privacyIDEA wird am 31. Mai und 1. Juni auf dem Texas LinuxFest in Dallas vertreten sein.

Cornelius Kölbel wird einen Workshow durchführen, in dem die Teilnehmer das Mehr-Faktor-Authentifizierungssystem privacyIDEA in ein bestehendes Netzwerk installieren, Benutzer aus einem AD lesen, Token zuweisen und den Zugang zu ownCloud, NGinX oder SSH um eine Zwei-Faktor-Authentifizierung erweitern. Single Sign On ist ein wichtiger Mechanismus, um das Leben der Benutzer zu erleichtern. Aber der Schutz dieses einzelnen Logins ist daher umso wichtiger. Schützen Sie SSO mit einem zweiten Faktor. Im Workshop wird die Zwei-Faktor-Authentifizierung mit privacyIDEA an Keycloak oder simpleSAMLphp betrachtet.

Am nächsten Tag wird Cornelius Kölbel einen Vortrag halten, wie Firmen und größere Benutzergruppen eine bestehende 2FA-Lösung leicht nach privacyIDEA migrieren können.

Wenn Sie Interesse an diesen Themen haben, treten Sie gerne mit uns in Kontakt.

Heute wurde die privacyIDEA Enterprise Edition 3.0.1 veröffentlicht. Sie ist das stabile Bug-Fixing Release für unsere Unternehmenskunden, das Probleme aus der Version 3.0 behebt.

Push Token

Im Bereich der neuen Funktion des Push-Token wurden Fehler behoben bzw. die Bedienbarkeit verbessert.

  • Eine Logikprüfung der Firebase-Konfiguration für den PUSH-Token wurde ergänzt (#1592).
  • Die doppelte Benachrichtigung bei der Registrierung von PUSH-Token wurde entfernt (#1598).
  • Leerzeichen im Namen der Firebase-Konfiguration sind nun erlaubt (#1599).
  • Unterstützung für iOS Firebase Konfiguration hinzugefügt (#1608).
  • Das Problem von PUSH-Token bei gleichzeitigen Label-Richtlinien wurde behoben (#1589).
  • Die Challenges von akzeptierten PUSH-Token werden in der Datenbank nun richtig marktiert  (#1584).

(Die Nummern in den Klammern geben jeweils die Github-Issues an)

Stabile Enterprise-Version

Darüberhinaus wurden die folgenden Probleme behoben oder Funktionalitäten verbessert:

  • Registrierungstoken funktionieren nun zusammen mit einem Gültigkeitszeitraum (#1587).
  • Vertikalte Ausrichtung im Menü im WebUI wurde korrigiert (#1559).
  • Fehler beim Lesen des User-Cache-Timeouts wurde behoben (#1596).
  • Die Links im Auditprotokoll wurden für normale Benutzer entfernt (#1497).
  • WebUI-Richtlinien werden nun auch auf Resolver geprüft (#1496).
  • Der Platzhalter im Realm Dropdown-Menü im Login-Dialog wird nun richtig angezeigt (#1498).
  • Das Problem beim Erzeugen des Encryption-Keys unter Python 3 wurde behoben (#1594).
  • Die „browserLanguage“ kann nun in eigenen UI templates verwendet werden (#1620).
  • Beim suchen in Richtlinien werden alle Rubriken automatisch geöffnet (#1558).
  • Support-Links werden bei entsprechender Konfiguration auch im Menü ausgeblendet (#1626).

Sichern Sie Ihr Netzwerk ab

Die Version 3.0.1 ist öffentlich verfügbar und kann leicht über den Python Package Index oder über Repositories für Ubuntu 16.04LTS und 18.04LTS installiert werden.

Unsere Unternehmenskunden wurden über die Aktualisierungen informiert. Ihnen steht außerdem ein Repository für Red Hat Enterprise Linux 7 und eine Appliance-Applikation zur Verfügung. Wenn Sie sich für die Enterprise Edition interessieren, erfahren Sie hier mehr.

Wollen Sie auf dem Laufenden bleiben, abonnieren Sie bitte unseren Newsletter.

