,

privacyIDEA 2.18 – stellt unterschiedliche Benutzerzertifikate aus

Heute wurde privacyIDEA 2.18 veröffentlicht. Pakete sind in den Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

privacyIDEA als Zertifizierungsstelle

Das flexible Open Source Mehr-Faktor Authentifizierungssystem privacyIDEA bringt in der Version 2.18 neue Funktionalitäten im Bereich der lokalen CA. Somit können neben OTP-Token, Smartphones, Email- und SMS-Token, Yubikeys und Nitrokeys die Zertifikatstoken nun noch besser verwaltet werden. Ein Setup-Wizard hilft dem Administrator die lokale Zertifizierungsstelle einzurichten. Wird ein Zertifikat revoziert, so wird nun automatisch eine CRL erstellt. Über Zertifikatsvorlagen können leicht unterschiedliche Zertifikatstypen ausgestellt werden.

Mehr Details zu diesem Thema finden Sie im privacyIDEA Blog.

Weitere Funktionen

Die Version 2.18 kommt mit vielen kleinen Detail-Erweiterungen, die die Arbeit mit Ihrer privacyIDEA-Installation erleichtern. Es lohnt sich ein Blick auf das komplette Changelog.

Anwender, die Ihre Benutzer in einem LDAP-Verzeichnis halten, sollte die Konfiguration des LDAP-Resolvers überprüfen! In der neuen Version kommt eine aktualisierte Version des Python ldap3-Moduls zum Einsatz, das auch einfache Weise das LDAP-Server-Zertifikat validieren kann. Man-In-The-Middle Angriffe beim LDAP-Zugriff können so ausgeschlossen werden.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

Chemnitzer Linuxtage

Das privacyIDEA Projekt hat auf den Chemnitzer Linuxtagen eine Stand. Die NetKnights GmbH ist Sponsor der Veranstaltung. Kommen Sie dieses Wochenende nach Chemnitz unter erfahren Sie in einem persönlichen Gespräch mehr zu privacyIDEA, die Einsatzszenarien und alle Neuerungen.

,

privacyIDEA 2.17 für den Univention Corporate Server

privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.

privacyIDEA Enterprise Edition Subscription

privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.

,

privacyIDEA 2.17 – Mehr Event-Handling und flexiblerer SMS-Versand

Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.

privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.

Neue Hauptfunktionen

Token Handler

Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.

Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.

Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.

Mehr Informationen finden sich in der Dokumentation zum Token Handler.

Skript Handler

privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.

Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer

des Tokens oder der Benutzername übergeben werden.

Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.

Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.

Mehr Informationen finden sich in der Dokumentation zum Skript Handler.

Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.

Erweiterte Challenge-Response REST API

Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.

So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.

Erweiterte Richtlinien

Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.

Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.

Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

ChangeLog

Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:

Funktionen

  • Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
  • Script Hander zum Ausführen von Shell-Skripten. (#536)
  • Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
  • Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)

Erweiterungen

  • In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
  • Event Handler Definitionen können deaktiviert werden. (#537)
  • Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
  • LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
  • SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
  • Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
  • Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
  • Audit Log kann auch gefiltert heruntergeladen werden. (#539)

Fehlerbehebungen

  • Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
  • Fehler beim Speichern von Event Handlern behoben. (#551)
  • HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
  • Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
  • Dokumentation für SMS Provider ergänzt. (#566)
  • HTTP 301 Redirects aus dem WebUI entfernt. (#576)
,

privacyIDEA 2.16 auf dem Univention Corporate Server

privacyIDEA 2.16.1 ist nun auf dem Univention Corporate Server verfügbar. Damit stehen nun auch den Kunden, die eine UCS Subskription erworben haben, die erweiterten Event-Handler und das verbesserte UI zur Verfügung. Auf dem UCS ist eine patch Version 2.16.1 veröffentlicht, die zusätzlich zur 2.16 ein paar LDAP-Optimierungen enthält.

Verschiedene Subskriptionsstufen

Für den Univention Corporate Server gibt es zwei Subskriptionsvarianten. Mit der normalen privacyIDEA Enterprise Edition kann privacyIDEA auf dem UCS mit beliebig vielen Benutzern betrieben werden. Daneben ist eine eine privacyIDEA4UCS Subscription erhältlich, die sich an kleinere Installation mit bis zu 50 Benutzern richtet.

 

,

privacyIDEA 2.16 – bessere Workflows und sicheres Schlüsselmaterial

Am 10.11.2016 wurde privacyIDEA in der Version 2.16 veröffentlicht. Es gibt drei neue Hauptfunktionalitäten: Eine neue Untersützung für Hardware-Sicherheits-Module, eine Subskriptionsfunktionalität und eine Erweitertung des Event-Handler-Frameworks.

