Beiträge

, ,

Zwei-Faktor-Anmeldung überall mittels privacyIDEA LDAP-Proxy

Um die Anmeldung an einer Applikation mit einem zweiten Faktor abzusichern gibt es verschiedene Ansätze, die wir mit privacyIDEA bisher auch verfolgt haben.

Zwei-Faktor-Authentifizierung mittels Standard-Protokolle und Plugins

Wenn die zu schützende Applikation Standard-Protokolle wie bspw. RADIUS oder SAML unterstützt, dann kann die Überprüfung des zweiten Faktors im RADIUS Server oder im SAML Identity Provider vorgenommen werden. An der Applikation sind somit keine Änderungen vorzunehmen. Mit privacyIDEA konnte dies bisher mit dem privacyIDEA FreeRADIUS Modul oder mit dem privacyIDEA SimpleSAMLphp Plugin gelöst werden.

Andere Applikationen bieten ein flexibles Authentifizierungs-Framework, so dass die Anmeldung an einer solchen Applikation durch die Entwicklung eines kleinen Plugins um einen zweiten Faktor erweitert werden kann. Hierzu gibt es eine breite Auswahl an Plugins für verbreitete Applikationen wie TYPO3, ownCloud, Nextcloud, WordPress, dokuwiki, django, OTRS, Apache, NGINX, PAM/OpenVPN oder die Anmeldung am Windows Desktop.

Doch manche Applikationen bieten keine RADIUS-Schnittstelle und auch kein einfaches Authentifizierungs-Framework. Manchmal ist auch einfach die Zeit zu knapp oder die Programmiersprache der Applikation zu unangenehm.

privacyIDEA LDAP-Proxy

Um in solchen Fällen ebenfalls auch diesen Applikationen die Sicherheit einer starken Authentifizierung gegen privacyIDEA zu ermöglichen, entwickeln wir den privacyIDEA LDAP-Proxy.

Der privacyIDEA LDAP-Proxy kommt dann zum Einsatz, wenn eine Applikation die Benutzer gegen einen LDAP-Server wie OpenLDAP oder Microsoft Active Directory authentifiziert. Der privacyIDEA LDAP-Proxy wird dabei zwischen die Applikation und den LDAP-Server gesetzt. Die Applikation wird derart umkonfiguriert, dass sie nicht mehr den originalen LDAP-Server sondern den LDAP-Proxy kontaktiert. der privacyIDEA LDAP-Proxy entscheidet dann, wie die Benutzer mit zwei Faktoren zu authentifizieren sind und welche Anfragen an den originalen LDAP-Server weitergeleitet werden.

Die Authentifizierung erfolgt für den Benutzer also völlig Transparent.

Der Vorteil für die IT-Abteilung liegt auf der Hand: Der originale LDAP-Server wird nicht angetastet und die Applikation erfährt lediglich eine Konfigurationsänderung im Rahmen der vorgesehen und vom Hersteller unter Support stehenden Rahmenbedingungen.

Gegenüber Zwei-Faktor-Lösungen, die rein auf OpenLDAP basieren, hat die Variante des LDAP-Proxies zusätzlich zur Unveränderbarkeit des originalen LDAP-Servers weiterhin den Vorteil, dass sie eben nicht nur mit OpenLDAP sondern auch mit jedem anderem LDAP-Dienst wie dem weit verbreiteten Microsoft Active Directory oder Samba4 funktioniert.

Das Beispiel-Szenario

In diesem beispielhaften Szenario betrachten wir die Anmeldung an SuiteCRM. SuiteCRM ist eine Open Source Customer Relation Managemet Lösung, für die es kein Zwei-Faktor-Plugin gibt. Allerdings kann SuiteCRM die Benutzer gegen LDAP authentifizieren. Daher soll in diesem Fall der privacyIDEA LDAP-Proxy zum Einsatz kommen.

