am WebUI anmelden,

alle RADIUS Clients konfigurieren oder

bspw. eine MySQL Master-Master-Replikation herstellen.

Sichern Sie sich die Appliance!



ownCloud X Launch Event

Zwei-Faktor-Authentifizierung für ownCloud mit privacyIDEA.

Am 23. Mai 2017 fand in Köln das ownCloud X Launch Event statt. Die NetKnights GmbH war als Sponsor dort vertreten und ich selber hielt einen Vortrag über Zwei-Faktor-Authentifizierung – speziell mit ownCloud.

In den Pausen konnten die Besucher an den Ständen der Sponsoren vorbeischauen oder etwas zu Trinken oder zu Essen genießen.

Zwei-Faktor-Authentifizierung im ganzen Unternehmen

Die Gespräche mit den Interessenten zeigten erneut deutlich:

Der Wunsch nach Zwei-Faktor-Authentifizierung ist nicht isoliert auf eine Anwendung wie ownCloud zu betrachten sondern Teil einer übergeordneten Sicherheitsstrategie.

privacyIDEA bietet einen zentralen Authentifizierungs-Dienst der die ideale Ergänzung für das Identity-Management im Unternehmen ist. ownCloud kann mit Hilfe der privacyIDEA ownCloud App an privacyIDEA angebunden werden – doch genauso kann das Authentifizierungsobjekt des Benutzers für die Anmeldung an Firewall, VPN, CRM, CMS oder jedem anderen beliebigen TLA genutzt werden.

Möchten Sie gerne mehr erfahren, wie Zwei-Faktor-Authentifizierung auch in Ihrem Unternehmen sinnvoll umgesetzt werden kann?

Dann kontaktieren Sie uns!

Möchten Sie auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Erweiterte Leistungen in der privacyIDEA Enterprise Edition

Das Open Source Mehr-Faktor-Authentifizierungs-System privacyIDEA erfreut sich großer Beliebtheit. Die NetKnights GmbH bietet hierfür professionelle Beratung und Support in verschiedenen Subskriptionsstufen an. Nun werden die Leistungen im Rahmen der privacyIDEA Enterprise Edition noch erweitert. Diese stehen den Support-Kunden ab Ende Juni zur Verfügung.

Zusätzliche, stabile Paketquellen

Das privacyIDEA-Projekt veröffentlicht mit jedem Release Installationspakete für Ubuntu 14.04 LTS und 16.04 LTS. Support-Kunden der NetKnights GmbH erhalten zusätzlich Zugriff auf ein Repository mit Enterprise-Pakete. Diese werden wenige Wochen nach dem Release der Projekt-Pakete bereitgestellt. Die Enterprise-Pakete enthalten Bugfixes zu evtl. in der Zwischenzeit aufgetretenen Fehlern. Die Enterprise-Repository erlauben ein leichtes Update von Version zu Version. Support-Kunden haben somit die Möglichkeit, durch automatische Updates entspannt immer eine stabile Version zu betreiben.

Die Pakete werden für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und CentOS 7 verfügbar sein.


In den Enterprise-Repository wird außerdem ein Tool verfügbar sein, das verschiedene Appliance-Funktionalitäten bereitstellt. Damit muss der Administrator keine Befehle auf Kommandozeile eingeben und keine Konfigurationsdateien editieren.

Um größtmögliche Robustheit zu gewährleisten und keine zusätzlichen Angriffsvektoren zu schaffen, verzichtet das Appliance-Tool auf ein Webinterface, auf Datenbanken und Dateitemplates. Zusätzlich gestattet das dem versierten Administrator weiterhin die direkte Bearbeitung der Konfigurationsdateien.

Das Appliance-Tool hilft dem Administrator schnell bei anstehenden Aufgaben…

Das privacyIDEA Appliance Tool bietet folgende Bereiche:

  • Basiskonfiguration des privacyIDEA Dienstes in der Datei pi.cfg,
  • Verwaltung der administrativen Realms,
  • Verwaltung der lokalen Token-Administratoren,
  • Konfiguration des RADIUS-Servers und speziell der RADIUS-Clients,
  • Konfiguration einer Master-Master-Replikation der MySQL-Datenbank,
  • automatische, zeitgesteuerte Backups,
  • manuelle Backups und Restore,
  • automatische, zeitgesteuerte Rotation der Audit-Logs.

…wie der Konfiguration von RADIUS-Clients

Mit dem privacyIDEA Appliance Tool kann ein Administrator, der ansonsten viele andere alltägliche Aufgaben hat, ein privacyIDEA-System schnell und zuverlässig aufsetzen, konfigurieren und betreiben.

…oder der Definition von zeitgesteuerten Backups.

