Vollbepackt nach Chemnitz

Auch dieses Jahr hat die NetKnights GmbH die Chemnitzer Linuxtage als Sponsor unterstützt und wir haben den Community-Stand von privacyIDEA gestellt. Also sind drei Mitarbeiter der NetKnights am Freitag Nachmittag mit dem vollgepackten Auto in Kassel aufgebrochen.

Wir hatten nicht nur unseren Stand und viel Demo-Umgebung dabei, sondern auch eine große Menge an privacyIDEA-T-Shirts. Bereits auf der FOSDEM hatten wir festgestellt, dass die Besucher die gerne die T-Shirts mitnehmen – bei den schwankenden Temperaturen empfiehlt sich die Zwiebel-Taktik, doch nochmal ein T-Shirt überzuziehen.

Als wir gegen 19 Uhr am Hörsaalgebäude (Freitag Abend) auftauchten herrschte bereits geschäftiges Treiben. Schnell war der Stand aufgebaut und wir konnten gelassen dem Samstag entgegensehen.

Sven Guckes organisierte wie jedes Jahr ein Vorabendtreffen am Freitag Abend im Turmbrauhaus. Die Tatsache, dass man sich früh bei seiner Doodle-Umfrage einträgt, heißt aber nicht, dass man auch wirklich einen Platz findet. Da wir gerade im Eingang des Turmbrauhauses noch zwei Bekannte getroffen hatten, waren wir nun zu viert. Zu viel für das verbleibende Fassungsvermögen dieser Lokalität.

Zum Schluss noch ein Pflaumenwein beim Vietnamesen.

Die Suche nach Alternativen führte uns zu einem Vietnamesen. Die Chemnitzer Linuxtage prägen das Leben an diesem Wochenende in Chemnitz. Nicht nur zeigen Leuchtschilder in der Stadt an, dass das Hörsaalgebäude die CLT beherbergt – auch die Bedienung beim Vietnamesen bestätigte uns, dass sie morgen bei den CLT dabei sein wird!

Samstag

Der privacyIDEA-Stand ist eine Community-Stand in einer Fensternische, die wir uns mit dem Dante e.V. teilten. Das Gute an so einer Fensternische ist, wenn Leute dort erstmal sind, dann kommen sie so schnell nicht weg. 😉 Wir führten viele, spannende, intensive Gespräche. Während man vor wenigen Jahren den Besuchern noch erklärte, was Zwei-Faktor-Authentifizierung eigentlich ist, zeigt sich deutlich, dass dieses Thema nun in der breiten Masse angekommen ist.

Nerds, KMUs, größere Unternehmen und Behörden interessieren sich für das Thema 2FA und suchen auch nach Lösungen auf den Chemnitzer Linuxtagen und freuen sich, mit privacyIDEA eine zeitgemäßige, flexible Open-Source-Lösung zu finden.

Microsoft CA

Am frühen Samstag Nachmittag hielt ich schließlich meinen Vortrag über die Microsoft CA, und wie man in einem Windows-Umfeld auch Linux-Server mit Apache ordentlich an den Windows-Client bringt. Offen gestanden hatte ich ein wenig diebische Freude, einen so Microsoft-lastigen Vortrag einzureichen. Im Unternehmensumfeld gibt es immer wieder Web-Applikationen unter Linux, die sich in einer reinen Microsoft-Domäne behaupten müssen. Dass dieses Thema relevant ist, zeigte auch der durchaus gut gefüllte Hörsaal.

Etwas Technik

Bei der Einrichtung der Microsoft CA ist darauf zu achten, dass entgegen der möglichen Annahme, der Rollen-Wizard des Windows-Servers eben doch nicht alle Aspekte berücksichtigt. So muss man sich bspw. vorher überlegen, wir lange die Pfadlänge sein soll, die die erlaubten Ebenen an Sub-CAs bestimmt. Die domänenintegrierte Microsoft-CA erlaubt die Nutzung von Templates — von Zertifikatsvorlagen. Ggf. will man bei der Installation die üblichen Standard-Vorlagen deaktivieren. Denn allzuschnell haben sich die Domänencontroller in der Domäne selber ein Zertifikat ausgerollt, dass die LDAP-Verbindung zwar vermeintlich per LDAPS absichert, das aber nur mit 1024bit RSA Schlüssellänge!

Um diese und andere Dinge zu konfigurieren, muss man sich vor der Installation mit einer Datei c:\windows\capolicy.inf beschäftigen.

