privacyIDEA auf dem Univention Corporate ServerLogo_UCS_certified

privacyIDEA 2.14 ist nun auch auf dem Univention Corporate Server verfügbar. In 2.14 wurde das Event-Handling-Framework weiter ausgebaut, der Import von verschlüsselten Seed-Dateien hinzugefügt und die Performance verbessert.

Die NetKnights GmbH paketiert das Opensource Authentifizierungssystem privacyIDEA und stellt es im Univention AppCenter bereit. privacyIDEA auf dem Univention Corporate Server lässt sich mit wenigen Klicks auf die Version 2.14 aktualisieren.

Subscription und Testlizenz

Für privacyIDEA4UCS können Sie hier eine Subscription erhalten oder eine Testlizenz beantragen.

Neue Version 2.14 von privacyIDEA bringt verbessertes Event-Handling und Performance-Optimierungen

Das Open Source Mehr-Faktor-Authentifizierungssystem privacyIDEA ist in der Version 2.14 verfügbar.

PGP verschlüsselte Seed Dateien

Die Seed-Dateien der OTP-Token können nun PGP-verschlüsselt importiert werden. Das erleichtert den sicheren Transport der Dateien zwischen Tokenlieferant und privacyIDEA-Installation. Wenn Sie Hardware-Token über die NetKnights GmbH beziehen, so wird der Workflow in Zukunft wesentlich einfacher. Sie erstellen einmalig für Ihre privacyIDEA-Installation ein PGP-Schlüsselpaar und übergeben uns den Public Key. Die verschlüsselte Datei kann nun importiert werden, ohne vorher entschlüsselt werden zu müssen.

Event-Handler für Benutzer und weitere Funktionalitäten

Außerdem wurde das Event-Handler-Framework erweitert. So können nun nicht nur Administratoren sondern auch Benutzer benachrichtigt werden. Bei welchen Aktionen und auf welche Art und Weise die Benachrichtigung erfolgt, kann der Systemadministrator fein granuliert definieren. Das Event-Handler-Framework gestattet nun außerdem, den Benutzer im Falle eines gesperrten Tokens zu benachrichtigen. Normalerweise bekommt
ein Benutzer nichts davon mit, wenn ein Angreifer versucht, seinen Account zu kapern und dabei der Token aufgrund vieler falscher Anmeldeversuche gesperrt wird. Ab Version 2.14 wird der Benutzer automatisch vom System darüber informiert und der Benutzer kann entsprechend reagieren, bevor er sich das nächste Mal anmelden muss.

Bessere Performance für große Benutzerzahlen oder langsame Netzwerke

Weiterhin wurde die Performance bei der Auflösung von Benutzern im LDAP-Verzeichnis signifikant verbessert. Auch die Anmeldegeschwindigkeit
bei komplexen Benutzersituationen wurde erhöht. Ein komplettes Changelog findet sich auf Github.

Das privacyIDEA Update steht zum Download über Github, den Python Package Index oder das Ubuntu Repository bereit. Das Update für privacyIDEA auf dem Univention Corporate Server wird in wenigen Tagen folgen.

Beratung und Support durch die NetKnights GmbH

Die NetKnights GmbH bietet Beratung für Zwei-Faktor-Authentifizierung und Support für privacyIDEA an.

In letzter Zeit häufen sich die Meldungen, dass Accounts von politischen Aktivisten gehackt werden. Twitter und Paypal beziehen Schelte, dass sie Zwei-Faktor-Authentifizierung nur mit SMS erlauben. Und in dieser Zeit setzt privacyIDEA auf SMS? Nicht ganz. Denn privacyIDEA an sich bietet sowieso eine lange Liste an unterstützen Tokens an.

iphone-388387_640

Bessere SMS Unterstützung

privacyIDEA abstrahiert SMS in zentral definierbare SMS Gateways. Genau wie schon vorher SMTP Server und RADIUS Server zentral definiert wurden. Was man nun mit diesen zentral definierten SMS Gateways macht ist vielfältig. Natürlich lassen sich in privacyIDEA SMS-Token nun viel leichter damit ausrollen. Doch genauso können diese SMS Gateways nun auch für Benutzerbenachrichtigungen verwendet werden.

Benutzerbenachrichtigungen

In Version 2.12 wurde das Event Handling eingeführt im Rahmen dessen Benutzer darüber benachrichtigt werden können, was Administratoren mit den Token der Benutzer tun. Neben der Benachrichtigung mittels Email ist nun auch die Benachrichtigung per SMS möglich.

