Ab sofort ist privacyIDEA 2.6 auch im Univention App Center verfügbar. So lässt sich privacyIDEA einfach, schnell und zuverlässig auf einem Univention Corporate Server installieren und in Betrieb nehmen.

Die zwei herausragenden Neuerungen in privacyIDEA 2.6 sind zwei neue Tokentypen.

Vier-Augen-Prinzip

stock-exchange-641910_1280

Mit Hilfe des Vier-Augen-Tokens lassen sich zwei oder mehr Token unterschiedlicher Benutzer zu einem logischen Token zusammenfügen. Somit können Sie leicht einen sensiblen Account über ein Vier-Augen-Prinzip schützen.

Nur wenn biede Personen zugegegen sind, jeder sein geheimes Passwort eingibt und jeder seinen persönlichen Token benutzt, ist eine Anmeldung möglich.

So lassen sich hohe Sicherheitsanforderungen, wie sie im Bereich von Banken, Medizinwesen oder Trustcentern notwendig sind, leicht und effektiv umsetzen.

Einfache Anmeldung mit TiQR

Der TiQR-Token ermöglicht wiederum eine einfache Anmeldung für einen einzelnen Benutzer. Der Benutzer bekommt während der Anmeldung einen QR-Code angezeigt, den er mit seinem Smartpone einscannen muss. Auf seinem Smartphone bestätigt er, dass er sich anmelden möchte und ist sogleich automatisch eingeloggt.

Diese Funktionalität ist auch im eigenen Webinterface von privacyIDEA integriert. Ein entsprechendes Video im im Youtube-Kanal von privacyIDEA zu finden.

Das komplette Changelog ist bei privacyidea.org (englisch) zu finden.

Cornelius Kölbel berichtet von den Neuerungen in privacyIDEA von Version 2.2 bis 2.5 auf der FrOSCon am 23. August 2015.

 

Dieses Video ansehen auf YouTube.

Ab sofort ist privacyIDEA 2.5 im App Center für den Univention Corporate Server verfügbar. privacyIDEA4UCS ermöglicht durch die einfache Integration in UCS ein schnelles Deployment der Authentisierungs-Geräte und macht es somit leicht, eine starke Zwei-Faktor-Authentisierung unternehmensweit einzuführen.

Die Neuerungen in 2.5 sind

  • Statistikfunktionenen wurden hinzugefügt. Somit lässt sich bspw. grafisch erkennen, welche Benutzer sich innerhalb der letzten Woche am häufigsten erfolglos versucht haben anzumelden.
  • Die Web UI wurde um einen deutsche Übersetzung erweitert.
  • Eine Pin Handler-Funktion wurde eingefügt. D.h. nun besteht die Möglichkeit mit der beim Ausrollprozess zufällig erzeugten PIN weitere Workflows, wie das Versenden der PIN mittels Email oder Brief, anzustoßen.
  • Es ist nun möglich, eine automatische Dokumentation des Systems zu erzeugen.
  • Kleinere Erweiterungen sind:
    • Email-Adressen und Mobil-Nummern werden beim Ausrollen von Email-Token oder SMS-Token aus dem Benutzerverzeichnis vorbelegt.
    • Ein LDAP-Verzeichnis kann auch per Anonymous Bind ausgelesen werden.
    • Beim Ausrollen von Google Authenticator ist im QR-Code nun auch die OTP-Länge und die Hash-Funktion enthalten.

privacayIDEA ist Open Source. Die Integration von privacyIDEA auf dem Univention Corporate Server kann mit bis zu 10 Benutzern kostenfrei verwendet werden. Hier finden Sie nähere Details zu weiterführenden Maintenance- und Support-Möglichkeiten durch die NetKnights GmbH.

Banner-2015-180x150Auf den Kieler Open Source und Linuxtagen am 18. und 19. September 2015 wird die NetKnights GmbH mit privacyIDEA vertreten sein. In einem Workshop können die Teilnehmer Erfahrungen mit einem eigenen System zur Zwei-Faktor-Authentisierung sammeln.

Hierzu wird für jeden Teilnehmer ein fertig installiertes privacyIDEA-System bereitgestellt. Jeder Teilnehmer erhält außerdem einen Yubikey, den er nach dem Workshop für starke Authentisierung im echten Leben behalten kann.

