privacyIDEA4UCS ist zum schnellen Testen als fertiges Appliance Image für VMWare ESX, KVM und Virtual Box verfügbar.

Das Image bringt ein fertig installierten Univention Corporate Server als Basis mit. privacyIDEA und die RADIUS Komponenten sind ebenfalls bereits fertig installiert. Wenn Sie das Image starten, müssen Sie lediglich noch die IP-Konfiguration und die Domänenkonfiguration durchführen.

Dabei können Sie entscheiden, ob Sie eine neue Domäne anlegen oder der Server einem bestehenden Active Directory beitreten soll.

Nach kurzer Zeit ist das System fertig konfiguriert und Sie können Sich an dem Management-UI anmelden und erste Token ausrollen.

Die privacyIDEA4UCS Appliance ist geeignet, wenn Sie sich schnell einen ersten Eindruck verschaffen möchten. Nach wenigen Minuten ist das System einsatzbereit. privacyIDEA4UCS selber eignet sich, wenn Sie durch und durch eine Lösung mit professionellem Support – sowohl für das Basis-Betriebssystem als auch für die Applikation privacyIDEA –  benötigen.

Hier können Sie die Images herunterladen. Bitte teilen Sie uns kurz Ihre Email-Adresse mit. Wir werden Sie lediglich einmal kontaktieren, um uns nach Ihrem Feedback zu erkundigen.

Bitte beachten Sie

Wenn Sie die privacyIDEA Appliance mit einem existierenden Active Directory verbinden, wird kein Token Administrator automatisch angelegt. Daher müssen Sie die folgenden Schritte durchführen, um einen oder mehrere Token Administratoren anzulegen:

  1. Melden Sie sich an der privacyIDEA Maschine als root an.
  2. Führen Sie die folgenden Befehler aus:
    source /opt/privacyidea/privacyidea-venv/bin/activate
    pi-manage admin add admin admin@localhost

    Hierbei wird ein Token Administrator „admin“ angelegt und Sie werden nach einem Passwort gefragt.

  3. Nun können Sie Sich mit diesem Account am privacyIDEA Management UI anmelden.

privacyIDEA ist bereits seit einer Weile auf UCS verfügbar. (Wir berichteten früher)

privacyIDEA4UCS wird nun um zwei weitere Apps im Univention App Center ergänzt: privacyIDEA PAM und privacyIDEA RADIUS.

privacyIDEA selber wird als zentrale Authentisierungsinstanz zur Anmeldung mit zwei Faktoren (Wissen und Besitz) an zentraler Stelle einmal in Ihrem Netzwerk installiert. Nun können beliebige Applikationen die Login-Daten der Benutzer, die sich anmelden wollen, zur Validierung an privacyIDEA weiterreichen. privacyIDEA ist dann in der Lage, das übermittelte Passwort nach statischem Passwort-Anteil und OTP-Anteil zu trennen.

privacyidea-pam-logoprivacyIDEA PAM ermöglicht, an allen PAM-basierten Applikationen eine Zwei-Faktor-Authentisierung umzusetzen. Das können der lokale Login am Server oder am Desktop oder auch die Anmeldung mittels SSH sein. Bspw. kann so gezielt der administrative Zugriff auf die Server mit einem zweiten Faktor wie einer OTP-Karte, einer Smartphone App wie Google Authenticator oder einem Yubikey abgesichert werden.
Hierzu wird auf jedem Server, der derart abgesichert werden soll, die schlanke App privacyIDEA PAM installiert. Anschließend muss privacyIDEA PAM noch über eine UCR-Variable aktiviert werden:

ucr set privacyidea/pam/enable=1

Bei Bedarf kann sogar die Anmeldung an der Univention Management Console mit einem zweiten Faktor abgesichert werden. Dies ist zur Zeit allerdings nicht automatisiert möglich, sondern erfordert den manuellen Eingriff in eine Konfigurationsdatei. Auch hierzu steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

privacyidea-radius-logoprivacyIDEA RADIUS installiert ein zusätzliches Plugin zu der Univention-eigenen RADIUS App. Wird die privacyIDEA RADIUS App mittels

ucr set privacyidea/radius/enable=1

aktiviert, so werden die Credentials, die über das RADIUS Protokoll gesendet werden, auch wiederum gegen den privacyIDEA Server validiert. Dabei kann RADIUS und privacyIDEA RADIUS durchaus auf einem anderen System als dem privacyIDEA Server installiert sein.

Ein solches RADIUS System, das die Benutzer mittels OTP authentifiziert, kann nun verwendet werden, um RADIUS-fähige Applikationen stärker abzusichern. Das RADIUS Protokoll wird üblicher Weise von Firewalls und VPNs unterstützt. Auf diese Art können schnell und einfach Gefahren wie Shoulder-Surfing, Key-Logger oder Brute-Force-Angriffe auf Remote-Zugänge minimiert werden.

Für privacyIDEA4UCS bietet die NetKnights GmbH verschiedene Support-Stufen an. Darin ist auch die Nutzung der Komponenten privacyIDEA PAM und privacyIDEA RADIUS enthalten.

Mit privacyIDEA PAM und privacyIDEA RADIUS stehen nun Schnittstellen zur Verfügung, um Ihre Applikationen leicht und schnell besser abzusichern. Nutzen Sie diese Chance, um Ihre Sicherheit zu erhöhen. Damit Privates privat bleibt.

Logo_UCS_certifiedprivacyIDEA 2.3 ist nun auch auf dem Univention Corporate Server verfügbar. Ab sofort kann privacyIDEA 2.3 leicht aus dem AppCenter heraus installiert werden. Bestehende Installationen mit Version 2.2 können leicht aktualisiert werden.

 

 

 

Die Neuerungen sind:

  • Konnektor für Zertifizierungsstellen hingefügt.
  • Neuer Tokentyp „certificate“, um x509 Benutzerzertifikate zu verwalten.
  • Neuer Tokentyp „registration“, um Massenrollout zu erleichtern.
  • Neuer Tokentyp „Email“, der OTP-Werte per Mail versendet.
  • „First Steps“ in der Online Dokumentation.
  • Gültigkeitsperiode von Token.
  • Auditlog per Download als CSV Datei.
  • Prioritäten von Resolvern verhindern Konflikt, wenn ein Benutzername mehrfach in einem Realm vorkommt.
  • TYPO3 Plugin.
  • SCIM Resolver.

privacyIDEA-200pxAm 13. Juni 2015 hält Cornelius Kölbel auf dem Tübinger Linuxtag Tübix einen Workshop zu privacyIDEA. Interessierte können auf Ihrem eigenen System eine privacyIDEA-Installation unter Anleitung vornehmen, um die eigenen Authentisierungsinformationen unter der eigenen Kontrolle zu haben. Hier kann reingeschnuppert werden, wie privacyIDEA auch im großen Maßstab im Unternehmen eingesetzt werden kann.

08. Mai 2015, Stuttgart

Cornelius Kölbel nimmt am Freitag, dem 08. Mai 2015, an der Podiumsdiskussion zum Thema „Wer schützt unsere Daten?“ an der Hochschule der Medien in Stuttgart teil.

Der Mitschnitt dazu ist nun online bei der Hochschule der Medien zu finden.

Auf dem Univention Blog konnte ich einen Beitrag über Authentisierung mit privacyIDEA veröffentlichen.

21.03.-22.03.2015, Chemnitz

Chemnitzer Linux-Tage 2015 - 21. und 22. März 2015
Im Ausstellungsbereich wird privacyIDEA präsentiert und am Sonntag hält Cornelius Kölbel einen Vortrag über SSH Key-Management mit privacyIDEA.