Darüber hinaus können diese SMS Gateways natürlich in Zukunft für weitere Funktionen verwendet werden. Beispielsweise könnten auch Administratoren über konkrete Fehlfunktionen oder Überschreitung von Schwellwerten informiert werden. Die Möglichkeiten sind hier vielfältig. privacyIDEA ist ein auf Github gehostetes Projekt. Stellen Sie dort einfach einen Feature Request oder kommen Sie als Kunde mit einem gültigen Support-Vertrag direkt mit uns ins Gespräch.

PIN Richtlinien

Die zweite große, neue Funktion ist die Möglichkeit, weitere PIN-Richtlinien zu erstellen. Vor kurzem hat privacyIDEA ein neues Logo bekommen:

privacyIDEA-800px

privacyIDEA – Authentifiizierungs-System

„privacyIDEA Authentication System“. Bereits vor einer ganzen Weile wurde privacyIDEA vom reinen OTP-System zu einem Zwei-Faktor-System. Es unterstützt die Verwaltung von SSH-Schlüsseln, kann Zertifikate ausrollen oder verwaltet Yubikeys, um damit LUKS-verschlüsselte Notebooks zu booten.

Und hier kommen die erweiterten PIN Richtlinien ins Spiel. Nun kann per Richtlinie definiert werden, in welchem zeitlichen Abstand die PINs (Faktor „Wissen“) der Token geändert werden müssen. Ebenso kann definiert werden, dass ein Benutzer direkt bei der ersten Verwendung die Token-PIN ändern muss.

Meldet sich der Benutzer mit seinem Token am privacyIDEA Webinterface an, so wird die PIN-Änderung dort bereits forciert. Andere Applikationen, die die API verwenden, können diese Funktion leicht nachpflegen.

Proxy Clients

Es gibt noch eine Reihe weiterer Neuerungen. So können bspw. Proxies definiert werden, die die Client-IP ändern dürfen. Dies ist vor allem für RADIUS-Server interessant, um die Informationen des RADIUS-Clients an privacyIDEA durchzureichen. Außerdem wurde die Performanz des Webinterfaces verbessert.

Die gesamte (englische) Liste der Änderungen finden Sie bei Github.

Wir glauben, dass sich privacyIDEA mit diesen Neuerungen noch mehr zu einem flexiblen Authentifizierungssystem entwickelt, das nur noch wenige Ihrer Wünsche offen lässt. Testen Sie die neue Version, fragen Sie nach einer Online-Demo, buchen Sie einen Workshop oder sichern Sie Ihre Accounts auch in Zukunft durch den Abschluss eines Support-Vertrags.

 

Event Handler und zeitbasierte Richtlinien erhöhen die administrative Sicherheit

Mit Hilfe des Event Handler Frameworks lassen sich innerhalb des Zwei-Faktor-Authentifizierungs-Systems privacyIDEA nun ganz neue Abläufe abbilden. Der Administrator kann an beliebige Ereignisse wie das Ausrollen eines Tokens, das Löschen eines Tokens, das Anlegen eines Benutzers oder das Ändern der Token-PIN eine völlig neue Aktion anknüpfen. Das Ereignis selber wird dabei nicht verändert.

So können im ersten Schritt Benutzerbenachrichtigungen mit den entsprechenden Ereignissen verbunden werden. Wird für einen Benutzer vom Administrator oder dem Helpdesk ein neuer Token ausgerollt, so wird der Benutzer per Email darüber informiert. Dies hilft gerade bei sensiblen Benutzerkonten das Vertrauen zu erhöhen und verhindert, dass ein Support-Mitarbeiter unkontrolliert die Identität eines beliebigen Benutzers annimmt.

nitrokey

Nitrokey HSM

Zusätzlich wurden in der Version 2.12 die bestehenden Richtlinien derart erweitert, dass sie nun auch zeitabhängig definiert werden können. Hierdurch lassen sich bspw. zeitabhängige Login-Bedingungen definieren. Aber so kann bspw. auch die Administration von sensiblen Accounts nicht nur auf bestimmte Orte (Client-IP) sondern auch auf bestimmte Zeiträume beschränkt werden.

Bessere Zertifikatsverwaltung und HSM-Unterstützung

privacyIDEA hat sich schon lange vom reinen OTP-System weiterentwickelt, hin zu einem System zur Verwaltung von Authentifizierungs- und Identitäts-Informationen. In der Version 2.12 wurde die Verwaltung  und das Ausstellen von Benutzerzertifikaten verbessert. RSA-Schlüsselpaare können nun nicht nur im Browser sondern auch von privacyIDEA erzeugt werden. Der Benutzer oder Administrator kann dann die PKCS12-Dateien herunterladen. Dies ist in bestimmten Szenarien wie bspw. VPN-Clients, die ein lokales Clientzertifikate mittels PKCS12/PFX importieren müssen, interessant.

privacyIDEA legt jeher alle sensiblen Informationen verschlüsselt in der Datenbank ab. Die Verschlüsselung kann nun auch durch ein HSM wie dem Nitrokey HSM durchgeführt werden. Der private Schlüssel, der zum Entschlüsseln der sensiblen Daten verwendet wird, verlässt dabei die Hardware nicht.