Neue Hauptfunktionen

Event-Handler-Framework

Das Handler-Modul „UserNotification“ hat viele Erweiterungen erfahren. Die Bedingungen, wann eine Benachrichtigung erfolgt, wurde stark erweitert. Es können nun Benutzer (Token-Besitzer), Administratoren, Administrator-Gruppen oder einfache Email-Adressen benachrichtigt werden. Die Vorlagen für die Texte der Benachrichtigungen können wesentlich mehr Variablen und Platzhalter enthalten. So kann nun auch bspw. der Tokentyp oder der Registrierungscode in der Benachrichtigung enthalten sein.

eventhandler-1

Mehr Möglichkeiten zur flexiblen Benachrichtigung.

Subskriptionen

privacyIDEA steht als zentrale Authentifzierungsinstanz im Netzwerk zur Verfügung. Beliebige Applikationen nutzen privacyIDEA zur Mehrfaktor-Authentifizierung der Benutzer. privacyIDEA kann nun für diese Applikationen wie bspw. die privacyIDEA ownCloud App Subskriptionsdateien verwalten.

Hardware-Sicherheits-Modul

In enger Zusammenarbeit mit unserem Partner AxiadIDS erfolgte die Erweiterung für die Unterstützung für Hardware-Sicherheits-Module. Auf einem HSM wie der SafeNet LunaSA oder Thales nShield Connect können AES Schlüssel abgelegt werden, mit denen die sensiblen Informationen wie die OTP Seeds oder abgespeicherte Passwörter verschlüsselt werden. Die AES Schlüssel verlassen dabei das HSM nicht.

Die NetKnights steht Ihnen mit Ihre HSM-Expertise bei der Planung und der Installation eines solchen Setups beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

,

Zwei-Faktor-Authentifizierung mit privacyIDEA 2.14 auf dem Univention Corporate Server

privacyIDEA auf dem Univention Corporate ServerLogo_UCS_certified

privacyIDEA 2.14 ist nun auch auf dem Univention Corporate Server verfügbar. In 2.14 wurde das Event-Handling-Framework weiter ausgebaut, der Import von verschlüsselten Seed-Dateien hinzugefügt und die Performance verbessert.

Die NetKnights GmbH paketiert das Opensource Authentifizierungssystem privacyIDEA und stellt es im Univention AppCenter bereit. privacyIDEA auf dem Univention Corporate Server lässt sich mit wenigen Klicks auf die Version 2.14 aktualisieren.

Subscription und Testlizenz

Für privacyIDEA4UCS können Sie hier eine Subscription erhalten oder eine Testlizenz beantragen.

,

privacyIDEA 2.14 mit verbessertem Eventhandling

Neue Version 2.14 von privacyIDEA bringt verbessertes Event-Handling und Performance-Optimierungen

Das Open Source Mehr-Faktor-Authentifizierungssystem privacyIDEA ist in der Version 2.14 verfügbar.

PGP verschlüsselte Seed Dateien

Die Seed-Dateien der OTP-Token können nun PGP-verschlüsselt importiert werden. Das erleichtert den sicheren Transport der Dateien zwischen Tokenlieferant und privacyIDEA-Installation. Wenn Sie Hardware-Token über die NetKnights GmbH beziehen, so wird der Workflow in Zukunft wesentlich einfacher. Sie erstellen einmalig für Ihre privacyIDEA-Installation ein PGP-Schlüsselpaar und übergeben uns den Public Key. Die verschlüsselte Datei kann nun importiert werden, ohne vorher entschlüsselt werden zu müssen.

Event-Handler für Benutzer und weitere Funktionalitäten

Außerdem wurde das Event-Handler-Framework erweitert. So können nun nicht nur Administratoren sondern auch Benutzer benachrichtigt werden. Bei welchen Aktionen und auf welche Art und Weise die Benachrichtigung erfolgt, kann der Systemadministrator fein granuliert definieren. Das Event-Handler-Framework gestattet nun außerdem, den Benutzer im Falle eines gesperrten Tokens zu benachrichtigen. Normalerweise bekommt
ein Benutzer nichts davon mit, wenn ein Angreifer versucht, seinen Account zu kapern und dabei der Token aufgrund vieler falscher Anmeldeversuche gesperrt wird. Ab Version 2.14 wird der Benutzer automatisch vom System darüber informiert und der Benutzer kann entsprechend reagieren, bevor er sich das nächste Mal anmelden muss.

