Beiträge

Zwei-Faktor-Authentisierung an der Univention Management Console

Mit privacyIDEA PAM 2.7 und Univention Corporate Server 4.1 wird es möglich, Zwei-Faktor-Authentisierung für Administratoren an der Univention Management Console z.B. mit einem Google Authenticator, einem Yubikey oder einem anderen Token zu erzwingen.

Installation privacyIDEA

Installieren Sie als erstes privacyIDEA auf einem beliebigen Univention Server in Ihrem Netzwerk.

Ausrollen eines Authentisierungs-Tokens

Melden Sie sich dann als administrator@admin an dem privacyIDEA UI an. Erstellen Sie für sich oder einen anderen Administrator einen Token. Bspw. können Sie einen Google Authenticator (Smartphone App im PlayStore oder App Store) ausrollen.

enroll-HOTP-Google-Authenticator

Google Authenticator ausrollen

Lassen Sie die Checkbox „OTP-Schlüssel auf dem Server erzeugen“ angehakt. So bekommen Sie einen QR-Code angezeigt, den Sie mit dem Google Authenticator auf Ihrem Smartphone einscannen müssen.

In der Token-Detail-Ansicht können Sie den Token testen.

test-token

Token testen

Geben Sie das Einmalpasswort, das die Google Authenticator App auf Ihrem Smartphone anzeigt, in dem Feld links neben „Token testen“ ein.

Richtlinie erstellen

Nun erstellen Sie eine Richtlinie, die Folgendes definiert:

Benutzer, die einen Token haben, müssen sich auch mit eben diesem Token anmelden. Benutzer, die keinen Token haben, müssen sich mit Ihrem LDAP-Passwort anmelden. Damit stellen wir sicher, dass sich Benutzer, die noch keinen Token haben, auch gegen privacyIDEA authentisieren können.

Die Richtlinie erstellen Sie unter Konfiguration -> Richtlinien. Wählen Sie den Scope authentication und als Aktion passthru.

policy

Eine neue Richtlinie erstellen, die Benutzer ohne Token gegen das LDAP authentifiziert.

Bei Bedarf können Sie die Gültigkeit der Richtlinie weiter beschränken. Für nähere Details sei auf das Online-Handbuch verwiesen oder fragen Sie die NetKnights GmbH.

Nun haben Sie einen funktionierenden privacyIDEA-Server, gegen den sich der Administrator mit dem Google-Authenticator authentisieren muss. Alle anderen Benutzer können sich mit Ihrem LDAP-Passwort gegen privacyIDEA authentisieren.

Installation privacyIDEA PAM

Nun müssen Sie auf dem Univention Server, auf dem Sie die UMC mit dem zweiten Faktor schützen wollen, die App privacyIDEA PAM in der Version 2.7 aus dem App Center installieren.

privacyIDEA-PAM-im-AppCenter

privacyIDEA PAM Version 2.7 auf dem Univention Corporate Server mit UMC installieren.

privacyIDEA PAM bietet kein eigenes Web Interface sondern stellt ein PAM Modul bereit, das mit dem privacyIDEA Server kommunizieren kann. Daher muss privacyIDEA PAM auch nicht auf dem gleichen System wie privacyIDEA selber installiert werden.

Wenn Sie die UMC auf mehreren Univention Corporate Servern schützen wollen, so installieren Sie bitte auf all diesen Servern privacyIDEA PAM.

Konfiguration PAM

Technische Hintergründe

Diesen Abschnitt müssen Sie nicht unbedingt lesen. Er hilft lediglich, wenn Sie hinter den Kulissen auf einem tieferen technischen Niveau verstehen möchten, wie die Authentisierung funktioniert.

Ansonsten können Sie gleich zum nächsten Abschnit „Konfiguration“ springen.

Das PAM Modul zu privacyIDEA „privacyidea_pam.py“ unterstützt die Option try_first_pass. Bei dieser Option wird das aktuell im PAM Stack aktive Passwort an das nächste Modul übergeben. D.h. das privacyIDEA PAM modul erhält als erstes das Passwort, das der Benutzer bereits eingegeben hat. Dies ist sein LDAP-Passwort, mit dem er sich bisher immer an der UMC angemeldet hat.

privacyIDEA PAM sendet dies nun an privacyIDEA. Falls der Benutzer keinen Token hat, wird das Passwort aufgrund der oben eingestellten Policy, erfolgreich authentifiziert. Der Benutzer ist eingeloggt.

Hat der Benutzer jedoch einen Token, so schlägt die Authentifizierung fehlt. Das privacyIDEA PAM Modul fordert ein neues Passwort an. Nämlich das Einmalpasswort des Google Authenticators oder des jeweiligen Tokens.