Mit der privacyIDEA ownCloud App in Version 2.5.1 ist nun eine flexiblere Authentifizierung an ownCloud mit einem zweiten Faktor möglich. Benutzer können auch sogeannte Challenge Response Token beliebig kombinieren. So kann sich ein Benutzer bspw. mit U2F-Token oder auch mit einem Email- oder SMS-Token anmelden. Dies kann interessant sein, da schwächere Anmeldeverfahren wie SMS gerne als temporäres Backup oder im Zuge eines Rollout-Prozesses verwendet werden.

Die privacyIDEA ownCloud App in Version 2.5.1 ist im ownCloud Marketplace verfügbar.

Für Kunden, die eine kritische Infrasturktur betreiben oder auf die verlässliche Funktion Ihrer ownCloud angewiesen sind, bieten wir Support und ein Service Level Agreement für die privacyIDEA ownCloud App.

Wir sind stolz, dass wir heute privacyIDEA 3.0 veröffentlichen können. Denn mit privacyIDEA 3.0 stellen wir die Weichen für eine stabile Zukunft.

Während viele sich schnell in verlockenden MFA SaaS-Angeboten verlieren, wollen wir unseren Kunden weiter die Möglichkeit geben, ihre sichere Mehr-Faktor-Authentifizierung mit einem vertrauenswürdigen System unter der eigenen Kontrolle, on Premise, durchzuführen. Damit das auch in Zukunft so bleibt, haben wir an mehreren Punkten in den vergangenen Monaten gearbeitet. Vordergründig scheinen die erstmal keinen Wow-Effekt zu bringen, aber Ihnen als Unternehmenskunde geben sie das, was für Sie zählt: Langfristige Stabilität!

Python 3

privacyIDEA ist in Python geschrieben. Die Python Version 2.7 wird ab 2020 nicht mehr weiterentwickelt. Wir haben den Code von privacyIDEA 3.0 so geschrieben, dass er sowohl unter Python 2.7 als auch unter Python 3.x läuft. Das gibt Ihnen die Sicherheit, dass Sie ohne Migrationsprojekte von Python 2.7 auf Python 3 wechseln können und auch nach 2020 privacyIDEA entspannt einsetzen können.

Eine PIP-Installation von privacyIDEA 3.0 können Sie wahlweise schon auf Python 3 betreiben. Die Enterprise-Pakete werden wir derzeit noch mit Python 2.7 ausliefern und sie dann im Laufe der kommenden Monate auf Python 3 ändern. Für Sie ist dann außer einem normalen Update nichts weiter zu tun.

Cryptofunktionen

Unter der Haube haben wir auch Crypto-Bibliotheken ausgetauscht. Die alte Bibliothek pycrypto musste dem de-Facto-Standard cryptography weichen. Signaturen und verschlüsselte Daten haben nun zusätzlich eine eigene Versionierung, so dass wir hier zukunftssicher sind, wenn wir die Art und Weise, wie wir signieren oder verschlüsseln, austauschen wollen. Dank der Versionierung können wir hier einfach die Abwärtskompatibilität sicherstellen.

Datenbank-Schema

Wir haben mit einer Design-Altlast gebrochen, die auf die ersten Versionen im Jahr 2009 zurückgeht. Bisher wurde die Zuordnung eines Tokens zum Benutzer in der Datenbank in der Tokentabelle selber gespeichert. Das war zwar einfach, aber nicht flexibel. Die Zuordnung erfolgt nun in einer eigenen Tabelle, so dass wir datenbankseitig schon vorbereitet haben, dass mehrere Benutzer den gleichen Token besitzen können. Dies wird es uns in der Zukunft erleichtern, ganz neue Tokentypen zu entwickeln.