Bessere Performance für große Benutzerzahlen oder langsame Netzwerke

Weiterhin wurde die Performance bei der Auflösung von Benutzern im LDAP-Verzeichnis signifikant verbessert. Auch die Anmeldegeschwindigkeit
bei komplexen Benutzersituationen wurde erhöht. Ein komplettes Changelog findet sich auf Github.

Das privacyIDEA Update steht zum Download über Github, den Python Package Index oder das Ubuntu Repository bereit. Das Update für privacyIDEA auf dem Univention Corporate Server wird in wenigen Tagen folgen.

Beratung und Support durch die NetKnights GmbH

Die NetKnights GmbH bietet Beratung für Zwei-Faktor-Authentifizierung und Support für privacyIDEA an.

,

privacyIDEA 2.13 mit besserem PIN Management

In letzter Zeit häufen sich die Meldungen, dass Accounts von politischen Aktivisten gehackt werden. Twitter und Paypal beziehen Schelte, dass sie Zwei-Faktor-Authentifizierung nur mit SMS erlauben. Und in dieser Zeit setzt privacyIDEA auf SMS? Nicht ganz. Denn privacyIDEA an sich bietet sowieso eine lange Liste an unterstützen Tokens an.

iphone-388387_640

Bessere SMS Unterstützung

privacyIDEA abstrahiert SMS in zentral definierbare SMS Gateways. Genau wie schon vorher SMTP Server und RADIUS Server zentral definiert wurden. Was man nun mit diesen zentral definierten SMS Gateways macht ist vielfältig. Natürlich lassen sich in privacyIDEA SMS-Token nun viel leichter damit ausrollen. Doch genauso können diese SMS Gateways nun auch für Benutzerbenachrichtigungen verwendet werden.

Benutzerbenachrichtigungen

In Version 2.12 wurde das Event Handling eingeführt im Rahmen dessen Benutzer darüber benachrichtigt werden können, was Administratoren mit den Token der Benutzer tun. Neben der Benachrichtigung mittels Email ist nun auch die Benachrichtigung per SMS möglich.

Darüber hinaus können diese SMS Gateways natürlich in Zukunft für weitere Funktionen verwendet werden. Beispielsweise könnten auch Administratoren über konkrete Fehlfunktionen oder Überschreitung von Schwellwerten informiert werden. Die Möglichkeiten sind hier vielfältig. privacyIDEA ist ein auf Github gehostetes Projekt. Stellen Sie dort einfach einen Feature Request oder kommen Sie als Kunde mit einem gültigen Support-Vertrag direkt mit uns ins Gespräch.

PIN Richtlinien

Die zweite große, neue Funktion ist die Möglichkeit, weitere PIN-Richtlinien zu erstellen. Vor kurzem hat privacyIDEA ein neues Logo bekommen:

privacyIDEA-800px

privacyIDEA – Authentifiizierungs-System

„privacyIDEA Authentication System“. Bereits vor einer ganzen Weile wurde privacyIDEA vom reinen OTP-System zu einem Zwei-Faktor-System. Es unterstützt die Verwaltung von SSH-Schlüsseln, kann Zertifikate ausrollen oder verwaltet Yubikeys, um damit LUKS-verschlüsselte Notebooks zu booten.

Und hier kommen die erweiterten PIN Richtlinien ins Spiel. Nun kann per Richtlinie definiert werden, in welchem zeitlichen Abstand die PINs (Faktor „Wissen“) der Token geändert werden müssen. Ebenso kann definiert werden, dass ein Benutzer direkt bei der ersten Verwendung die Token-PIN ändern muss.

Meldet sich der Benutzer mit seinem Token am privacyIDEA Webinterface an, so wird die PIN-Änderung dort bereits forciert. Andere Applikationen, die die API verwenden, können diese Funktion leicht nachpflegen.

Proxy Clients

Es gibt noch eine Reihe weiterer Neuerungen. So können bspw. Proxies definiert werden, die die Client-IP ändern dürfen. Dies ist vor allem für RADIUS-Server interessant, um die Informationen des RADIUS-Clients an privacyIDEA durchzureichen. Außerdem wurde die Performanz des Webinterfaces verbessert.

Die gesamte (englische) Liste der Änderungen finden Sie bei Github.

Wir glauben, dass sich privacyIDEA mit diesen Neuerungen noch mehr zu einem flexiblen Authentifizierungssystem entwickelt, das nur noch wenige Ihrer Wünsche offen lässt. Testen Sie die neue Version, fragen Sie nach einer Online-Demo, buchen Sie einen Workshop oder sichern Sie Ihre Accounts auch in Zukunft durch den Abschluss eines Support-Vertrags.