privacyIDEA 2.16.1 ist nun auf dem Univention Corporate Server verfügbar. Damit stehen nun auch den Kunden, die eine UCS Subskription erworben haben, die erweiterten Event-Handler und das verbesserte UI zur Verfügung. Auf dem UCS ist eine patch Version 2.16.1 veröffentlicht, die zusätzlich zur 2.16 ein paar LDAP-Optimierungen enthält.

Verschiedene Subskriptionsstufen

Für den Univention Corporate Server gibt es zwei Subskriptionsvarianten. Mit der normalen privacyIDEA Enterprise Edition kann privacyIDEA auf dem UCS mit beliebig vielen Benutzern betrieben werden. Daneben ist eine eine privacyIDEA4UCS Subscription erhältlich, die sich an kleinere Installation mit bis zu 50 Benutzern richtet.

 

Am 10.11.2016 wurde privacyIDEA in der Version 2.16 veröffentlicht. Es gibt drei neue Hauptfunktionalitäten: Eine neue Untersützung für Hardware-Sicherheits-Module, eine Subskriptionsfunktionalität und eine Erweitertung des Event-Handler-Frameworks.

Neue Hauptfunktionen

Event-Handler-Framework

Das Handler-Modul „UserNotification“ hat viele Erweiterungen erfahren. Die Bedingungen, wann eine Benachrichtigung erfolgt, wurde stark erweitert. Es können nun Benutzer (Token-Besitzer), Administratoren, Administrator-Gruppen oder einfache Email-Adressen benachrichtigt werden. Die Vorlagen für die Texte der Benachrichtigungen können wesentlich mehr Variablen und Platzhalter enthalten. So kann nun auch bspw. der Tokentyp oder der Registrierungscode in der Benachrichtigung enthalten sein.

eventhandler-1

Mehr Möglichkeiten zur flexiblen Benachrichtigung.

Subskriptionen

privacyIDEA steht als zentrale Authentifzierungsinstanz im Netzwerk zur Verfügung. Beliebige Applikationen nutzen privacyIDEA zur Mehrfaktor-Authentifizierung der Benutzer. privacyIDEA kann nun für diese Applikationen wie bspw. die privacyIDEA ownCloud App Subskriptionsdateien verwalten.

Hardware-Sicherheits-Modul

In enger Zusammenarbeit mit unserem Partner AxiadIDS erfolgte die Erweiterung für die Unterstützung für Hardware-Sicherheits-Module. Auf einem HSM wie der SafeNet LunaSA oder Thales nShield Connect können AES Schlüssel abgelegt werden, mit denen die sensiblen Informationen wie die OTP Seeds oder abgespeicherte Passwörter verschlüsselt werden. Die AES Schlüssel verlassen dabei das HSM nicht.

Die NetKnights steht Ihnen mit Ihre HSM-Expertise bei der Planung und der Installation eines solchen Setups beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

privacyIDEA auf dem Univention Corporate ServerLogo_UCS_certified

privacyIDEA 2.14 ist nun auch auf dem Univention Corporate Server verfügbar. In 2.14 wurde das Event-Handling-Framework weiter ausgebaut, der Import von verschlüsselten Seed-Dateien hinzugefügt und die Performance verbessert.

Die NetKnights GmbH paketiert das Opensource Authentifizierungssystem privacyIDEA und stellt es im Univention AppCenter bereit. privacyIDEA auf dem Univention Corporate Server lässt sich mit wenigen Klicks auf die Version 2.14 aktualisieren.

Subscription und Testlizenz

Für privacyIDEA4UCS können Sie hier eine Subscription erhalten oder eine Testlizenz beantragen.

Neue Version 2.14 von privacyIDEA bringt verbessertes Event-Handling und Performance-Optimierungen

Das Open Source Mehr-Faktor-Authentifizierungssystem privacyIDEA ist in der Version 2.14 verfügbar.

PGP verschlüsselte Seed Dateien

Die Seed-Dateien der OTP-Token können nun PGP-verschlüsselt importiert werden. Das erleichtert den sicheren Transport der Dateien zwischen Tokenlieferant und privacyIDEA-Installation. Wenn Sie Hardware-Token über die NetKnights GmbH beziehen, so wird der Workflow in Zukunft wesentlich einfacher. Sie erstellen einmalig für Ihre privacyIDEA-Installation ein PGP-Schlüsselpaar und übergeben uns den Public Key. Die verschlüsselte Datei kann nun importiert werden, ohne vorher entschlüsselt werden zu müssen.

