privacyIDEA 2.22 ermöglicht flexiblere Anbindung von Firewalls und VPNs

Heute wurde privacyIDEA 2.22 veröffentlicht. Die Pakete sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Die Online-Dokumentation beschreibt die Installation und das Update. Zusätzlich zum Changelog sind in der Datei READ_BEFORE_UPDATE, weitere wichtige Informationen zum Update enthalten.

Die Authentifizierung und Autorisierung an VPNs wie ASA und Netscaler lassen sich mit privacyIDEA nun noch flexibler gestalten.

Flexiblere RADIUS Anbindung, Unterstützung für VASCO Token, SMPP und Statistiken

privacyIDEA 2.22 kommt mit mehreren neuen Funktionen. Informationen können nun noch flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückgeliefert werden. Der Administrator kann innerhalb privacyIDEA Rückgabe-Werte definieren, die bspw. aus Attributen des Benutzers im Active Directory gelesen werden. Über reguläre Ausdrücke können diese Attribute nochmal umgeformt werden, bevor sie über das RADIUS-Protokoll an die Firewall oder das VPN zurückgegeben werden. Solche personenbezogenen Attribute werden von VPN-Systemen wie Cisco ASA oder Citrix Netscaler oft verwendet, um den Benutzern gezielt Zugriff auf bestimmte Subnetze oder Netzwerkresourcen zu gewähren.

Unterstützung von VASCO Token

privacyIDEA ist Open Source. Wir halten Open Source und offene Standards für den einzig sinnvollen Weg, wenn man Flexibilität, Sicherheit und Nachhaltigkeit gewährleisten will. Aber dennoch muss privacyIDEA gelegentlich mit proprietären Komponenten kommunizieren – bevor auch diese sich öffnen können. Deswegen haben wir in privacyIDEA 2.22 die Unterstützung für proprietäre VASCO Token eingebaut. Auf diese Art ist es einfacher, proprietäre VASCO Token und HOTP-, TOTP-Token oder Yubikeys parallel zu betreiben, bevor man evtl. langfristig von den proprietären Geräten wegmigriert.

Wenn Sie mehr zur Unterstützung von VASCO Token erfahren möchten, nehmen Sie bitte Kontakt mit uns auf!

SMS via SMPP

SMPP (Short Message Peer-to-Peer) ist ein Protokoll, dass vor allem von Carriern und Mobilfunk-Providern genutzt wird. In privacyIDEA ist nun ein Modul enthalten, das SMS über SMPP versenden kann. Diese Versandart kann sowohl für SMS Token zur Authentifizierung als auch vom Event Handler für Benachrichtigungen verwendet werden.

Counter Handler zum flexiblen Monitoring

Das sowieso schon sehr mächtige und flexbile Event Handler Framework mit Token-Handler, Benachrichtigungs-Handler, Federation-Handler und Script-Handler wurde um einen Counter-Handler erweitert. Der Counter Handler kann beliebige Zähler in der Datenbank speichern und für flexibel konfigurierte Ereignisse diesen Zähler hochzählen. So kann bspw. ein Zähler fehlgeschlagene Authentifizierungsanfragen mit HOTP Tokentypen zählen.

Wenn eine Authentifizierung mit einem HOTP fehlschlägt, wird ein Zähler hochgezählt, der für Statistikzwecke ausgewertet werden kann.

Diese Zähler können nun für jedwede Statistik und Auswertungen herangezogen werden.

Jeder Token hat einen Tokenart

privacyIDEA unterstütz viele verschiedene Tokentypen wie HOTP, TOTP, SMS, Email, Yubikey… Doch gerade bei HOTP fällt auf, dass hier manchmal die Unterscheidung schwer fällt zwischen einem HOTP-Token auf einem Smartphone und einem Hardware-Token am Schlüsselanhänger. Daher wurde mit privacyIDEA 2.22 die Tokenart eingeführt, die hier genau definiert, ob es sich um einen Hardware-Token, einen Software-Token oder einen virtuellen Token handelt.

Diese Tokenart kann dann später für weitere Logiken herangezogen werden. So ist zum Beispiel vorstellbar, dass lediglich verwaiste Software-Token aber keine Hardware-Token automatisiert aus der Datenbank gelöscht werden.

Tokeninfo in Autorisierungs-Richtlinien verwenden

Der Token-Handler kann im Event-Handler-Framwork beliebige Tokeninformationen eines Tokens lesen oder in den Token schreiben. Diese beliebigen Tokeninformationen können nun auch zur Autorisierung herangezogen werden, um einem Benutzer, der sich erfolgreich authentisiert hat, den Zugriff zu gewähren oder eben doch zu verweigern.

Viele Erweiterungen

privacyIDEA 2.22 kommt mit zahlreichen anderen Erweiterungen wie verbesserten Import und Export via PSKC, der Möglichkeit SMS und Email-Adressen zur Authentifizierung dynamisch aus dem Active Directory zu lesen.

Die Migration von LinOTP nach privacyIDEA wurde verbessert, so dass mit dem Migrationskript nun leicht mehrere zehntausend Token migriert werden können. Ebenfalls kann diese Migration genutzt werden, um die verschlüsselten Daten in der Datenbank umzuschlüsseln.

Email-Token können den Email-Text aus einem HTML-Template lesen und der LDAP-Resolver unterstützt beliebige Multvalue-Attribute.

Das komplette Changelog ist wie immer bei Github einzusehen.

Enterprise Edition

Die privacyIDEA Enterprise-Edition wird wie immer wenige Wochen nach der Veröffentlichung der privacyIDEA Community Edition erscheinen. Im April ist mit der Version 2.22.1 zu rechnen, die als stabile Version dann auch in den Repositories für die Support-Kunden zur Verfügung steht.

privacyIDEA auf den Grazer Linuxtagen und beim Linuxfest Northwest

Ende April wird Friedrich Weber, Mitarbeiter der NetKnights GmbH, einen Vortrag auf den Grazer Linuxtagen halten. Thema wird die leichte Migration von alten, prorprietären 2FA-Systemen sein.

Ebenfalls Ende April wird Cornelius Kölbel, Geschäftsführer der NetKnights, einen Vortrag in Bellingham, USA, auf dem LinuxFest NorthWest halten. Er wird thematisieren, wie der Event Handler in beliebigen Lebenslagen hilft, aus einem normalen 2FA-Setup eine erfolgreiche 2FA-Installation zu machen, bei der Prozesse zuverlässig automatisiert sind und Nutzer und Administratoren sich auf das Wesentliche – Ihre Arbeit nach der Anmeldung – konzentrieren können.

Wenn auch Sie wissen möchten, wie Sie Ihr bestehendes System zu privacyIDEA migrieren oder Ihre Arbeitsabläufe im Bereich 2FA verbessern können, nehmen Sie Kontakt mit uns auf!