,

privacyIDEA 2.20.1 Enterprise Edition veröffentlicht

Heute wurde die stabile Version 2.20.1 der privacyIDEA Enterprise Edition veröffentlicht.

Die Enterprise Edition erscheint in der Version 2.X.1 einige Wochen nach den jeweiligen öffentlichen Releases und enthält notwendige Bugfixes. Über die Version 2.20 berichteten wir bereits.

Die Version 2.20.1 behebt folgende Fehler:

  • Beim Einsatz von PostgreSQL-Datenbanken kann der Administrator nun wie erwartet nach dem Datum suchen.
  • Während des Enrollments eines Tokens wird im UI der default Realm vorbelegt.
  • Fehler bei PassOnNoUser und PassOnNoToken wurden behoben.
  • Die genkey-Funktionalität beim Ausrollen von Token wurde konsolidiert.

Die Enterprise Edition des Mehr-Faktor-Authentifizierungssystems privacyIDEA richtet sich an Unternehmen und Organisationen, die einen zuverlässigen Update-Prozess benötigen. Sie steht für Ubuntu 14.04LTS, Ubuntu 16.04LTS, CentOS7/RHEL7 und Univention Coroprate Server zur Verfügung.

,

privacyIDEA 2.20 ermöglicht verteilte Authentifizierung

Heute wurde privacyIDEA 2.20 veröffentlicht. Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Federation-Handler

Der neue Federation-Handler erlaubt es, Authentifizierungsanfragen an untergeordnete privacyIDEA-Instanzen weiterzuleiten.

So lassen sich beliebige Berechtigungsstrukturen abbilden, in denen zum Beispiel die Authentifizierungs-Anfrage einer zentralen privcayIDEA-Instanz zu dedizierten, untergeordneten Instanzen in verschiedenen Abteilungen weitergeleitet werden.

Geschäftsbereiche, Subunternehmer oder Abteilungen können somit die Token der eigenen Mitarbeiter unter eigener Kontrolle verwalten. Dennoch gibt es einen zentralen Einstiegspunkt für Authentifizierungsanfragen.

Diese Funktion eröffnet auch im Providerumfeld neue Möglichkeiten.

Neuer Tokentyp OCRA und DisplayTAN

In Version 2.20 wurde der allgemeine Tokentyp OCRA und damit die spezielle Ausprägung DisplayTAN eingeführt. Die DisplayTAN-Karte ist eine Hardware-Karte, die über Bluetooth-LE OCRA-Challenge-Daten entgegennehmen kann. Der Benutzer kann dieser auf dem eingebauten eInk-Display verifizieren und erhält auf Basis dieser Challenge-Daten einen OTP-Wert angezeigt.

OCRA ist in RFC 6287 spezifiziert. Ein üblicher Anwendungsfall ist das Signieren von Bank-Transaktions-Daten und die Erzeugung der TAN. Mit dem DisplayTAN Token kann dies sicher auf einer dedizierten Hardware geschehen. privacyIDEA ist nun das ideale System, um diese Geräte für Bank-Anwendungen zu verwalten. In einem früheren Blog-Post berichteten wir bereits.

Login mit mehreren Loginnamen

Der LDAP Resolver gestattet es nun, mehrere LDAP Attribute zu definieren, die als Login-Name verwendet werden können. So kann der Administrator konfigurieren, dass sich Benutzer mit ihrem sAMAccountName, der Email-Adresse oder bspw. der Telefonnummer anmelden können.

Authentifizierungs-Cache

Weiterhin kann der Administrator nun definieren, ob in bestimmten Fällen für bestimmte Benutzer für eine gewissen Zeit die Authentifizierungsanfrage gecacht werden soll. Somit ist für einen gewissen Zeitraum die erneute Anmeldung mit dem gleichen OTP-Wert möglich. Zwar führt dies den Sinn von 2FA mittels OTP ad absurdum, wenige ungünstig implementierte Applikationen können jedoch davon profitieren. Ein kleiner Vorteil ist, dass sich dieses Verhalten über eine Zeit- und Client-IP-abhängige Richtlinie steuern lässt.