Über privacyIDEA

privacyIDEA ist ein Open Source Projekt zur Zwei-Faktor-Authentifizierung für das die NetKnights GmbH Service Level Agreements für Unternehmen anbietet. Mit der Version 2.12 wurde privacyIDEA erneut um interessante Funktionen erweitert, die die Nutzung im Unternehmensumfeld ausgesprochen attraktiv machen.

Alle Änderungen

Funktionen

  • Event Handler Framework.
  • Der lokale CA Konnektor kann Zertifikate für Benutzer erzeugen. Die Zertifikate können als PKCS12 heruntergeladen werden.
  • Benutzer in LDAP Verzeichnissen können aus privacyIDEA heraus angelegt und bearbeitet werden.
  • Untersützung für Hardware-Sicherheits-Module.
  • Zeitabhängige Richtlinien.

Erweiterungen

  • UI: Richtlinie für den Enrollment-Wizard hinzugefügt.
  • UI: Auswahlbox für den Realm beim Login.
  • TOTP QR Code verbessert.
  • Enrollment-Wizard dokumentiert.
  • pi-manage backup Skript unterstützt nun pymysql.
  • X-Forwarded-For HTTP header wird als Client IP verwendet.
  • Meta-Paket privacyidea-mysql erlaubt flexiblere Installation.

Fehlerbehebungen

  • Adduser beachtet nun die Resolver-Einstellung in Richtlinien #403.
  • Dokumentation zum SPASS token #399.
  • Enrollment Menü wird nicht angezeigt, wenn Benutzer keine Token ausrollen dürfen #398.
  • Fehler getSerial für TOTP Token behoben #393.
  • Verhalten der System-Konfiguration Checkboxen korrigiert #378.
  • Manage Tokenrealms: Ein Realm kann nun von einem Token entfernt werden #363.
  • Bessere Datumsanzeige in Emails #352.
  • Versandt von Test-Emails verbessert #350.
  • Authentisierung mit einem aktiven Token ist nun möglich, wenn der Benutzer einen deaktivierten Token hat #339.

privacyIDEA auf dem Univention Corporate Server

privacyIDEA 2.11 steht nun auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA 2.11 ermöglicht mit den neuen Richtlinien zur bedingten Weiterleitung von Authentifizierungs-Anfragen an externe RADIUS-Server eine sehr leichte und sichere Migration von alten OTP-Systemen. Logo_UCS_certified

Mehr zur Migration mit der RADIUS-Weiterleitung finden Sie in den Release-Notes.

SLA und Subscription

Seit geraumer Zeit ist privacyIDEA auf dem Univention Corporate Server verfügbar und bietet auf dieser Plattform eine leichte Installation, Wartung und Updates. Für den Betrieb von privacyIDEA auf dem Univention Corporate Server ist ein gültiger SLA nötig. Eine Test-Subscription können Sie sich hier beantragen.

Heute wurde privacyIDEA 2.11 veröffentlicht. Sie können privacyIDEA von Github herunterladen oder aus dem Python Package Index oder aus dem Launchpad-Repository auf Ubuntu 14.04 installieren.

Die Aktualisierung von privacyIDEA auf einer Ubuntu-Installation funktioniert einfach aus dem Launchpad-Repository heraus. Wenn Sie eine PIP Installation aktualisieren, achten Sie bitte darauf, dass für die neue Version eine neue Datenbanktabelle angelegt werden muss.

Migration alter OTP-Systeme

privacyIDEA 2.11 erleichtert die Migration eines alten, proprietären OTP-Systems nach privacyIDEA. Hierzu wurde die RADIUS passthru Richtlinie ergänzt. privacyIDEA kann die Authentifizierungsanfragen aller Benutzer, die noch keinen Token innerhalb von privacyIDEA haben, an einen externen RADIUS-Server weiterleiten. Dies geschieht völlig transparent und ist innerhalb einer Minute konfiguriert. Sobald ein Benutzer einen Token innerhalb von privacyIDEA zugewiesen bekommt, erfolgt die Authentifizierung innerhalb von privacyIDEA.