Event-Handler für Benutzer und weitere Funktionalitäten

Außerdem wurde das Event-Handler-Framework erweitert. So können nun nicht nur Administratoren sondern auch Benutzer benachrichtigt werden. Bei welchen Aktionen und auf welche Art und Weise die Benachrichtigung erfolgt, kann der Systemadministrator fein granuliert definieren. Das Event-Handler-Framework gestattet nun außerdem, den Benutzer im Falle eines gesperrten Tokens zu benachrichtigen. Normalerweise bekommt
ein Benutzer nichts davon mit, wenn ein Angreifer versucht, seinen Account zu kapern und dabei der Token aufgrund vieler falscher Anmeldeversuche gesperrt wird. Ab Version 2.14 wird der Benutzer automatisch vom System darüber informiert und der Benutzer kann entsprechend reagieren, bevor er sich das nächste Mal anmelden muss.

Bessere Performance für große Benutzerzahlen oder langsame Netzwerke

Weiterhin wurde die Performance bei der Auflösung von Benutzern im LDAP-Verzeichnis signifikant verbessert. Auch die Anmeldegeschwindigkeit
bei komplexen Benutzersituationen wurde erhöht. Ein komplettes Changelog findet sich auf Github.

Das privacyIDEA Update steht zum Download über Github, den Python Package Index oder das Ubuntu Repository bereit. Das Update für privacyIDEA auf dem Univention Corporate Server wird in wenigen Tagen folgen.

Beratung und Support durch die NetKnights GmbH

Die NetKnights GmbH bietet Beratung für Zwei-Faktor-Authentifizierung und Support für privacyIDEA an.

In letzter Zeit häufen sich die Meldungen, dass Accounts von politischen Aktivisten gehackt werden. Twitter und Paypal beziehen Schelte, dass sie Zwei-Faktor-Authentifizierung nur mit SMS erlauben. Und in dieser Zeit setzt privacyIDEA auf SMS? Nicht ganz. Denn privacyIDEA an sich bietet sowieso eine lange Liste an unterstützen Tokens an.

iphone-388387_640

Bessere SMS Unterstützung

privacyIDEA abstrahiert SMS in zentral definierbare SMS Gateways. Genau wie schon vorher SMTP Server und RADIUS Server zentral definiert wurden. Was man nun mit diesen zentral definierten SMS Gateways macht ist vielfältig. Natürlich lassen sich in privacyIDEA SMS-Token nun viel leichter damit ausrollen. Doch genauso können diese SMS Gateways nun auch für Benutzerbenachrichtigungen verwendet werden.

Benutzerbenachrichtigungen

In Version 2.12 wurde das Event Handling eingeführt im Rahmen dessen Benutzer darüber benachrichtigt werden können, was Administratoren mit den Token der Benutzer tun. Neben der Benachrichtigung mittels Email ist nun auch die Benachrichtigung per SMS möglich.

Darüber hinaus können diese SMS Gateways natürlich in Zukunft für weitere Funktionen verwendet werden. Beispielsweise könnten auch Administratoren über konkrete Fehlfunktionen oder Überschreitung von Schwellwerten informiert werden. Die Möglichkeiten sind hier vielfältig. privacyIDEA ist ein auf Github gehostetes Projekt. Stellen Sie dort einfach einen Feature Request oder kommen Sie als Kunde mit einem gültigen Support-Vertrag direkt mit uns ins Gespräch.

PIN Richtlinien

Die zweite große, neue Funktion ist die Möglichkeit, weitere PIN-Richtlinien zu erstellen. Vor kurzem hat privacyIDEA ein neues Logo bekommen:

privacyIDEA-800px

privacyIDEA – Authentifiizierungs-System

„privacyIDEA Authentication System“. Bereits vor einer ganzen Weile wurde privacyIDEA vom reinen OTP-System zu einem Zwei-Faktor-System. Es unterstützt die Verwaltung von SSH-Schlüsseln, kann Zertifikate ausrollen oder verwaltet Yubikeys, um damit LUKS-verschlüsselte Notebooks zu booten.