Installationsvarianten

Wir haben uns entschieden, alle Installationsvarianten als sogenannte Python virtualenv auszuliefern. In einem dedizierten Verzeichnis bringt privacyIDEA alle Abhängigkeiten mit, die es benötigt. Dadurch stellen wir sicher, dass unabhängig davon, ob privacyIDEA auf einem Debian, Ubuntu, RHEL oder SLES läuft und per pip, apt oder yum installiert wurde, in einer gegebenen Version der komplett gleiche Code läuft. Das hilft, Seiteneffekte von unterliegenden Abhängigkeiten auszuschließen. Die Installationen werden homogener und stabiler.

Dennoch ist weiterhin wie gehabt eine einfache Installation und Update mittels apt/aptitude oder yum möglich.

Ab privacyIDEA 3.0 werden wir keine Pakete mehr für Ubuntu 14.04LTS bauen. Dafür bieten wir ab 3.0 Pakete für Ubuntu 18.04LTS und 16.04LTS an. Die Pakete für Ubuntu können wir aber nicht mehr in den PPA Launchpad Repositories veröffentlichen. Vielmehr veröffentlichen wir diese nun in einem eigenen Repository.

Installation der neuen Version privacyIDEA 3.0

privacyIDEA 3.0 ist die Community Edition, die auf dem Python Package Index und in Repositories für Ubuntu 16.04LTS und 18.04LTS verfügbar ist. Wegen der Änderungen bitten wir Sie, die Installations- und Update-Anleitungen genau zu lesen.

Die Enterprise Edition für Unternehmenskunden wird in einigen Wochen als Version 3.0.1 folgen.

Lesen Sie außerdem unsere Pressemitteilung zum Release von privacyIDEA 3.0.

Die quelloffene Mehrfaktor-Authentifizierungssoftware privacyIDEA ist in der Version 3.0 erschienen. Als wesentliche Neuerung nennen die Entwickler des in Python geschriebenen Authentifizierungsservers die Unterstützung von Python 3, womit ein langfristig zukunftssicherer Betrieb sichergestellt wird. Mit Push-Token wurde außerdem ein neuer Tokentyp eingeführt, um die User Experience weiter zu verbessern. Außerdem wurden die Kryptographie-Module auf neue, zeitgemäße Bibliotheken umgestellt und ein generischer Queue-Mechanismus eingeführt, mit dem zeitintensive Aufgaben aus einer Authentifizierungsanfrage ausgelagert werden können.

Mit der Umstellung auf Python 3 reagieren die Entwickler von privacyIDEA auf die Einstellung des Supports von Python 2.7 ab 2020. Unternehmen und Endanwender, die privacyIDEA einsetzen, erhalten damit die Sicherheit, dass die Open-Source-Lösung auch in Zukunft modernste Standards unterstützt und kontinuierlich weiterentwickelt wird.

Als neuer Tokentyp für die Authentifizierung wurden sogenannte Push-Token eingeführt. Benutzer haben nun die Möglichkeit, bei der Anmeldung an einem Dienst Benachrichtigungen über die privacyIDEA Authenticator App zu erhalten und auf Ihrem Smartphone durch einen einfachen Klick die Anmeldung zu bestätigen.

Mehr Flexibilität für Administratoren

Die Kryptographie-Module wurden mit dem Release auf neue, zeitgemäßere Bibliotheken umgestellt. So wurde bspw. die nicht mehr gepflegte Bibliothek pycrypto entfernt und gegen cryptography ausgetauscht. Diese gilt als neuer De-Facto-Standard in der Python-Community.

Ein generischer Queue-Mechanismus erlaubt nun, dass zeitintensive Aufgaben aus dem eigentlichen Authentifizierungsrequest ausgelagert werden können. So kann der Administrator bspw. bei der Verwendung von E-Mail-Token definieren, dass eine E-Mail außerhalb der eigentlichen Authentifizierunganfrage gesendet wird, was die Wartezeit bei der Anmeldung verkürzt.

Das Datenbankschema sieht nun vor, dass ein Authentifizierungsobjekt (Smartphone, OTP-Token, Yubikey, X509-Zertifikat) mehreren Benutzern zugeordnet werden kann. Dadurch wird privacyIDEA flexibler und ermöglicht in Zukunft ein leichtere Wartbarkeit.