Es werden Authentisierungen an der REST API, an einem Web Interface und an SSH bzw. lokaler Login betrachtet.

Die Kielux bieten an, sich für eine bessere Planung zu den Workshops anzumelden.

 

Zwei Webcasts zur Zwei-Faktor-Authentisierung mit privacyIDEA auf Univention Corporate Server

Im Juli bietet die Univention GmbH zusammen mit der NetKnights GmbH zwei Webcasts an, die Ihnen einen Überblick über die Möglichkeiten der Zwei-Faktor-Authentisierung mit privacyIDEA und dem Univention Corporate Server geben soll.

Hier sind die direkten Zugänge zu den beiden Webcasts:

Freitag, 17. Juli 2015 10:00-10:30

Donnerstag, 30. Juli 2015 10:00-10:30

Details zum Webcast

Zwei-Faktor- oder Mehr-Faktor-Authentisierung erweitert die bloße Anmeldung mit einem einfachen Passwort um die Notwendigkeit, zusätzlich einen Besitz-Faktor vorweisen zu müssen. Hierdurch wird der Benutzer genauer identifiziert und ein Mißbrauch des Accounts und somit Abfluss von Daten erschwert.

Dieser Webcast bietet einen fundierten Überblick über das Zwei-Faktor-System privacyIDEA und ermöglicht Ihnen abzuschätzen, an welchen Stellen Ihnen privacycIDEA konkret helfen kann, Ihre Zugänge besser abzusichern.

Mit privacyIDEA ist eine Lösung auf UCS verfügbar, die sich stark in den Univention Corporate Server integriert und Ihnen eine Vielzahl möglicher Authentisierungs-Faktoren an die Hand gibt.
Dies können u.a. sein:

  • Smartphone (App)
  • Mobiltelefon (SMS)
  • Hardware-Token (Einmal-Passwort)
  • OTP-Karten (Einmal-Passwort)
  • Yubikey
  • Daplug-Token
  • Email
  • SSH Keys
  • X509-Zertifikate
  • u.v.a.

Mit privacyIDEA können diese Authentisierungs-Faktoren für die einzelnen Benutzer leicht verwaltet und in bestehende Abläufe eingebunden werden.
So lässt sich mit privacyIDEA an den folgenden Systemen eine sichere Anmeldung mit Hilfe entsprechender Plugins leicht und zentral umsetzen:

  • an Linux-System und UCS,
  • an Firewalls und VPNs,
  • an Windows-Desktops und
  • an Web-Applikationen wie ownCloud, OTRS, Zarafa, TYPO3 uvm.

Datum: 17. Juli 2015 und 30. Juli 2015. Jeweils um 10 Uhr.

Sprecher: Nico Gulden, Univention GmbH und Cornelius Kölbel, NetKnights GmbH

Siehe Bekanntmachung auf der Univention Webseite zu den Terminen 17. Juli und 30. Juli.

 

Am 30.07.2015 hält Cornelius Kölbel bei der Veranstaltung Meet & Greet beim Open IT Sommertreffen der Open IT Berlin einen Vortrag zu Identitäten und Authentifizierung und das ganze mit Open Source.

Was ist eigentlich eine Identität? Und wie kann man diese zuverlässig überprüfen? Wie können Sie den Zugriff auf Ihre Daten zuverlässig schützen? Und das nicht nur vor Crackern, sondern auch vor Herstellern, Geheimdiensten oder vertrauensunwürdigen Regierungsstellen?
In Zeiten regelmäßiger Skandale um NSA, BND, Telekom und andere soll dieser Vortrag einen Einblick geben, was man tun und was man lassen sollte. Es wird aufgezeigt, wie eine vertrauenswürdige Lösung mit Open Source umsetzbar ist.

 

 

Ab sofort ist privacyIDEA 2.4 auch im App Center des Univention Corporate Servers verfügbar. privacyIDEA4UCS ermöglicht durch die einfache Integration in UCS ein schnelles Deployment der Authentisierungs-Geräte und macht es somit leicht, eine starke Zwei-Faktor-Authentisierung unternehmensweit einzuführen. Zusammen mit privacyIDEA wurde auch die App „privacyIDEA RADIUS“ aktualisiert, die die leichte Anbindung von Systemen wie Routern, Firewalls oder VPNs mittels des RADIUS Protokolls ermöglicht.