Und hier kommen die erweiterten PIN Richtlinien ins Spiel. Nun kann per Richtlinie definiert werden, in welchem zeitlichen Abstand die PINs (Faktor „Wissen“) der Token geändert werden müssen. Ebenso kann definiert werden, dass ein Benutzer direkt bei der ersten Verwendung die Token-PIN ändern muss.

Meldet sich der Benutzer mit seinem Token am privacyIDEA Webinterface an, so wird die PIN-Änderung dort bereits forciert. Andere Applikationen, die die API verwenden, können diese Funktion leicht nachpflegen.

Proxy Clients

Es gibt noch eine Reihe weiterer Neuerungen. So können bspw. Proxies definiert werden, die die Client-IP ändern dürfen. Dies ist vor allem für RADIUS-Server interessant, um die Informationen des RADIUS-Clients an privacyIDEA durchzureichen. Außerdem wurde die Performanz des Webinterfaces verbessert.

Die gesamte (englische) Liste der Änderungen finden Sie bei Github.

Wir glauben, dass sich privacyIDEA mit diesen Neuerungen noch mehr zu einem flexiblen Authentifizierungssystem entwickelt, das nur noch wenige Ihrer Wünsche offen lässt. Testen Sie die neue Version, fragen Sie nach einer Online-Demo, buchen Sie einen Workshop oder sichern Sie Ihre Accounts auch in Zukunft durch den Abschluss eines Support-Vertrags.

 

Event Handler und zeitbasierte Richtlinien erhöhen die administrative Sicherheit

Mit Hilfe des Event Handler Frameworks lassen sich innerhalb des Zwei-Faktor-Authentifizierungs-Systems privacyIDEA nun ganz neue Abläufe abbilden. Der Administrator kann an beliebige Ereignisse wie das Ausrollen eines Tokens, das Löschen eines Tokens, das Anlegen eines Benutzers oder das Ändern der Token-PIN eine völlig neue Aktion anknüpfen. Das Ereignis selber wird dabei nicht verändert.

So können im ersten Schritt Benutzerbenachrichtigungen mit den entsprechenden Ereignissen verbunden werden. Wird für einen Benutzer vom Administrator oder dem Helpdesk ein neuer Token ausgerollt, so wird der Benutzer per Email darüber informiert. Dies hilft gerade bei sensiblen Benutzerkonten das Vertrauen zu erhöhen und verhindert, dass ein Support-Mitarbeiter unkontrolliert die Identität eines beliebigen Benutzers annimmt.

nitrokey

Nitrokey HSM

Zusätzlich wurden in der Version 2.12 die bestehenden Richtlinien derart erweitert, dass sie nun auch zeitabhängig definiert werden können. Hierdurch lassen sich bspw. zeitabhängige Login-Bedingungen definieren. Aber so kann bspw. auch die Administration von sensiblen Accounts nicht nur auf bestimmte Orte (Client-IP) sondern auch auf bestimmte Zeiträume beschränkt werden.

Bessere Zertifikatsverwaltung und HSM-Unterstützung

privacyIDEA hat sich schon lange vom reinen OTP-System weiterentwickelt, hin zu einem System zur Verwaltung von Authentifizierungs- und Identitäts-Informationen. In der Version 2.12 wurde die Verwaltung  und das Ausstellen von Benutzerzertifikaten verbessert. RSA-Schlüsselpaare können nun nicht nur im Browser sondern auch von privacyIDEA erzeugt werden. Der Benutzer oder Administrator kann dann die PKCS12-Dateien herunterladen. Dies ist in bestimmten Szenarien wie bspw. VPN-Clients, die ein lokales Clientzertifikate mittels PKCS12/PFX importieren müssen, interessant.

privacyIDEA legt jeher alle sensiblen Informationen verschlüsselt in der Datenbank ab. Die Verschlüsselung kann nun auch durch ein HSM wie dem Nitrokey HSM durchgeführt werden. Der private Schlüssel, der zum Entschlüsseln der sensiblen Daten verwendet wird, verlässt dabei die Hardware nicht.

Über privacyIDEA

privacyIDEA ist ein Open Source Projekt zur Zwei-Faktor-Authentifizierung für das die NetKnights GmbH Service Level Agreements für Unternehmen anbietet. Mit der Version 2.12 wurde privacyIDEA erneut um interessante Funktionen erweitert, die die Nutzung im Unternehmensumfeld ausgesprochen attraktiv machen.

