Kassel 20.12.2022 – Das IT-Security-Unternehmen NetKnights gibt die Version 3.8 der professionellen Multi-Faktor-Authentifizierungs-Software privacyIDEA frei. Mit der neuen Version können sich Benutzer mit dem Yubikey als Smartcard an Windows-Systemen anmelden. Ein flexibler Rollout-Mechanismus erlaubt den Rollout von gewissen Tokentypen an der Applikation selbst, wodurch der Administrator die Benutzer für den Rollout nicht mehr zum Selfservice-Portal weiterleiten muss. Ein neuer „preferred_client_mode“ ermöglicht es dem Benutzer, durch eine sinnvolle Vorauswahl des Administrators, bei der Anmeldung Zeit zu sparen. Die neue Version ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 18.04, 20.04 und jetzt neu auch 22.04 verfügbar.
Unterstützung von Smartcard-Anmeldung an Windows-Systemen
Windows-Betriebssysteme erlauben seit langem die Anmeldung mit einem Smartcard-Logon-Zertifikat und einer Smartcard. Der Benutzer muss sich lediglich die Smartcard-PIN merken und bei der Anmeldung die Smartcard einlegen. Komplexe, sich ständig ändernde Domänenpasswörter entfallen dadurch.
Für die Verwaltung solcher Smartcards ist in einer Windows-Domäne aber immer ein System von Drittherstellern notwendig.
Ab der Version 3.8 bietet privacyIDEA deshalb nun die Möglichkeit, Yubikeys als Smartcard zur passwortlosen Anmeldung (Zwei Faktoren: Smartcard und PIN) an Windows-Systemen zu verwenden. Dazu kann der privacyIDEA Server nun mit einem domänenintegrierten Microsoft Active Directory Certificate Service kommunizieren und die ausgestellten Smartcard-Logon-Zertifikate auf Yubikeys schreiben.
Der privacyIDEA Server kann nun Zertifiakte von einem Active Directory Certificate Service beantragen und auf Yubikeys schreiben. Somit wird eine smartcard-basierte Anmeldung an Windows-Systemen möglich.
Rollout während der Anmeldung
Eine Mehr-Faktor-Authentifizierung in größeren Umgebungen einzuführen bringt immer die Herausforderung eines sinnvollen Rollout-Prozesses mit sich. privacyIDEA bietet bereits viele verschiedene Möglichkeiten, damit Unternehmen und Organisationen den Rollout-Prozess für sich optimal gestalten können.
Mit der Version 3.8 kommt nun ein weiteres Werkzeug hinzu.
Über das Challenge-Response-Verfahren kann sich der Benutzer bei der Anmeldung seinen zweiten Faktor ausrollen. Dies läuft völlig transparent für die Applikation ab, an der sich der Benutzer anmeldet. Der Administrator kann über Richtlinien steuern, ob sich ein Benutzer einen HOTP-, TOTP-, SMS-, Email- oder PUSH-Token ausrollen muss. Dabei kann sich der Benutzer im ersten Schritt bereits mit einem ggf. schwächeren zweiten Faktor authentisiert haben und nun während der Anmeldung einen neuen, stärkeren zweiten Faktor ausrollen.
Da dies an der Applikation selbst passiert, ist es nicht notwendig, den Benutzer auf das Selfservice-Portal zu leiten.
SMS- und E-Mail-Token lassen sich dabei sogar innerhalb normaler Applikationen wie dem Citrix Netscaler ausrollen. Die privacyIDEA-Entwickler werden den Rollout von H/TOTP-Token und PUSH-Token transparent in allen Plugins, die bspw. für ownCloud, Keycloak, ADFS existieren, unterstützen.
Über Multi-Challenge-Response kann der Administrator steuern, dass Benutzer während des Anmeldevorgangs ihren zweiten Faktor ausrollen können. Der privacyIDEA Server unterstützt das für HOTP, TOTP, SMS, E-Mail und PUSH. Tokentypen wie SMS und E-Mail können sogar in 3rd Party Applikationen wie hier dem Citrix ADC ausgerollte werden.
Schnelle Anmeldung, schnelle Fehlersuche, Tokengruppen
Mit der Version 3.8 kann der Administrator in privacyIDEA eine Richtlinie definieren, die den bevorzugten Client-Mode an Plugins überträgt. Wenn ein Benutzer mehrere unterschiedliche Token hat (bspw. E-Mail-Token, PUSH-Token, TOTP-Token), dann kann der Administrator hierüber definieren, welches Anmeldeverfahren der Benutzer bevorzugt verwenden soll. Dies kann dem Benutzer Zeit sparen, da er nicht erst das gewünschte Anmeldeverfahren auswählen muss.
Das Audit-Log in privacyIDEA zeichnet jeden API-Request an das System auf. Administratoren und Helpdesk-Mitarbeiter können so das Verhalten des Systems überprüfen und Fehler des Systems oder Benutzerfehler finden. In der neuen Version zeichnet privacyIDEA nun auch die Thread-ID des Requests auf. Damit lassen sich einfach und schnell in der detaillierten Log-Datei noch weitere Informationen zum jeweiligen Request extrahieren.
Mit Hilfe der ThreadID im Audit log können Support- und Helpdesk-Mitarbeiter nun schneller die relevanten Stellen in der detaillierten Log-Datei finden und somit schneller Fehler analysieren und beheben.
In privacyIDEA 3.8 kann der Administrator nun Token zu beliebigen Gruppen zusammenfügen. Dies ist eine Grundfunktion, die die privacyIDEA-Entwickler in Zukunft nutzen möchten, um bspw. das SSH Key Management zu verbessern oder die Verwaltung von Offline-Token zu vereinfachen.
Alle weiteren Änderungen sind detailliert im Changelog auf GitHub aufgeführt. An dieser Stelle werden auch alle Komponenten von privacyIDEA unter Federführung der NetKnights GmbH als quelloffene Software unter der AGPLv3 weiterentwickelt.
Verfügbarkeit
Die neue Version 3.8 von privacyIDEA ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 18.04, 20.04 und 22.04 verfügbar. Zusätzlich bietet die NetKnights GmbH die Enterprise Edition mit Support für Ubuntu LTS, RHEL/CentOS und einem Appliance-Tool an und führt Auftragsentwicklungen für spezielle Anforderungen durch.
Über privacyIDEA
privacyIDEA ist ein quelloffenes Multi-Client- und Multi-Instanz-fähiges System zur Mehr-Faktor-Authentifizierung. Die Entwicklung erfolgt transparent auf Github. Installationen und Updates sind leicht über den Python Package Index oder über Repositories für Ubuntu möglich. Wenige Wochen nach dem jeweiligen Community Major-Release veröffentlicht die NetKnights GmbH ein stabiles Enterprise Release für Ubuntu LTS und RHEL/CentOS.
Weitere Informationen über die neuesten Entwicklungen rund um privacyIDEA finden sich unter https://netknights.it/aktuelles/.