Weitere Funktionen

Viele Richtlinien erlauben nun auch die Nutzung von Resolvern. So lässt sich noch feiner granuliert das Verhalten für unterschiedliche Benutzergruppen anpassen.

Während des Rollout-Prozesses einer Smartphone-App kann der Benutzer, wenn er glaubt, dass ein Angreifer den angezeigten QR-Code abgegriffen hat, diesen neu generieren.

Die Ereignisse im Eventhandler-Framework können nun in einer selbst definierten Reihenfolge sortiert werden. Damit lassen sich die Reaktionen von privacyIDEA noch genauer festlegen.

Die Eventhandler können nun Zeiten und Zeitdifferenzen in den Bedingungen nutzen.

Mit einem Challenge Response-Token lässt sich ebenfalls die UI entsperren.

Während der Installation der Ubuntu-Pakete wird automatisch PGP-Schlüssel erzeugt, mit dem später die Import-Dateien der Token-Seeds verschlüsselt werden können.

Ein komplettes Changelog finden Sie bei Github.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Open Source und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie wollen mehr wissen? Rufen Sie uns an!

,

privacyIDEA 2.19.1 auf Univention Corporate Server verfügbar

Die Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar. Mit der Version 2.19.1 vollzieht die NetKnights GmbH außerdem den Wechsel zur Unterstützung des Univention Corporate Servers 4.2. Kunden können somit leicht von einem UCS 4.1 mit privacyIDEA 2.18 auf den UCS 4.2 mit privacyIDEA 2.19.1 upgraden.

Neben den Verbesserungen im Univention Corporate Server 4.2 bringt auch privacyIDEA 2.19.1 weitere Verbesserungen mit. Dies sind unter anderem der generische Benutzer-Cache, der die Anmeldezeiten erheblich verkürzen kann und eine bessere Verwaltung von U2F-Geräten, die es dem Administrator erlaubt zu definieren, welche Geräte die Benutzer überhaupt registrieren und benutzen dürfen. Ein Token-Janitor ermöglicht es dem Administrator, verwaiste Token aufzufinden und zu deaktivieren oder zu löschen. Wir berichteten bereits allgemein über privacyIDEA 2.19.

Service Level Agreement und Subskriptionen

privacyIDEA auf dem Univention Corporate Server kann aus dem Univention App Center leicht und schnell installiert werden. Weitere Details und Test-Subskriptionen finden Sie auf unserer Produktseite. Die normalen Service Level Agreements für privacyIDEA erlauben außerdem die Nutzung von privacyIDEA4UCS.

,

privacyIDEA 2.19 – Performance, U2F und sichere Smartphone Apps

Heute wurde privacyIDEA 2.19 veröffentlicht. Pakete sind in den Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Performance bei der Authentifizierung

privacyIDEA 2.19 ist bis zu 72% schneller!

Die Version 2.19 verzeichnet in Labortests einen Geschwindigkeitszuwachs. Die Zeiten für eine Authentifizierungsanfrage konnten um bis zu 72% gesenkt werden. Dies ist unter anderem einem neuen, generischen User-Cache zu verdanken. Dieser speichert die Zuordnung von Loginname zu Benutzerobjekt in der lokalen Datenbank und macht somit die Zugriffe auf das Benutzerverzeichnisse für einen konfigurierbaren Zeitraum übeflüssig.

Ausgewählte U2F Geräte für Benutzer

Der Administrator kann nun über Richtlinien definieren, welchen Typ eines U2F-Gerätes ein Benutzer registrieren kann. Außerdem kann der Administrator ebenfalls über Richtlinien steuern, mit welchem Typ U2F-Gerät sich ein Benutzer an einem bestimmten System anmelden darf. Somit können gewissen U2F-Geräte von der Nutzung in Ihrem Unternehmen ausgeschlossen werden bzw. die Nutzung von Geräten spezieller Hersteller erzwungen werden.