Wir könnten genauso jede beliebige andere Applikation betrachten, die Benutzer aus einem LDAP-Verzeichnis verwendet. Wir installieren SuiteCRM auf einem Univention Corporate Server, da die Installation und Konfiguration sich hier als extrem einfach erweist. Nach der Installation ist SuiteCRM sofort so konfiguriert, dass Benutzer, die im Univention Corporate Server Domain Controller angelegt sind, sich an SuiteCRM mit ihrem LDAP-Passwort anmelden können. Statt eines UCS Domain Controllers hätten wir genauso eine native OpenLDAP-Instanz oder ein Microsoft Active Directory verwenden könnten.

Auch der privacyIDEA Authentication Server kann wahlweise auf einer beliebigen Linux-Distribution oder auf einem Univention Corporate Server installiert werden. privacyIDEA ist ebenfalls im Univention App Center enthalten, so dass auch privacyIDEA automatich gegen den LDAP-Server konfiguriert wird und lediglich den Benutzern die zweiten Faktoren in Form von Yubikeys, OTP-Token oder Smartphone-Apps zugewiesen werden müssen.

SuiteCRM wird schließlich derart umkonfiguriert, dass nicht mehr der UCS LDAP-Server sondern der LDAP-Proxy gefragt wird.

Bei Bedarf können mehrere der beteiligten Komponenten auf einem System installiert werden.

Integration

LDAP-Proxy installieren und konfigurieren

Der LDAP-Proxy ist in einer Beta-Version zur Zeit über Github erhältlich. Durch die Implementierung auf Basis von Python und Twisted ergibt sich eine Vielzahl von Möglichkeiten für das Deployment. Die nötigen Einstellungen werden in einer zentralen Konfigurationsdatei vorgenommen. Unter anderem muss dem LDAP-Proxy hier mitgeteilt werden, wo der UCS LDAP-Server und die privacyIDEA-Instanz zu finden sind. Außerdem wird ein Service Account auf dem UCS LDAP-Server benötigt, dessen Zugangsdaten in der Konfigurationsdatei hinterlegt werden.

Für genauere Informationen konsultieren Sie die Datei README.md.

Der LDAP-Proxy wird wie folgt gestartet

twistd -n ldap-proxy -c config.ini

Im produktiven Betrieb würden Sie den LDAP-Proxy später automatisch als Service über systemd starten. Die Konfigurationsdatei config.ini kann entsprechend an beliebiger Stelle liegen. Die Datei example-proxy.ini enthält entsprechende ausführliche Kommentare, so dass schnell ersichtlich sein sollte, welche Konfigurationen vorzunehmen sind.

Die Konfigurationsdatei

Entscheidend sind die folgenden Konfigurationen:

In der Sektion privacyidea geben Sie mit dem Parameter instance an, wo der LDAP-Proxy den privacyIDEA Server erreicht.

In der Sektion ldap-backend geben Sie an, wo der originale LDAP-Server steht und ob die Verbindung über LDAP oder LDAPS oder LDAP+STARTTLS durchgeführt wird.

Auf welchem Port der LDAP-Proxy selber lauscht können Sie in der Sektion ldap-proxy mit dem Parameter endpoint angeben.

Schließlich müssen Sie noch definieren, welches LDAP-Attribut als Loginname verwendet wird. Dies geschieht im Parameter attribute in der Sektion user-mapping.

Der Service-Account ermöglicht allgemeines Suchen

Für einfache Applikationen, die lediglich den Benutzer mittels eines Binds überprüfen, reicht dies bereits aus. SuiteCRM nutzt allerdings für allgemeine Suchanfragen zusätzlich einen Service-Account. Dieser muss in der Sektion ldap-proxy bei passthrough-binds und in der Sektion service-account eingetragen werden.

SuiteCRM konfigurieren

In SuiteCRM muss der Administrator lediglich den zu kontaktierenden LDAP-Server ändern. Dazu geht er ins Administrations-Menü, das man oben rechts erreicht.

Dort wählt er den Punkt „Passwordmanagement“.

Dort erreicht man schließlich die Konfigurationsmöglichkeiten für den LDAP-Server. Der dort eingetragene LDAP-Server muss nun auf den FQDN bzw. IP des LDAP-Proxies abgeändert werden.