Die Neuerungen in privacyIDEA 2.4 sind im Einzelnen:

  • Benutzermanagement für Benutzer in SQL-Datenbanken.
  • Admin Realms können nun in Policies verwendet werden, so dass Policies
    in großen Szenarien leichter zu definieren sind.
  • API Keys können den Zugriff auf /validate/check reglementieren
  • PSKC Dateien mit Token-Seeds können nun importiert werden.
  • Ein detailiertes logging ist nun möglich. Schwere Fehler können per Email gesendet werden.
  • WebUI: Registrierungstoken können nun auch aus dem WebUI heraus ausgerollt werden.
  • WebUI: Das reine Token-Seed kann nach der Erzeugung eines Tokens angezeigt werden.
  • WebUI: Es werden nur die Token-Typen aufgelistet, die auch tatsächlich per Policy ausgerollt werden dürfen.
  • WebUI: Login_Mode Policy: Hiermit kann der Zugriff auf das WebUI komplett verboten werden.
  • WebUI: Im Audit-View gibt es nun einen Reload-Button.
  • SQLResolver: Das WHERE-Statement wird nun immer verwendet.
  • SSH-Token Applikation: Es werden nur die SSH-Keys des angefragten Benutzers zurückgegeben.
  • Der Apache Client kann nun mit mehreren vhosts umgehen.
  • Die Dokumentation für Token-Typen wurde erweitert.
  • WebUI Fix: Download des Audit-Log.

Mehr technisches Details zu den neuen Features API Keys, Benutzer-Verwaltung und Administrative Realms finden sich im englischsprachigen Blog der Projektwebseite.

privacyIDEA4UCS ist zum schnellen Testen als fertiges Appliance Image für VMWare ESX, KVM und Virtual Box verfügbar.

Das Image bringt ein fertig installierten Univention Corporate Server als Basis mit. privacyIDEA und die RADIUS Komponenten sind ebenfalls bereits fertig installiert. Wenn Sie das Image starten, müssen Sie lediglich noch die IP-Konfiguration und die Domänenkonfiguration durchführen.

Dabei können Sie entscheiden, ob Sie eine neue Domäne anlegen oder der Server einem bestehenden Active Directory beitreten soll.

Nach kurzer Zeit ist das System fertig konfiguriert und Sie können Sich an dem Management-UI anmelden und erste Token ausrollen.

Die privacyIDEA4UCS Appliance ist geeignet, wenn Sie sich schnell einen ersten Eindruck verschaffen möchten. Nach wenigen Minuten ist das System einsatzbereit. privacyIDEA4UCS selber eignet sich, wenn Sie durch und durch eine Lösung mit professionellem Support – sowohl für das Basis-Betriebssystem als auch für die Applikation privacyIDEA –  benötigen.

Hier können Sie die Images herunterladen. Bitte teilen Sie uns kurz Ihre Email-Adresse mit. Wir werden Sie lediglich einmal kontaktieren, um uns nach Ihrem Feedback zu erkundigen.

Bitte beachten Sie

Wenn Sie die privacyIDEA Appliance mit einem existierenden Active Directory verbinden, wird kein Token Administrator automatisch angelegt. Daher müssen Sie die folgenden Schritte durchführen, um einen oder mehrere Token Administratoren anzulegen:

  1. Melden Sie sich an der privacyIDEA Maschine als root an.
  2. Führen Sie die folgenden Befehler aus:
    source /opt/privacyidea/privacyidea-venv/bin/activate
    pi-manage admin add admin admin@localhost

    Hierbei wird ein Token Administrator „admin“ angelegt und Sie werden nach einem Passwort gefragt.