Sichere Smartphone Apps mit privacyIDEA

Der klassische Rollout-Prozess beinhaltet viele Probleme, die privacyIDEA 2.19 lösen kann.

In einem früheren Beitrag haben wir bereits auf die Beschränkungen der üblichen Smartphone-Apps wie dem Google Authenticator hingewiesen. Es ist nachteilig, als Unternehmen oder große Organisation nicht die volle Kontrolle über den Rollout-Prozess beim Benutzer zu haben. Daher wurde in der Version 2.19 von privacyIDEA nun eine bessere Rollout-Möglichkeit geschaffen, bei der sowohl eine Smartphone-App als auch privacyIDEA Komponenten zur Berechnung des geheimen Schlüssels beitragen können. Dies verhindert ein einfaches Kopieren des QR-Codes.

Mehr Details zu diesem Thema finden Sie im privacyIDEA Blog.

Weitere Funktionen

Die Version 2.19 kommt mit weiteren Detail-Verbesserungen wie der Nutzung von IP-Adressen oder Browser Agents im Event-Handler. Außerdem wurde die Speicherung von Datums- und Zeitangaben in privacyIDEA konsolidiert. So werden nun bei jeder Zeit die Zeitzone mitgespeichert, was die Arbeit in internationalen, weltumspannenden Setups erleichtert.

Es lohnt sich ein Blick auf das komplette Changelog zu werfen.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.

 

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie möchten Sich das System selber ansehen? Beantragen Sie eine Testinstanz!

Sie wollen mehr wissen? Rufen Sie uns an!

,

privacyIDEA 2.18.1 auf Univention Corporate Server

privacyIDEA 2.18.1 ist nun auch für unsere Kunden auf dem Univention Corporate Server verfügbar. Auf dem UCS kann privacyIDEA bequem aus dem App-Center installiert bzw. aktualisiert werden. privacyIDEA läuft auf UCS 4.1 und integriert sich in die bestehende Domäne, indem es jedem Benutzer einen beliebigen zweiten Faktor zuordnen kann.

Die Zwei-Faktor-Authentifizierung kann dann für die Anmeldung an Firewalls, via PAM, oder am Univention Identity Provides (SAML IdP) verwendet werden.

privacyIDEA wird in der kommenden Woche auch für die aktualisierte Version UCS 4.2 verfügbar sein.

,

privacyIDEA 2.18.1 für RHEL7/CentOS7

Ab heute sind die Pakete von privacyIDEA 2.18.1 für RHEL7 und CentOS7 in unserem Repository verfügbar. Die Paketierung von privacyIDEA für CentOS 7 ist ein Service für unsere Enterprise-Kunden, der die Aktualisierung für neue Features und Bugfixes erleichtert.

Bestandskunden können leicht auf die aktuelle Version 2.18.1 aktualisieren. Die Neuerungen von 2.18 hatten wir bereits vorgestellt.

Update auf privacyIDEA 2.18.1

Ggf muss vor dem Update der Yum Cache geleert oder neu aufgebaut werden, wenn die aktuelle Version nicht gefunden wird:

yum makecache

Danach kann das update durchgeführt werden:

yum update

Nach dem Update sollten die Dienste MySQL/MariaDB und httpd neu gestartet werden:

service mariadb restart
service httpd restart
,

privacyIDEA 2.18 – stellt unterschiedliche Benutzerzertifikate aus

Heute wurde privacyIDEA 2.18 veröffentlicht. Pakete sind in den Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

privacyIDEA als Zertifizierungsstelle

Das flexible Open Source Mehr-Faktor Authentifizierungssystem privacyIDEA bringt in der Version 2.18 neue Funktionalitäten im Bereich der lokalen CA. Somit können neben OTP-Token, Smartphones, Email- und SMS-Token, Yubikeys und Nitrokeys die Zertifikatstoken nun noch besser verwaltet werden. Ein Setup-Wizard hilft dem Administrator die lokale Zertifizierungsstelle einzurichten. Wird ein Zertifikat revoziert, so wird nun automatisch eine CRL erstellt. Über Zertifikatsvorlagen können leicht unterschiedliche Zertifikatstypen ausgestellt werden.