Was unsere Kunden sagen

PrivacyID3A ist für uns eine große Hilfe. Es gibt hier einige IT Kollegen, die von der RSA Schiene kommen. Jeder von ihnen ist überrascht, dass RSA in unserem Umfeld ausnahmslos ersetzt werden konnte.

Wolfgang KernIT Network Security/Engineering (ARRK | P+Z Engineering GmbH)

privacyIDEA sticht durch seine schnelle Entwicklung heraus und hebt sich damit von seinen Mitbewerbern ab! Die NetKnights überzeugen mit schnellem Support und unproblematischer Einbindung von Feature Requests. Wir freuen uns auf die weitere Zusammenarbeit.

Michael MünzSenior Network Enigneer (m.a.x. Informationstechnologie AG)

It’s not often that I find an open source package which is truly as well thought and polished as privacyIDEA.

John WhittenSenior Systems Administrator, Network Manager

Durch Privacyidea konnten wir unsere proprietäre Token Umgebung ablösen und sind seit dem deutlich schneller und flexibler.

M. Maraun(Ev.-Luth. Diakonissenanstalt zu Flensburg)

Kontaktieren Sie uns

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie möchten Sich das System selber ansehen? Beantragen Sie eine Testinstanz!

Sie wollen mehr wissen? Rufen Sie uns an!


privacyIDEA 2.19 – Performance, U2F und sichere Smartphone Apps

Heute wurde privacyIDEA 2.19 veröffentlicht. Pakete sind in den Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Performance bei der Authentifizierung

privacyIDEA 2.19 ist bis zu 72% schneller!

Die Version 2.19 verzeichnet in Labortests einen Geschwindigkeitszuwachs. Die Zeiten für eine Authentifizierungsanfrage konnten um bis zu 72% gesenkt werden. Dies ist unter anderem einem neuen, generischen User-Cache zu verdanken. Dieser speichert die Zuordnung von Loginname zu Benutzerobjekt in der lokalen Datenbank und macht somit die Zugriffe auf das Benutzerverzeichnisse für einen konfigurierbaren Zeitraum übeflüssig.

Ausgewählte U2F Geräte für Benutzer

Der Administrator kann nun über Richtlinien definieren, welchen Typ eines U2F-Gerätes ein Benutzer registrieren kann. Außerdem kann der Administrator ebenfalls über Richtlinien steuern, mit welchem Typ U2F-Gerät sich ein Benutzer an einem bestimmten System anmelden darf. Somit können gewissen U2F-Geräte von der Nutzung in Ihrem Unternehmen ausgeschlossen werden bzw. die Nutzung von Geräten spezieller Hersteller erzwungen werden.

Sichere Smartphone Apps mit privacyIDEA

Der klassische Rollout-Prozess beinhaltet viele Probleme, die privacyIDEA 2.19 lösen kann.

In einem früheren Beitrag haben wir bereits auf die Beschränkungen der üblichen Smartphone-Apps wie dem Google Authenticator hingewiesen. Es ist nachteilig, als Unternehmen oder große Organisation nicht die volle Kontrolle über den Rollout-Prozess beim Benutzer zu haben. Daher wurde in der Version 2.19 von privacyIDEA nun eine bessere Rollout-Möglichkeit geschaffen, bei der sowohl eine Smartphone-App als auch privacyIDEA Komponenten zur Berechnung des geheimen Schlüssels beitragen können. Dies verhindert ein einfaches Kopieren des QR-Codes.

Mehr Details zu diesem Thema finden Sie im privacyIDEA Blog.

Weitere Funktionen

Die Version 2.19 kommt mit weiteren Detail-Verbesserungen wie der Nutzung von IP-Adressen oder Browser Agents im Event-Handler. Außerdem wurde die Speicherung von Datums- und Zeitangaben in privacyIDEA konsolidiert. So werden nun bei jeder Zeit die Zeitzone mitgespeichert, was die Arbeit in internationalen, weltumspannenden Setups erleichtert.

Es lohnt sich ein Blick auf das komplette Changelog zu werfen.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.


Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie möchten Sich das System selber ansehen? Beantragen Sie eine Testinstanz!

Sie wollen mehr wissen? Rufen Sie uns an!

, ,

Mehr-Faktor-Authentifizierung mit privacyIDEA auf ownCloud X Event

Am 23. Mai stellt ownCloud seinen Kunden ownCloud X vor. Dazu lädt ownCloud Sie herzlich nach Köln ein. Auch die NetKnights GmbH wird dort mit privacyIDEA vertreten sein und Ihnen präsentieren, wie schnell und einfach eine ownCloud-Installation mit Hilfe des neuen Marketplace an eine privacyIDEA-Installation angebunden werden kann und somit Ihre Daten durch die Verwendung von zentral verwalteten zweiten Faktoren geschützt sind.