Fazit

Der Benutzer im SuiteCRM wird nun über den LDAP-Proxy in Zukunft gegen privacyIDEA authentifiziert. Das komplette Passwort-Feld bei der Anmeldung an SuiteCRM wird an privacyIDEA gesendet. Wie ansonsten auch muss der Benutzer also sein statisches Passwort und einen OTP-Wert eingeben.

Die konkrete Art des verwendeten zweiten Faktors kann über privacyIDEA individuell für jeden Benutzer geregelt werden. Denkbar sind wie bereits erwähnt Yubikey, OTP-Token und OTP-Karten, Smartphone-Apps wie Google Authenticator aber auch der Versand eines Einmalpasswortes per SMS oder Email.

Der LDAP-Proxy wird weiter ausgebaut und wir freuen uns über jegliches Feedback. Wollen Sie auf dem laufenden bleiben, so beobachten Sie das Github Repository oder abonnieren Sie unseren Newsletter.

,

Zwei-Faktor-Authentifizierung mit privacyIDEA 2.14 auf dem Univention Corporate Server

privacyIDEA auf dem Univention Corporate ServerLogo_UCS_certified

privacyIDEA 2.14 ist nun auch auf dem Univention Corporate Server verfügbar. In 2.14 wurde das Event-Handling-Framework weiter ausgebaut, der Import von verschlüsselten Seed-Dateien hinzugefügt und die Performance verbessert.

Die NetKnights GmbH paketiert das Opensource Authentifizierungssystem privacyIDEA und stellt es im Univention AppCenter bereit. privacyIDEA auf dem Univention Corporate Server lässt sich mit wenigen Klicks auf die Version 2.14 aktualisieren.

Subscription und Testlizenz

Für privacyIDEA4UCS können Sie hier eine Subscription erhalten oder eine Testlizenz beantragen.

privacyIDEA auf Univention Corporate Server, Online Shop

Lieber Leser,
privacyIDEA 2.11 ist nun auch auf dem Univention Corporate Server verfügbar. Es gibt einen neuen Online-Shop. Schließlich ist Ihre Meinung zu neuen Funktionen ist gefragt!
Viel Freude beim Lesen und Antworten wünscht
Ihre NetKnights

Umfrage zu neuen Funktionen und Support

Es gibt eine Idee zu einem neuen Feature, zu dem wir gerne Ihre Meinung hören möchten. Für Policies/Richtlinien soll eine Zeitabhängigkeit eingeführt werden. Hier ist Ihre Meinung zu den verschiedenen Möglichkeiten gefragt. Zur englischsprachigen Umfrage.

Außerdem wollen wir gerne mehr darüber erfahren, an welchen Punkten Ihnen der Support zu privacyIDEA weiterhilft. Hier geht es zur entsprechenden deutschsprachigen Umfrage.

privacyIDEA 2.11 nun auch auf dem Univention Corporate Server

privacyIDEA Version 2.11 ist nun auch auf dem Univention Corporate Server verfügbar. Der Univention Corporate Server ist ein Linux-basiertes System, das bei Bedarf eine komplette Windows-Domäne nachbilden kann oder auch einfach nur als robuste Plattform für Applikationen dient. Die enge Integration von privacyIDEA mit den entsprechenden SAML-Komponenten erlaubt eine einfache und schnelle Installation.

Neuer Online-Shop

Es wird nun einfacher für Sie, Support und Service Level Agreements für privacyIDEA zu erwerben. Nicht zuletzt auch für internationale Kunden haben wir unsere Standardangebote in einem Online-Shopzusammengefasst, so dass die Kaufabwicklung für beide Seiten einfacher wird.
Doch natürlich stehen wir Ihnen wie gewohnt weiterhin beratend zur Seite und erstellen Ihnen gerne Ihr individuelles Angebot.

,

privacyIDEA 2.10 mit Enrollment Wizard auf dem Univention Corporate Server

privacyIDEA 2.10 ist nun auch auf dem Univention Corporate Server verfügbar.

Enrollment-Wizard, Benutzer-Registrierung, Email-Handling

Ab gestern Abend stehen die neuen Funktionen Enrollment-Wizard, Benutzer-Registrierung und das verbesserte Management der SMTP-Server mit privacyIDEA 2.10 auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA kann aus dem Univention App Center heraus leicht installiert und aktualisiert werden.

enrollmentwizard-1-de

privacyIDEA Token Enrollment Wizard

Für Ihr individuelles Projekt im Rahmen Zwei-Faktor-Authentifizierung stehen wir Ihnen beratend in der Planung und Durchführung zur Seite. Sprechen Sie uns einfach an.