Mehr Details zu diesem Thema finden Sie im privacyIDEA Blog.

Weitere Funktionen

Die Version 2.18 kommt mit vielen kleinen Detail-Erweiterungen, die die Arbeit mit Ihrer privacyIDEA-Installation erleichtern. Es lohnt sich ein Blick auf das komplette Changelog.

Anwender, die Ihre Benutzer in einem LDAP-Verzeichnis halten, sollte die Konfiguration des LDAP-Resolvers überprüfen! In der neuen Version kommt eine aktualisierte Version des Python ldap3-Moduls zum Einsatz, das auch einfache Weise das LDAP-Server-Zertifikat validieren kann. Man-In-The-Middle Angriffe beim LDAP-Zugriff können so ausgeschlossen werden.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

Chemnitzer Linuxtage

Das privacyIDEA Projekt hat auf den Chemnitzer Linuxtagen eine Stand. Die NetKnights GmbH ist Sponsor der Veranstaltung. Kommen Sie dieses Wochenende nach Chemnitz unter erfahren Sie in einem persönlichen Gespräch mehr zu privacyIDEA, die Einsatzszenarien und alle Neuerungen.

,

privacyIDEA 2.17 für den Univention Corporate Server

privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.

privacyIDEA Enterprise Edition Subscription

privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.

,

privacyIDEA 2.17 – Mehr Event-Handling und flexiblerer SMS-Versand

Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.

privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.

Neue Hauptfunktionen

Token Handler

Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.

Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.

Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.

Mehr Informationen finden sich in der Dokumentation zum Token Handler.

Skript Handler

privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.

Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer

des Tokens oder der Benutzername übergeben werden.

Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.

Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.

Mehr Informationen finden sich in der Dokumentation zum Skript Handler.

Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.

Erweiterte Challenge-Response REST API

Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.

So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.

Erweiterte Richtlinien

Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.

Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.

Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

ChangeLog

Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:

Funktionen

  • Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
  • Script Hander zum Ausführen von Shell-Skripten. (#536)
  • Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
  • Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)

Erweiterungen

  • In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
  • Event Handler Definitionen können deaktiviert werden. (#537)
  • Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
  • LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
  • SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
  • Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
  • Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
  • Audit Log kann auch gefiltert heruntergeladen werden. (#539)

Fehlerbehebungen

  • Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
  • Fehler beim Speichern von Event Handlern behoben. (#551)
  • HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
  • Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
  • Dokumentation für SMS Provider ergänzt. (#566)
  • HTTP 301 Redirects aus dem WebUI entfernt. (#576)
,

privacyIDEA 2.16 auf dem Univention Corporate Server

privacyIDEA 2.16.1 ist nun auf dem Univention Corporate Server verfügbar. Damit stehen nun auch den Kunden, die eine UCS Subskription erworben haben, die erweiterten Event-Handler und das verbesserte UI zur Verfügung. Auf dem UCS ist eine patch Version 2.16.1 veröffentlicht, die zusätzlich zur 2.16 ein paar LDAP-Optimierungen enthält.

Verschiedene Subskriptionsstufen

Für den Univention Corporate Server gibt es zwei Subskriptionsvarianten. Mit der normalen privacyIDEA Enterprise Edition kann privacyIDEA auf dem UCS mit beliebig vielen Benutzern betrieben werden. Daneben ist eine eine privacyIDEA4UCS Subscription erhältlich, die sich an kleinere Installation mit bis zu 50 Benutzern richtet.