privacyIDEA 2.8 ist nun erschienen. Der Schwerpunkt liegt auf U2F und SAML.
Features
U2F Authentifizierung an anderen Webseiten und Diensten
privacyIDEA wurde im Bereich U2F nachhaltig erweitert. Es unterstützt nun die „Trusted Facets“. D.h. mit einem U2F Gerät, das man bei privacyIDEA zentral registriert hat, kann man sich an beliebigen Hosts im Netzwerk authentisieren.
U2F und Single Sign On
Das simpleSAMLphp Plugin wurde erweitert, so dass es nun auch U2F unterstützt. Somit kann man nun den U2F Token zentral bei privacyIDEA registrieren und sich dann an simpleSAMLphp anmelden, um für alle angeschlossenen Dienste ein Single Sign On zu erreichen.
Außerdem wurde das simpleSAMLphp Plugin um die Unterstützung für Challenge-Response-Token erweitert. Somit können nun auch SMS und Email, aber auch HOTP und TOTP im Challenge Response Mode verwendet werden.
Web UI Theme
Nun können eigene CSS definiert werden, um das Look and Feel des Web UI anzupassen. Dabei gehen diese Änderungen nach einem Update nicht mehr verloren.
Anmeldung mit HTTP Basic Authentication
Benutzer können sich nun mit Basic Authentication bzw. REMOTE_USER an dem Web UI anmelden. Somit lassen sich alle Apache Auth Plugins verwenden. Mit Hilfe des Shibboleth Plugins kann am WebUI auch SSO umgesetzt werden.
Fuzzy Authentication
Nachdem die Fuzzy Logic schon vor Jahren bei den Waschmaschinen Einzug gehalten hat, startet privacyIDEA mit den ersten Umsetzungen für Fuzzy Authentication. Die Idee ist dabei, die Authentifizierung von weiteren, eher weichen Faktoren abhängig zu machen.
In der Version 2.8 gibt es drei neue Richtlinien, die in diese Richtung gehen: auth_max_success, auth_max_fail und last_auth.
Mit auth_max_fail lässt sich bspw. festlegen, wieviele fehlerhafte Anmeldeversuche innerhalb eines Zeitraums erlaubt sind. Werden bspw. 3 fehlerhafte Anmeldeversuche in 5 Minuten erlaubt, so wird ein vierter Anmeldeversuch innerhalb der 5 Minuten nicht gelingen, selbst wenn die richtigen Credentials geschickt werden. Dies erhöht den Schutz vor Brute-Force-Angriffen.
Mit last_auth lässt sich verhindern, dass brachliegende Accounts oder Token missbraucht werden können. Wenn bspw. ein Token länger als ein definierter Zeitraum nicht mehr benutzt worden ist, so kann dieses Gerät für die Anmeldung nicht mehr verwendet werden.
In großen Installation kann es vorkommen, dass nicht ersichtlich ist, welcher Benutzer mit welchen Token noch aktiv ist oder aus der Organisation ausgeschieden. Dies führt zu Authentisierungsdevices, die technisch noch eine Anmeldung ermöglichen würden, aber eben vom Benutzer wahrscheinlich nicht mehr kontrolliert werden.
Erweiterungen
- Die „Mangle“ Richtlinien lassen sich nun auch auf SSH Keys anwenden.
- Das ownCloud Plugin wurde um die Unterstützung für Realms erweitert.
- Der SQL Resolver unterstützt nun Drupal Passwörter.
- Beim Rollout eines Tokens kann direkt der Gültigkeitszeitraum angegeben werden.
- Der Token-Typ, der zum Rollout in dem Web UI vorbelegt ist, kann festgelegt werden.
- Der LDAP Resolver unterstützt nun LDAP Scope.
Fehlerbehebungen
- Failcounter Reset bei Challenge Response Token.
- Die irreführenden Fehlermeldungen über existierende Tabellenspalten bei der Installation wurden beseitigt.
- Das inkonsistente Verhalten der TLS Checkbox bei den Email-Token-Settings wurde korrigiert.
- Der fehlerhafte Test in den Token-Details der TOTP Token wurde korrigiert.
- Das Laden der SMS-Token-Settings wurde korrigiert.
privacyIDEA kann von den üblichen Quellen bezogen werden.
Bei Fragen, wie Sie ein modernes Zwei-Faktor-Authentifizierungs-System in Ihrem Netzwerk einbinden können, sprechen Sie uns einfach an.