Veränderte Subscription auf dem Univention Corporate Server

Bisher erhielten Sie die Möglichkeit privacyIDEA mit bis zu 10 Benutzern auf dem Univention Corporate Server zu testen. Zwei-Faktor-Authentifizierung ist ein Thema das heute fast in aller Munde ist. Doch dadurch ist das Thema nicht einfacher geworden. Die Überlegungen, wie und wo sie eingesetzt werden soll, welche Authentisierungs-Devices verwendet werden und wie der Rollout an die Benutzer erfolgt stellen viele IT-Abteilungen vor bisher unbekannte Aufgaben.

Daher will die NetKnights GmbH Sie bei der Evaluierung von privacyIDEA auf dem Univention Corporate Server nicht im Regen stehen lassen. Um privacyIDEA zu evaluieren, können Sie sich im Subscription-Formular Ihre individuelle Evaluations-Subscription erstellen, so dass Sie privacyIDEA mit bis zu 20 Benutzern und bis zu 3 Monaten kostenfrei testen können. Gleichzeitig erhalten Sie eine halbe Stunde Standard-Support, so dass Sie sowohl die Software als auch den Support testen können.

Wir wollen, dass Sie ein zügiges, freudvolles und erfolgreiches Zwei-Faktor-Authentifizierungs-Projekt durchführen können!

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie die Neuerungen in privacyIDEA 2.10 kennenlernen wollen, so sind Sie herzlich zum Webcast am Freitag, 26.02.2016 eingeladen.

 

,

Webcast zu Single Sign On mit Zwei-Faktor Authentisierung

Single Sign On

In einem Webcast am Freitag zeigt Cornelius Kölbel, wie Single Sign On mit Zwei-Faktor-Authentifizierung auf dem Univention Corporate Server privacyIDEA-200pxumgesetzt werden kann. privacyIDEA bindet sich dabei an den SAML Identity Provider des Univention Corporate Servers an. Nun können sich Mitarbeiter gegen SAML mit einem bestehenden zweiten Faktor authentisieren, der von privacyIDEA verwaltet werden kann.

Der Zweite Faktor

Der zweite Faktor kann, wie bei privacyIDEA üblich ein normaler OTP-Token, ein Yubikey oder eine Smartdisplayer OTP-Karte sein. Es werden aber ebenso Challenge Response Mechanismen wie der Versand per Email oder SMS unterstützt. Interessant ist vor allem die Nutzung eines U2F-Tokens. Denn Mitarbeiter können ein und denselben U2F-Token sowohl bei privacyIDEA für den Single Sign On aber ebenso bei jedem anderen Webdienst (wie Google oder Github) registrieren. So kann ein Unternehmen die Akzeptanz für den zweiten Faktor bei den Mitarbeitern nachhaltig steigern.

Webcast

Melden Sie sich noch heute zu diesem spannenten Webcast am Freitag 19.02.2016 um 10 Uhr an.

,

privacyIDEA 2.9 auf Univention Corporate Server verfügbar

privacyIDEA 2.9 ist nun auch auf dem Univention Corporate Server verfügbar.

TAN-Listen

Somit steht die neue Token-Art „TAN-Listen“ oder auch Papier-Token nun auch auf dem UCS zur Verfügung. Bei der TAN-Liste werden die nächsten 100 OTP-Werte für den Benutzer auf einem Stück Papier ausgedruckt. Damit können diverse Rollout- oder Backup-Szenarien abgebildet werden. Da privacyIDEA-200pxprivacyIDEA prinzipiell mit einer Mischung aus vielen verschiedenen Token-Typen arbeiten kann, kann die TAN-Liste auch eine Authentifizierungsart für weniger kritische Zugänge sein.