  3. Nun können Sie Sich mit diesem Account am privacyIDEA Management UI anmelden.

privacyIDEA ist bereits seit einer Weile auf UCS verfügbar. (Wir berichteten früher)

privacyIDEA4UCS wird nun um zwei weitere Apps im Univention App Center ergänzt: privacyIDEA PAM und privacyIDEA RADIUS.

privacyIDEA selber wird als zentrale Authentisierungsinstanz zur Anmeldung mit zwei Faktoren (Wissen und Besitz) an zentraler Stelle einmal in Ihrem Netzwerk installiert. Nun können beliebige Applikationen die Login-Daten der Benutzer, die sich anmelden wollen, zur Validierung an privacyIDEA weiterreichen. privacyIDEA ist dann in der Lage, das übermittelte Passwort nach statischem Passwort-Anteil und OTP-Anteil zu trennen.

privacyidea-pam-logoprivacyIDEA PAM ermöglicht, an allen PAM-basierten Applikationen eine Zwei-Faktor-Authentisierung umzusetzen. Das können der lokale Login am Server oder am Desktop oder auch die Anmeldung mittels SSH sein. Bspw. kann so gezielt der administrative Zugriff auf die Server mit einem zweiten Faktor wie einer OTP-Karte, einer Smartphone App wie Google Authenticator oder einem Yubikey abgesichert werden.
Hierzu wird auf jedem Server, der derart abgesichert werden soll, die schlanke App privacyIDEA PAM installiert. Anschließend muss privacyIDEA PAM noch über eine UCR-Variable aktiviert werden:

ucr set privacyidea/pam/enable=1

Bei Bedarf kann sogar die Anmeldung an der Univention Management Console mit einem zweiten Faktor abgesichert werden. Dies ist zur Zeit allerdings nicht automatisiert möglich, sondern erfordert den manuellen Eingriff in eine Konfigurationsdatei. Auch hierzu steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

privacyidea-radius-logoprivacyIDEA RADIUS installiert ein zusätzliches Plugin zu der Univention-eigenen RADIUS App. Wird die privacyIDEA RADIUS App mittels

ucr set privacyidea/radius/enable=1

aktiviert, so werden die Credentials, die über das RADIUS Protokoll gesendet werden, auch wiederum gegen den privacyIDEA Server validiert. Dabei kann RADIUS und privacyIDEA RADIUS durchaus auf einem anderen System als dem privacyIDEA Server installiert sein.

Ein solches RADIUS System, das die Benutzer mittels OTP authentifiziert, kann nun verwendet werden, um RADIUS-fähige Applikationen stärker abzusichern. Das RADIUS Protokoll wird üblicher Weise von Firewalls und VPNs unterstützt. Auf diese Art können schnell und einfach Gefahren wie Shoulder-Surfing, Key-Logger oder Brute-Force-Angriffe auf Remote-Zugänge minimiert werden.

Für privacyIDEA4UCS bietet die NetKnights GmbH verschiedene Support-Stufen an. Darin ist auch die Nutzung der Komponenten privacyIDEA PAM und privacyIDEA RADIUS enthalten.

Mit privacyIDEA PAM und privacyIDEA RADIUS stehen nun Schnittstellen zur Verfügung, um Ihre Applikationen leicht und schnell besser abzusichern. Nutzen Sie diese Chance, um Ihre Sicherheit zu erhöhen. Damit Privates privat bleibt.

Logo_UCS_certifiedprivacyIDEA 2.3 ist nun auch auf dem Univention Corporate Server verfügbar. Ab sofort kann privacyIDEA 2.3 leicht aus dem AppCenter heraus installiert werden. Bestehende Installationen mit Version 2.2 können leicht aktualisiert werden.

 

 

 

Die Neuerungen sind:

  • Konnektor für Zertifizierungsstellen hingefügt.
  • Neuer Tokentyp „certificate“, um x509 Benutzerzertifikate zu verwalten.
  • Neuer Tokentyp „registration“, um Massenrollout zu erleichtern.
  • Neuer Tokentyp „Email“, der OTP-Werte per Mail versendet.
  • „First Steps“ in der Online Dokumentation.
  • Gültigkeitsperiode von Token.
  • Auditlog per Download als CSV Datei.
  • Prioritäten von Resolvern verhindern Konflikt, wenn ein Benutzername mehrfach in einem Realm vorkommt.
  • TYPO3 Plugin.
  • SCIM Resolver.