Bereits seit der Version 2.23 haben Administratoren die Möglichkeit, über beliebig gefilterte Ereignisse Statistiken zu erzeugen und diese zum Beispiel in Grafana darzustellen.
Mit der Version 3 lassen sich nun darüber hinaus eigene Module zur Speicherung der Statistik-Daten integrieren. Anfallende Daten können dadurch in Datenbanken abgespeichert werden, die für die Verarbeitung von Zeitreihen besser geeignet sind (z.B. Prometheus).

Für Ubuntu 16.04 LTS und Ubuntu 18.04 LTS stehen Repositories bereit, die eine leichte Installation von privacyIDEA 3.0 ermöglichen. Aus dem Python Package Index heraus kann es auf jeder anderen beliebigen Distribution installiert werden. Das Paket ist auch direkt über Github auffindbar: https://github.com/privacyidea/privacyidea
Aufgrund der weitreichenden Schema-Änderungen wird empfohlen, vor einem Update die Dokumentation unter https://privacyidea.readthedocs.io genau zu lesen.

Über privacyIDEA

privacylDEA ist ein Multi-Client- und Multi-Instanz-fähiges System zur Sicherung der Identitäten (ID) durch Mehr-Faktor-Authentifizierung. Es wird an zentraler Stelle zusätzlich zur Benutzerverwaltung installiert und verwaltet die Authentisierungs-Geräte (unterschiedliche Token, OTP-Token, Smartphone-Apps, U2F) und Zugriffsrechte der Benutzer. Es kann mit selbsterzeugtem Schlüsselmaterial umgehen.

Weitere Informationen finden Sie unter https://netknights.it/produkte/privacyidea. Wenn Sie sich über die neuesten Entwicklungen rund um privacyIDEA auf dem Laufenden halten möchten, besuchen Sie https://netknights.it/aktuelles/.

(Referenz privacyIDEA-Projekt: https://www.privacyidea.org/privacyidea-3-0—python-3,-push-and-policies/)

Volle Flexibilität und mehr Sicherheit für den heterogenen Unternehmenseinsatz

Das privacyIDEA Zwei-Faktor-System unterstützt viele verschiedene Tokentypen. Schon immer werden Google Authenticator und kompatible Smartphone-Apps unterstützt. Doch da der durch den Google Authenticator definierte Rolloutprozess Lücken offen lässt, bietet seit geraumer Zeit privacyIDEA einen sichereren Rolloutmechanismus an.

 

Mit privacyIDEA dem Identitätsdiebstahl vorbeugen

Der privacyIDEA Authenticator ist nun seit wenigen Tagen auch für iOS verfügbar. Damit haben Unternehmen die Möglichkeit, Authentifizierungssystem und Authenticator aus einem Guß zu erhalten und dank des einzigartigen Zwei-Schritt-Rollouts ein sichereres System zu betreiben dem Identitätsdiebstahls innerhalb des Unternehmens vorzubeugen.

Die App ist nun für Android und iOS in den jeweiligen App Stores verfügbar.

In der neuen Version 2.5 des privacyIDEA ownCloud Plugins kann der Administrator nun entscheiden, in welchem Fall er von den Benutzern eine Zwei-Faktor-Authentifizierung verlangt und wann nicht.

Dies kann der Administrator von der IP-Adresse des anfragenden Clients abhängig machen. So kann er bspw. erzwingen, dass Zugriffe aus dem Internet mit einem zweiten Faktor geschützt sind, während für Zugriffe von Clients aus dem internen Netzwerk der zweite Faktor nicht abgeprüft wird.

Das privacyIDEA ownCloud Plugin ist ab sofort über den ownCloud Marketplace verfügbar und kann direkt aus ownCloud heraus installiert werden.

Diesen Sonntag wird Cornelius Kölbel auf der FOSDEM in Brüssel einen Vortrag über Zwei-Faktor-Authentifizierung an ownCloud mittels privacyIDEA halten.