Sicherheitsfragen

Die andere neue Token-Art sich die „Sicherheitsfragen“. Der Benutzer beantwortet eine Reihe an vorgegebenen Fragen und kann sich später durch die Beantwortung von einer zufällig ausgewählten Frage ausweisen. Auch dieser Tokentyp dient dazu, spezielle Workflows und Backup-Szenarien umzusetzen.

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie mehr über privacyIDEA erfahren wollen, melden Sie sich bitte zu unserem Webinar am 15. Januar 2016 an. Am 21. Januar 2016 findet in Bremen der Univention Summit statt, bei dem die NetKnights GmbH die Integration von privacyIDEA in den Univention Corporate Server vorstellen wird und an einem Stand vertreten ist, um all Ihre Fragen zu beantworten. Melden Sie sich noch heute an.

privacyIDEA 2.8.1 auf Univention Corporate Server verfügbar

privacyIDEA 2.8.1 ist nun auf dem Univention Corporate Server verfügbar. Der Schwerpunkt liegt „Fuzzy Authentication“, auf einer verbesserten U2F-Unterstützung und verbesserten SSO-Eigenschaften.

Fuzzy Authentication

privacyIDEA-200pxFuzzy Authentication ist eine Idee, die mehr und auch weichere Kriterien in die Authentifizierungsentscheidung mit aufnimmt. Die ersten Merkmale, die nun implementiert sind, sind die Anzahl der durchgeführten Authentifizierungen. So kann die Anzahl der erfolgreichen Anmeldevorgänge innerhalb eines gewissen Zeitraums begrenzt werden. Auch die Anzahl der fehlgeschlagenen Anmeldevorgänge kann begrenzt werden. Diese Einstellungen können zu einem besseren Brute-Force-Schutz beitragen.

Wenn man weiß, dass ein Mitarbeiter sich nur einmal morgens anmeldet, so kann man bspw. nur eine erfolgreiche Anmeldung pro Stunde zulassen.

Auch lässt sich die maximale Zeit definieren, die zwischen erfolgreichen Anmeldeprozessen liegen darf.

So kann man sicherstellen, dass mindestens einmal pro Woche oder einmal pro Monat eine Anmeldung durchgeführt wird. So kann verhindert werden, dass unkontrolliert Token „verwaisen“. Es kann ansonsten Token geben, an die keiner mehr denkt, die aber immer noch gültig und benutzbar sind. Hiermit lässt sich verhindern, dass solche Token, die schon seit Monaten in einer Schublade liegen, plötzlich von unautorisierten Personen verwendet werden können.

Neue Funktionalitäten

  • Die U2F-Unterstütung wurde verbessert. Trusted Facets können definiert werden.
  • Challenge Response und U2F für SAML wurden hinzugefügt.
  • Das WebUI unterstützt nun Themes.
  • Am WebUI kann man sich mit HTTP Basic Auth und REMOTE_USER anmelden.
  • Fuzzy Authentication: Zeit und Anzahl der Authentisierungsversuche können beschränkt werden.

Erweiterungen

  • Die „Mangle“ Richtlinie kann nun auch für SSH Keys angewendet werden.
  • Das ownCloud plugin unterstützt nun Realms.
  • Der SQLResolver unterstützt nun Drupal Passwörter.
  • Während des Rollouts des Tokens kann der Gültigkeitszeitraum angegeben werden.
  • Der Standard-Typ des auszurollenden Tokens im WebUI kann angegeben werden.
  • Der LDAP-Resolver unterstützt nun LDAP Scopes.

Univention Summit 2016

univention_summit_2016_logoDie NetKnights GmbH wird am 21. Januar 2016 auf dem Univention Summit in Bremen vertreten sein. Dort wird Cornelius Kölbel auch einen Vortrag über privacyIDEA halten. Am Demo-Point können Sie ein persönliches Gespräch suchen und finden.

Kommen Sie und erfahren Sie Hintergründe und Pläne für das Jahr 2016.