LDAP Erweiterungen

Der LDAP-Resolver unterstütz nun alle Sonderzeichen im Benutzernamen und auch im Passwort. Bei einem Active Directory mit Windows 2012 kann nun auch die objectGUID des Benutzerobjekts als UID verwendet werden.

Die Suche im LDAP erfolgt nun seitenweise. So können Sie alle Benutzer im LDAP-Verzeichnis auflisten.

Changelog

Das komplette Changelog finden Sie bei Github.

Service und Support

Kunden mit einem gültigen Supportvertrag erhalten Pakete für Ubuntu, Redhat/CentOS und später den Univention Corporate Server. Abhängig von der gebuchten Support-Stufe führt die NetKnights GmbH auch das Update für Sie durch.

privacyIDEA 2.10 ist nun auch auf dem Univention Corporate Server verfügbar.

Enrollment-Wizard, Benutzer-Registrierung, Email-Handling

Ab gestern Abend stehen die neuen Funktionen Enrollment-Wizard, Benutzer-Registrierung und das verbesserte Management der SMTP-Server mit privacyIDEA 2.10 auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA kann aus dem Univention App Center heraus leicht installiert und aktualisiert werden.

enrollmentwizard-1-de

privacyIDEA Token Enrollment Wizard

Für Ihr individuelles Projekt im Rahmen Zwei-Faktor-Authentifizierung stehen wir Ihnen beratend in der Planung und Durchführung zur Seite. Sprechen Sie uns einfach an.

Veränderte Subscription auf dem Univention Corporate Server

Bisher erhielten Sie die Möglichkeit privacyIDEA mit bis zu 10 Benutzern auf dem Univention Corporate Server zu testen. Zwei-Faktor-Authentifizierung ist ein Thema das heute fast in aller Munde ist. Doch dadurch ist das Thema nicht einfacher geworden. Die Überlegungen, wie und wo sie eingesetzt werden soll, welche Authentisierungs-Devices verwendet werden und wie der Rollout an die Benutzer erfolgt stellen viele IT-Abteilungen vor bisher unbekannte Aufgaben.

Daher will die NetKnights GmbH Sie bei der Evaluierung von privacyIDEA auf dem Univention Corporate Server nicht im Regen stehen lassen. Um privacyIDEA zu evaluieren, können Sie sich im Subscription-Formular Ihre individuelle Evaluations-Subscription erstellen, so dass Sie privacyIDEA mit bis zu 20 Benutzern und bis zu 3 Monaten kostenfrei testen können. Gleichzeitig erhalten Sie eine halbe Stunde Standard-Support, so dass Sie sowohl die Software als auch den Support testen können.

Wir wollen, dass Sie ein zügiges, freudvolles und erfolgreiches Zwei-Faktor-Authentifizierungs-Projekt durchführen können!

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie die Neuerungen in privacyIDEA 2.10 kennenlernen wollen, so sind Sie herzlich zum Webcast am Freitag, 26.02.2016 eingeladen.

 

Wir freuen uns, Ihnen mitteilen zu können, dass heute privacyIDEA 2.10 veröffentlicht wurde. Diese Version erleichtert an vielen Stellen die Handhabung für den normalen Benutzer und hilft Ihrem Unternehmen somit Kosten und Aufwände im Help Desk bzw. Benutzer-Support zu sparen.

Benutzer-Registrierung und Passwort-Reset

checklist-911841_640In den Richtlinien enthält privacyIDEA nun einen neuen Bereich „Register“. Wenn diese Richtlinie gesetzt ist, kann eine Person einen neuen Benutzeraccount registrieren. Die Erzeugung des Benutzeraccounts kann für bestimmt Realms oder für Email-Adressen beschränkt werden. So kann z.B. sichergestellt werden, dass nur Personen mit einem Email-Konto zu einer bestimmten Domain einen Account anlegen können.

Nach der Erzeugung des Accounts erhält der Benutzer eine Email mit einem Registrierungstoken, so dass er sich im privacyIDEA Web UI anmelden kann.

Die Benutzer-Registrierung wurde schonmal kurz in diesem Blog-Post vorgestellt.

Die Benutzer-Registrierung ist aufgrund der beschreibbaren Benutzerquellen möglich. Diese wurden schon früher in privacyIDEA eingeführt. Eine andere Möglichkeit, die sich aus den beschreibbaren Benutzerquellen ergibt, ist der Passwort-Reset durch den Benutzer. In einer Benuzer-Richtlinie kann der Administrator definieren, ob Benutzer ihr Passwort zurücksetzen dürfen.

Passwort-Reset

Einem Benutzer kann ermöglicht werden, sein Passwort eigenständig zurückzusetzen.