Das Branchenmagazin “CIO Applications Europe” wählte NetKnights in diesem Jahr unter die TOP25 Security Unternehmen. Als Grund hoben die Redakteure die großen Erfolge hervor, die Netknights bei der Erfüllung individueller Bedürfnisse von Unternehmen aus verschiedenen Branchen erzielt, etwa aus dem Gesundheitswesen, wo das privacyIDEA-System mit anderen IT-Lösungen wie Citrix, NetScaler, CiscoASA und vielen VPN bzw. Firewalls zusammenarbeite. Das Printmagazins gehört zu den führenden IT-Medienmarken in Europa und legt in seinen Rankings einen besonderen Fokus auf wichtige technologische Innovationen in verschiedenen Bereichen.

Als weitere wichtige Faktoren für die Platzierung nannte CIO Applications die hohe Transparenz und die Flexibilität beim Betrieb der 2FA-Lösung: Als Open-Source-basiertes System überlässt privacyIDEA Unternehmen die vollständige Eigentümerschaft am Quellcode und damit Administratoren die vollständige Kontrolle bei der Einrichtung des Systems.

Als modulares System vor Ort ermöglicht privacyIDEA die Schaffung einer hochsichere Umgebung für Geschäftsdaten und Identitäten zu schaffen, ohne Abstriche in Puncto Funktionalität und Flexibilität hinnehmen zu müssen. Im Beitrag der CIO heißt es hierzu:

„NetKnights verfügt über eine immense Erfahrung im Bereich Identitätsmanagement und -authentifizierung und bietet eine Reihe von relevanten Beratungsleistungen an, um eine optimale Lösung zu liefern. Die Berater besuchen nicht nur die Räumlichkeiten des Kunden, sondern führen auch Workshops durch, um seine Anforderungen und Workflows besser zu verstehen. Diese Beratungsleistungen reichen von der Integration handverlesener Software in die bestehenden Systeme des Kunden bis hin zur Entwicklung von Automatisierungssystemen zur Optimierung der Arbeitsabläufe.”

Hier geht es zum vollständigen Beitrag (in englischer Sprache)

Sichere und vertrauenswürdige Anmeldung an Windows Desktop und Windows Terminalserver

Die NetKnights GmbH hat heute am 6.11.2018 die Version 2.5 des privacyIDEA Credential Providers veröffentlicht. Der privacyIDEA Credential Provider ermöglicht es Benutzern, sich sicher mit einem zweiten Faktor an einem Windows Desktop oder Terminalserver anzumelden. Dabei kann der Benutzer eine Smartphone App, einen Einmalpasswort-Token, Yubikeys oder Nitrokeys verwenden. Alternativ sendet das Authentifizierungsbackend dem Benutzer eine Email oder eine SMS mit einem Einmalcode für die Anmeldung zu.

Die Authentifizierung erfolgt gegen das privacyIDEA Backend, in dem der Administrator alle Token der Benutzer an zentraler Stelle im eigenen Netzwerk verwaltet.

Authentifizierung unter der eigenen Kontrolle

Der Administrator kann das Aussehen des privacyIDEA Credential Provider komplett dem Corporate Design anpassen. So können Logos und Texte entsprechend den Unternehmensrichtlinien ausgetauscht werden.

Der privacyIDEA Credential Provider integriert sich nahtlos in die existierende Windows-Landschaft. Er unterstützt Network Level Authentication (NLA), User Access Control (UAC) und Over-The-Shoulder (OTS). Die Passwort-Änderung ist sowohl während der Anmeldung als auch während des Entsperrens einer Sitzung möglich.

privacyIDEA Credential Provider ist als MSI-Paket verfügbar. Unternehmen können somit leicht über das jeweils bevorzugte Software-Verteilungssystem die Software auf Windows 8, Windows 10, Server 2012 und 2016 installieren.

Durch die Authentifizierung gegen das privacyIDEA Backend, das unter einer Open Source Lizenz verfügbar ist und ebenfalls im eigenen Netzwerk betrieben wird, haben Unternehmen nicht nur Wahlfreiheit, was die Verwendung der zweiten Faktoren angeht, sondern auch jederzeit die volle Kontrolle über den kompletten Anmeldeprozess.