 

privacyIDEA PAM und RADIUS mit OTP auf Univention Corporate Server

privacyIDEA ist bereits seit einer Weile auf UCS verfügbar. (Wir berichteten früher)

privacyIDEA4UCS wird nun um zwei weitere Apps im Univention App Center ergänzt: privacyIDEA PAM und privacyIDEA RADIUS.

privacyIDEA selber wird als zentrale Authentisierungsinstanz zur Anmeldung mit zwei Faktoren (Wissen und Besitz) an zentraler Stelle einmal in Ihrem Netzwerk installiert. Nun können beliebige Applikationen die Login-Daten der Benutzer, die sich anmelden wollen, zur Validierung an privacyIDEA weiterreichen. privacyIDEA ist dann in der Lage, das übermittelte Passwort nach statischem Passwort-Anteil und OTP-Anteil zu trennen.

privacyidea-pam-logoprivacyIDEA PAM ermöglicht, an allen PAM-basierten Applikationen eine Zwei-Faktor-Authentisierung umzusetzen. Das können der lokale Login am Server oder am Desktop oder auch die Anmeldung mittels SSH sein. Bspw. kann so gezielt der administrative Zugriff auf die Server mit einem zweiten Faktor wie einer OTP-Karte, einer Smartphone App wie Google Authenticator oder einem Yubikey abgesichert werden.
Hierzu wird auf jedem Server, der derart abgesichert werden soll, die schlanke App privacyIDEA PAM installiert. Anschließend muss privacyIDEA PAM noch über eine UCR-Variable aktiviert werden:

ucr set privacyidea/pam/enable=1

Bei Bedarf kann sogar die Anmeldung an der Univention Management Console mit einem zweiten Faktor abgesichert werden. Dies ist zur Zeit allerdings nicht automatisiert möglich, sondern erfordert den manuellen Eingriff in eine Konfigurationsdatei. Auch hierzu steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

privacyidea-radius-logoprivacyIDEA RADIUS installiert ein zusätzliches Plugin zu der Univention-eigenen RADIUS App. Wird die privacyIDEA RADIUS App mittels

ucr set privacyidea/radius/enable=1

aktiviert, so werden die Credentials, die über das RADIUS Protokoll gesendet werden, auch wiederum gegen den privacyIDEA Server validiert. Dabei kann RADIUS und privacyIDEA RADIUS durchaus auf einem anderen System als dem privacyIDEA Server installiert sein.

Ein solches RADIUS System, das die Benutzer mittels OTP authentifiziert, kann nun verwendet werden, um RADIUS-fähige Applikationen stärker abzusichern. Das RADIUS Protokoll wird üblicher Weise von Firewalls und VPNs unterstützt. Auf diese Art können schnell und einfach Gefahren wie Shoulder-Surfing, Key-Logger oder Brute-Force-Angriffe auf Remote-Zugänge minimiert werden.

Für privacyIDEA4UCS bietet die NetKnights GmbH verschiedene Support-Stufen an. Darin ist auch die Nutzung der Komponenten privacyIDEA PAM und privacyIDEA RADIUS enthalten.

Mit privacyIDEA PAM und privacyIDEA RADIUS stehen nun Schnittstellen zur Verfügung, um Ihre Applikationen leicht und schnell besser abzusichern. Nutzen Sie diese Chance, um Ihre Sicherheit zu erhöhen. Damit Privates privat bleibt.

privacyIDEA 2.3 auf Univention Corporate Server

Logo_UCS_certifiedprivacyIDEA 2.3 ist nun auch auf dem Univention Corporate Server verfügbar. Ab sofort kann privacyIDEA 2.3 leicht aus dem AppCenter heraus installiert werden. Bestehende Installationen mit Version 2.2 können leicht aktualisiert werden.

 

 

 

Die Neuerungen sind:

  • Konnektor für Zertifizierungsstellen hingefügt.
  • Neuer Tokentyp „certificate“, um x509 Benutzerzertifikate zu verwalten.
  • Neuer Tokentyp „registration“, um Massenrollout zu erleichtern.
  • Neuer Tokentyp „Email“, der OTP-Werte per Mail versendet.
  • „First Steps“ in der Online Dokumentation.
  • Gültigkeitsperiode von Token.
  • Auditlog per Download als CSV Datei.
  • Prioritäten von Resolvern verhindern Konflikt, wenn ein Benutzername mehrfach in einem Realm vorkommt.
  • TYPO3 Plugin.
  • SCIM Resolver.