Wenn man all diese Dinge bei der Installation der Microsoft-CA beachtet hat, kann man auf dem Apache-Server einen Zertifikatsrequest erstellen.

openssl req -new -newkey rsa:2048 -subj /CN=privacyidea.cltlab.intranet \
        -nodes -outform DER -out privacyidea.req -keyout privacyidea.key

Dieser Zertifikatsrequest wird anschließend von der Microsoft-CA signiert.

certreq submit attrib „CertificateTemplate:TemplateName“ c:\privacyidea.req

Im Vortrag beleuchteten wir unterschiedliche Möglichkeiten dies über das CA-Webinterface oder die Kommandozeile zu tun. Beim Ausrollen des Webserver-Zertifikats ist nicht nur auf die Wahl des richtigen Templates zu achten, sondern sollte man dabei auch SubjectAltNames angeben. Diese ermöglichen es dem Benutzer, ohne Zertifikatsfehlermeldung im Browser auf den Apache Webserver sowohl per FQDN, per Alias, per Hostname oder sogar per IP-Adresse zuzugreifen. Damit die Microsoft-CA subjectAltNames ausstellt, muss dies vorher aber auch aktiviert werden:

certutil -­setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Die Präsentation erfuhr ein unterhaltsames doch abruptes Ende, als sich der Computer mit den vielen virtuellen Maschinen entschied, gleich zweimal abzustürzen. Ist Linux auch nicht besser als Microsoft? Kann Windows selbst aus einer virtuellen Maschine heraus die Hardware zur Weißglut bringen? Oder baut Lenovo einfach nicht mehr so gute Hardware wie IBM? Dies werden wir wohl abschließend nicht mehr beantworten können.

CLT – das Gourmet-Fest

Die CLT wurden schon immer für die Samstag-Abendveranstaltung mit einem deliziösen Catering gelobt. Gleichzeitig mussten Sie sich Kritik gefallen lassen, dass eine Zwei-Klassengesellschaft entsteht, da an diesem Event nur Aussteller und Referenten teilnehmen können.

Dieses Jahr wurde das sonst freie Buffet durch einzelne Stationen ersetzt. An diesen Stationen konnte man sich fertige Salate, Lasagne, „Pulled Pork“ und vieles mehr holen.

Ich als Vegetarier und Möchte-gern-Veganer habe das jedoch eher nachteilig erlebt. In den früheren Jahren konnte man sich am Buffet leicht die Komponenten rauspicken, die auf den eigenen Speiseplan passten. Mit dem Stationssetup war es natürlich ungleich schwieriger. Im Caesar-Salad ist eben das Hähnchenfleisch schon vorbereitet drinnen. Auf der Lasagne ist eben Käse drauf. Das Kartoffelpürree gibt es standardmäßig zur Ochsenhüfte oben drauf…

Doch das ist Jammern auf hohem Niveau. Denn wir sind bestimmt alle glücklich satt geworden. Einen herzlichen Dank nochmal an dieser Stelle!

Sonntag

Der Sonntag verwöhnte uns wieder mit reichlich Sonne. Auch das Mittagessen war mit den zwei Variationen der Schupfnudeln gelungen.

Wir konnten am Vormittag noch einige Interessenten auf unseren privacyIDEA-Workshop am Nachmittag verweisen.

Workshop

Wir möchten allen das Thema 2FA und privacyIDEA näher bringen. Deswegen bieten wir auch immer wieder unterschiedliche Workshops an.

So hatten wir vor wenigen Wochen einen Inhouse-Workshop bei uns in Kassel abgehalten. Auch auf den Chemnitzer Linuxtagen hatten wir drei Stunden Zeit, mit ca. 15 Interessierten das Thema 2FA mit der Open Source Lösung privacyIDEA zu diskutieren. Nachdem wir von den Teilnehmern zu Beginn Themen wie Anmeldung via SSH, Desktop, ownCloud, Nextcloud, Yubikey, U2F und Abgrenzung gegen Smartcards und Abgrenzung gegen proprietäre Produkte eingesammelt hatten, ging es in medias res. Genau wie der aktuelle privacyIDEA User Survey, so sind auch solche Workshops für uns eine gute Gelegenheit, Feedback von Anwendern einzusammeln. Was bewegt die Netzwerk-Admins? Welche Systeme will ein CISO absichern und welche Daten gilt es zu schützen?

Wir verraten schon jetzt, dass der nächste Workshop auf den Grazer Linuxtagen 27./28.4.2018 stattfinden wird!

Zum Schluss und weiter geht’s

Unser Stand war schnell abgebaut. Wir hatten viele T-Shirts verteilt und mussten daher eine Kiste weniger zum Auto bringen.

Wir danken dem Veranstalter und allen Helfern für die Ausrichtung der Chemnitzer Linuxtage! Respekt, denn das Hörsaalgebäude stand schon später am Abend wieder für die nächsten Veranstaltungen bereit.

Wenn Sie auf dem Laufenden bleiben möchten, um uns und privacyIDEA auf der nächsten Veranstaltung zu treffen, abonnieren Sie unseren Newsletter!