Neu in der Version 2.5

Neu in der Version 2.5 ist die Möglichkeit, dass sich Benutzer per Einmalcode aus einer Email oder SMS authentisieren können.

Der privacyIDEA Credential Provider steht für registrierte Kunden zum Download bereit. Interessierte Anwender können die Software in einer ausgiebigen Testphase evaluiert.

Die Netknights GmbH, Entwickler der quelloffenen 2-Faktor-Authentifizierungslösung privacyIDEA, ist auch in diesem Jahr auf der IT-SA, der wichtigsten Fachmesse im Bereich IT-Security, vertreten. Am Gemeinschaftsstand mit ownCloud (Halle 10.0 / Stand 10.0-428) präsentiert das Team von Netknights die neueste Version 2.23 der Authentifizierungssoftware, die  Administratoren deutlich mehr Flexibilität bei der Gestaltung ihrer IT-Sicherheit einräumt. Interessierte Besucher haben die Möglichkeit, die Enterprise-Edition von privacyIDEA genauer kennenzulernen und sich über die Einbindung von privacyIDEA in ownCloud zu informieren. Die IT-SA findet vom 09. bis 11. Oktober in Nürnberg statt.

 Mehr Freiheit für Administratoren mit privacyIDEA 2.23

Vor kurzem wurde die Version 2.23 des Mehr-Faktor-Authentifizierungssystems privacyIDEA veröffentlicht. Das Update kommt mit wesentliche Neuerungen beim Event Handling und enthält zusätzliche Funktionen, die Administratoren mehr Freiheiten bei der Definition automatischer Befehle einräumen.

Event Handler ermöglichen es dem Administrator, beliebige Ereignisse in privacyIDEA mit Benachrichtigungen von Benutzern oder Modifikationen von Token oder Skripten zu verknüpfen. Tritt ein solches Ereignis mit definierten Rahmenbedingungen ein, so wird vom System die vordefinierte Aufgabe ausgeführt. In der Version 2.23 kann der Administrator außerdem regelmäßige, wiederkehrende Aufgaben definieren. Diese können auch genutzt werden, um Informationen über das privacyIDEA-System zu erfassen. Verschiedene Module wie ein „Ereignis-Zähler“ oder ein „Statistik-Modul“ definieren dabei, was regelmäßig passieren soll.

privacyIDEA 2.23 ist über die öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTSverfügbar. Außerdem kann die Software über den Python Package Index auf beliebigen Distributioneninstalliert werden.

privacyIDEA in ownCloud

Die privacyIDEA ownCloud App ermöglicht die Anmeldung an ownCloud mit einem zweiten Faktor, der gegen privacyIDEA authentifiziert wird. Mit der App können Anwender die Sicherheit ihrer online verfügbaren Daten deutlich erhöhen, indem ein unerwünschter Datenabfluss durch gespeicherte, schwache oder gestohlene Passwörter verhindert wird. Darüber hinaus liefert das detaillierte Auditlog innerhalb von privacyIDEA eine genaue Übersicht, welcherBenutzer sich zu welcher Zeit mit welchem Faktor angemeldet hat. Benutzer können den selben Token, der zentral in privacyIDEA verwaltet wird, für ownCloud, das VPN oder Anmeldung mittels SSH verwenden. Die privacyIDEA ownCloud App ist für ownCloud ab Version 9.1 verfügbar.

privacyIDEA für den Enterprise-Einsatz

Die Enterprise Edition von privacyIDEA richtet sich an Unternehmen und Organisationen, die einen zuverlässigen Update-Prozess benötigen. Sie steht für Ubuntu 16.04LTS, CentOS7/RHEL7 und Univention Corporate Server zur Verfügung und bietet außerdem eine Appliance, mit der bspw. eine Master-Master-Replikation schnell und zuverlässig eingerichtet werden kann.

Interessierte Besucher, die mehr über sichere und quelloffene 2-Faktor-Authentifizierung erfahren möchten oder die Software vor Ort testen wollen, haben auch die Möglichkeit, vorab einen Termin zu vereinbaren.