Cornelius Kölbel wird in einem Vortrag Ihnen erste Einblicke über die Möglichkeiten der zentralen Verwaltung der Authentisierungs-Faktoren für die Unternehmensmitarbeiter geben. Im Ausstellungsbereich können Sie an einem Demo-Point die Zwei-Faktor-Authentifizierung an ownCloud X gegen privacyIDEA selber ausprobieren. Die Authentifizierung kann mit verschiedensten Geräten wie Yubikeys, OTP-Token, Smartphones, Smartdisplayer-Karten u.v.m. erfolgen.

Wir freuen uns auf Ihren Besuch.

Melden Sie sich jetzt an!



Einfache Unternehmens-2FA für ownCloud X

Vor wenigen Tagen hat ownCloud seinen Marketplace gestartet. Dieser gestattet die einfache und schnelle Installation von ownCloud Apps in ownCloud. Die privacyIDEA ownCloud App der NetKnights GmbH war eine der ersten verfügbaren Apps im Marketplace. Mit der privacyIDEA ownCloud App kann der Zugang zu einer ownCloud Installation um eine zentral verwaltete Mehr-Faktor-Authentifizierung erweitert werden. Die Authentisierungsgeräte der Mitarbeiter werden dabei im privacyIDEA Authentication Server verwaltet.

Installation der privacyIDEA ownCloud App

In ownCloud X erreicht der Administrator den integrierten Marketplace über der obere linke Menü.

In den Kategorien kann er nach „Security“ filtern. Über den Vorteil einer zentralen 2FA-Verwaltung gegenüber der integrierten TOTP-App schrieb ich bereits im Security Insider.

Ein Klick auf den Titel der privacyIDEA ownCloud App bzw. „privacyIDEA Two Factor Authentication“ zeigt die Details der App im Marketplace.

Der Administrator installiert mit Klick auf den blauen Knopf „Install“ die App. Dies geht sehr schnell. Danach ist der blaue Knopf grau.

privacyIDEA ownCloud App konfigurieren

Nun muss die privacyIDEA ownCloud App noch konfiguriert werden.

Dazu geht der Administrator im rechten Menü auf Settings-> Additional  und kann nun im Bereich privacyIDEA 2FA angeben, wo der privacyIDEA Server zu finden ist. Dazu gibt er die URL des privacyIDEA Servers an.

Achtung: Eventuell ist beim ersten Test der Haken bei „SSL Zertifikat überprüfen“ zu entfernen. Natürlich sollte in einem produktiven Setup die SSL Zertifikate immer überprüft werden!

Dies ist nun schon alles, was der Administrator innerhalb von ownCloud tun muss.

Konfiguration in privacyIDEA

Wir gehen davon aus, dass Sie privacyIDEA entsprechend einer möglichen Installationsvariante bereits installiert haben. Im Folgenden binden wir die Benutzerverwaltung von ownCloud an privacyIDEA an, so dass der Administrator innerhalb von privacyIDEA allen Benutzern einen Token zuweisen kann.

Benutzerquelle definieren

Als erstes definiert der Administrator die ownCloud-Datenbank als Benutzerquelle. Dies macht er in Konfiguration->Benutzer.

Benutzer-Realm anlegen

Danach wird unter Konfiguration->Realm mit dieser Benutzerquelle ein Realm erzeugt. In unserem Beispiel heißt dieser „oc“.

Wenn der Administrator nun das Benutzer-Tab aufruft, sind die Benutzer aus ownCloud innerhalb von privacyIDEA sichtbar.

Token ausrollen

Nun kann der Administrator einen Benutzer auswählen, und diesem einen Token – bspw. einen TOTP/Smartphone-App – ausstellen. Alternativ können sich die Benutzer selber innerhalb von privacyIDEA anmelden und sich selber einen Token ausrollen.

privacyIDEA unterstützt viele unterschiedliche Tokentypen, so dass hier genau definiert werden kann, welchen Token jeweils ein Benutzer hat.

So kann der Administrator bzw. die IT-Abteilung an zentraler Stelle regeln, dass Benutzer für ownCloud einen zweiten Faktor verwenden müssen und welcher Faktor dies sein soll. Verloren gegangene Authentisierungs-Geräte sind ebenfalls kein Problem. privacyIDEA unterstützt viele verschiedene Möglichkeiten und Workflows, solche Szenarien abzubilden.


Nun kann sich der Benutzer im ersten Schritt mit seinem ownCloud-Passwort und im zweiten Schritt mit dem von privacyIDEA verwalteten Authentisierungs-Gerät an ownCloud anmelden.

Für den produktiven Betrieb von privacyIDEA und der privacyIDEA ownCloud App benötigen Sie eine Subskriptions-Datei.

Viel Erfolg beim sicheren Anmelden!