Token Enrollment Wizard

Die Verteilung der Token an die Benutzer ist immer die zentrale Herausforderung. Jedes Projekt und jede Installation funktioniert hier leicht unterschiedlich. Es gibt viele verschiedene Enrollment-Strategien. Es erscheint immer sehr attraktiv, den Benutzer viel in den Ausroll-Prozess mit einzubeziehen. Doch damit man an dieser Stelle wirklich Geld sparen kann, muss der Aufwand für den User Help Desk möglichst gering gehalten werden. D.h. der Ausrollprozess muss für den Benutzer einfach und klar sein.

In privacyIDEA 2.10 wurde der Ausroll-Prozess drastisch vereinfacht und in einen zweistufigen „Enrollment Wizard“ gegossen. Dieser Enrollment Wizard kann über eine entsprechende Richtlinie aktiviert werden. Der Enrollment Wizard wird aktiv, wenn der Benutzer noch keinen Token zugewiesen hat. Wenn sich der Benutzer in diesem Fall an der privacyIDEA Web UI anmeldet, bekommt er sofort und nur den Enrollment Wizard angezeigt – ohne ablenkende Fragen und Auswahlmöglichkeiten.

enrollmentwizard-1-de

Erster Schritt des Token Enrollment Wizards.

Der Enrollment Wizard unterstützt alle Tokentypen. In diesem Beispiel wird der smartphonebasierte Google Authenticator ausgerollt.

enrollmentwizard-2-de

Zweiter Schritt des Token Enrollment Wizards.

Email

Nach all den Erweiterungen, die dem Benutzer das Leben einfacher machen schließt sich nun noch ein neues Feature für die Administratoren an. Die Email-Funktionalität und Konfigurationsmöglichkeit wurde in privacyIDEA 2.10 entscheidend verbessert. In privacyIDEA werden Emails an verschiedenen Stellen verwendet: Email Token, SMS Token, Benutzer-Registrierung und Passwort-Reset. Nun kann der Administrator zentral eine oder mehrere SMTP-Server-Konfigurationen definieren und an den jeweiligen Stellen in privacyIDEA, wo Emails verwendet werden, auf diese Konfigurationen zugreifen.

smtp-server-de

Zentral werden die SMTP-Server-Konfigurationen verwaltet, die später für Email-Token, SMS oder Registrierung verwendet werden können.

So wird bei der Konfiguration des Email-Tokentypen bspw. nur noch angegeben, über welchen konfigurierten SMTP-Server die Emails versendet werden sollen.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Leistungen für unsere Kunden

Unsere Support-Kunden mit einem gültigen Support-Vertrag für privacyIDEA erhalten zusätzlich für die Distributionen CentOS 7 und Univention Corporate Server kostenfreie Updates. Kunden mit der Support-Stufe „Gold“ oder „Enterprise“ haben außerdem das Anrecht, ein aktiv durchgeführtes Update zu vereinbahren.

ChangeLog

Hier nochmal die komplette Liste der Änderungen von Version 2.10:

Neue Funktionalitäten

  • Benutzer-Registrierung: Ein Benutzer kann sich selber registrieren und somit für sich einen neuen Account erzeugen.
  • Passwort-Reset: Mit Hilfe eines Recovery Tokens kann der Benutzer sein Passwort zurücksetzen, ohne den Administrator oder den Helpdesk behelligen zu müssen.
  • Token Enrollment Wizard zum einfachen und kostensparenden Ausrollen durch den Benutzer selbst.
  • SMTP Server: Der Administrator kann eine oder mehrere Email-Server-Konfigurationen zentral definieren, um diese dann an verschiedenen Stellen in privacyIDEA zu nutzen:
    • Email Token,
    • SMTP SMS Provider,
    • Registrierungsprozess,
    • Passwort-Reset.

Erweiterungen

  • Einfacheres Rollout von Smartphone Apps für HOTP und TOTP. Es werden OTP-Länge, Hash und Timestep in der UI nicht angezeigt, wenn entsprechende Richtlinien definiert sind.
  • Import von Aladdin/SafeNet XML Dateien.
  • Import von PSKC-Dateien (mit Passwort verschlüsselt)
  • Import von PSKC-Dateien (mit AES-Key verschlüsselt)

Fehlerbehebungen

  • LDAP-Passwörter mit Sonderzeichen.
  • LDAP-Bind mit Sonderzeichen.
  • Problem mit verschlüsseltem Verschlüsselungskey behoben.
  • Problem mit Upgrade des DB Schemas bei Verwendung von postgresql+psycopg2 behoben.
  • Problem mit dem Speichern von SMS Provider behoben.
  • Challenge/Response mit einem gesperrten oder inaktiven Token verhindert.