Alle Änderungen

Funktionen

  • Event Handler Framework.
  • Der lokale CA Konnektor kann Zertifikate für Benutzer erzeugen. Die Zertifikate können als PKCS12 heruntergeladen werden.
  • Benutzer in LDAP Verzeichnissen können aus privacyIDEA heraus angelegt und bearbeitet werden.
  • Untersützung für Hardware-Sicherheits-Module.
  • Zeitabhängige Richtlinien.

Erweiterungen

  • UI: Richtlinie für den Enrollment-Wizard hinzugefügt.
  • UI: Auswahlbox für den Realm beim Login.
  • TOTP QR Code verbessert.
  • Enrollment-Wizard dokumentiert.
  • pi-manage backup Skript unterstützt nun pymysql.
  • X-Forwarded-For HTTP header wird als Client IP verwendet.
  • Meta-Paket privacyidea-mysql erlaubt flexiblere Installation.

Fehlerbehebungen

  • Adduser beachtet nun die Resolver-Einstellung in Richtlinien #403.
  • Dokumentation zum SPASS token #399.
  • Enrollment Menü wird nicht angezeigt, wenn Benutzer keine Token ausrollen dürfen #398.
  • Fehler getSerial für TOTP Token behoben #393.
  • Verhalten der System-Konfiguration Checkboxen korrigiert #378.
  • Manage Tokenrealms: Ein Realm kann nun von einem Token entfernt werden #363.
  • Bessere Datumsanzeige in Emails #352.
  • Versandt von Test-Emails verbessert #350.
  • Authentisierung mit einem aktiven Token ist nun möglich, wenn der Benutzer einen deaktivierten Token hat #339.

privacyIDEA auf dem Univention Corporate Server

privacyIDEA 2.11 steht nun auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA 2.11 ermöglicht mit den neuen Richtlinien zur bedingten Weiterleitung von Authentifizierungs-Anfragen an externe RADIUS-Server eine sehr leichte und sichere Migration von alten OTP-Systemen. Logo_UCS_certified

Mehr zur Migration mit der RADIUS-Weiterleitung finden Sie in den Release-Notes.

SLA und Subscription

Seit geraumer Zeit ist privacyIDEA auf dem Univention Corporate Server verfügbar und bietet auf dieser Plattform eine leichte Installation, Wartung und Updates. Für den Betrieb von privacyIDEA auf dem Univention Corporate Server ist ein gültiger SLA nötig. Eine Test-Subscription können Sie sich hier beantragen.

Heute wurde privacyIDEA 2.11 veröffentlicht. Sie können privacyIDEA von Github herunterladen oder aus dem Python Package Index oder aus dem Launchpad-Repository auf Ubuntu 14.04 installieren.

Die Aktualisierung von privacyIDEA auf einer Ubuntu-Installation funktioniert einfach aus dem Launchpad-Repository heraus. Wenn Sie eine PIP Installation aktualisieren, achten Sie bitte darauf, dass für die neue Version eine neue Datenbanktabelle angelegt werden muss.

Migration alter OTP-Systeme

privacyIDEA 2.11 erleichtert die Migration eines alten, proprietären OTP-Systems nach privacyIDEA. Hierzu wurde die RADIUS passthru Richtlinie ergänzt. privacyIDEA kann die Authentifizierungsanfragen aller Benutzer, die noch keinen Token innerhalb von privacyIDEA haben, an einen externen RADIUS-Server weiterleiten. Dies geschieht völlig transparent und ist innerhalb einer Minute konfiguriert. Sobald ein Benutzer einen Token innerhalb von privacyIDEA zugewiesen bekommt, erfolgt die Authentifizierung innerhalb von privacyIDEA.

LDAP Erweiterungen

Der LDAP-Resolver unterstütz nun alle Sonderzeichen im Benutzernamen und auch im Passwort. Bei einem Active Directory mit Windows 2012 kann nun auch die objectGUID des Benutzerobjekts als UID verwendet werden.

Die Suche im LDAP erfolgt nun seitenweise. So können Sie alle Benutzer im LDAP-Verzeichnis auflisten.

Changelog

Das komplette Changelog finden Sie bei Github.

Service und Support

Kunden mit einem gültigen Supportvertrag erhalten Pakete für Ubuntu, Redhat/CentOS und später den Univention Corporate Server. Abhängig von der gebuchten Support-Stufe führt die NetKnights GmbH auch das Update für Sie durch.