Der Benutzer bekommt von der UMC eine weitere Passwort-Eingabe angezeigt, in die er nun seinen OTP-Wert eintippen muss.

Konfiguration

privacyIDEA PAM lässt sich bequem über UCR Variablen konfigurieren. Dadurch teilen Sie privacyIDEA PAM mit, wo der privacyIDEA Server steht und dass es aktiviert ist:

ucr set privacyidea/pam/url=https://FQDN/privacyidea
ucr set auth/umc/addon/privacyidea=true

Damit haben Sie die Authentisierung gegen privacyIDEA für die UMC bereits aktiviert.

Mit den UCR-Variablen ist die Datei /etc/pam.d/univention-management-console neu geschrieben worden.

Benutzer, denen einen Token zugewiesen wurde, müssen sich nun zusätzlich zu dem Domänen-Passwort auch mit dem OTP-Wert dieses Tokens an der UMC anmelden.

Weitere Token

Sie wollen lieber einen Hardware-Token statt einer App auf dem Smartphone verwenden? Kein Problem – privacyIDEA unterstützt eine breite Anzahl an verschiedenenen Tokentypen.

privacyIDEA PAM und RADIUS mit OTP auf Univention Corporate Server

privacyIDEA ist bereits seit einer Weile auf UCS verfügbar. (Wir berichteten früher)

privacyIDEA4UCS wird nun um zwei weitere Apps im Univention App Center ergänzt: privacyIDEA PAM und privacyIDEA RADIUS.

privacyIDEA selber wird als zentrale Authentisierungsinstanz zur Anmeldung mit zwei Faktoren (Wissen und Besitz) an zentraler Stelle einmal in Ihrem Netzwerk installiert. Nun können beliebige Applikationen die Login-Daten der Benutzer, die sich anmelden wollen, zur Validierung an privacyIDEA weiterreichen. privacyIDEA ist dann in der Lage, das übermittelte Passwort nach statischem Passwort-Anteil und OTP-Anteil zu trennen.

privacyidea-pam-logoprivacyIDEA PAM ermöglicht, an allen PAM-basierten Applikationen eine Zwei-Faktor-Authentisierung umzusetzen. Das können der lokale Login am Server oder am Desktop oder auch die Anmeldung mittels SSH sein. Bspw. kann so gezielt der administrative Zugriff auf die Server mit einem zweiten Faktor wie einer OTP-Karte, einer Smartphone App wie Google Authenticator oder einem Yubikey abgesichert werden.
Hierzu wird auf jedem Server, der derart abgesichert werden soll, die schlanke App privacyIDEA PAM installiert. Anschließend muss privacyIDEA PAM noch über eine UCR-Variable aktiviert werden:

ucr set privacyidea/pam/enable=1

Bei Bedarf kann sogar die Anmeldung an der Univention Management Console mit einem zweiten Faktor abgesichert werden. Dies ist zur Zeit allerdings nicht automatisiert möglich, sondern erfordert den manuellen Eingriff in eine Konfigurationsdatei. Auch hierzu steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

privacyidea-radius-logoprivacyIDEA RADIUS installiert ein zusätzliches Plugin zu der Univention-eigenen RADIUS App. Wird die privacyIDEA RADIUS App mittels

ucr set privacyidea/radius/enable=1

aktiviert, so werden die Credentials, die über das RADIUS Protokoll gesendet werden, auch wiederum gegen den privacyIDEA Server validiert. Dabei kann RADIUS und privacyIDEA RADIUS durchaus auf einem anderen System als dem privacyIDEA Server installiert sein.

Ein solches RADIUS System, das die Benutzer mittels OTP authentifiziert, kann nun verwendet werden, um RADIUS-fähige Applikationen stärker abzusichern. Das RADIUS Protokoll wird üblicher Weise von Firewalls und VPNs unterstützt. Auf diese Art können schnell und einfach Gefahren wie Shoulder-Surfing, Key-Logger oder Brute-Force-Angriffe auf Remote-Zugänge minimiert werden.

Für privacyIDEA4UCS bietet die NetKnights GmbH verschiedene Support-Stufen an. Darin ist auch die Nutzung der Komponenten privacyIDEA PAM und privacyIDEA RADIUS enthalten.

Mit privacyIDEA PAM und privacyIDEA RADIUS stehen nun Schnittstellen zur Verfügung, um Ihre Applikationen leicht und schnell besser abzusichern. Nutzen Sie diese Chance, um Ihre Sicherheit zu erhöhen. Damit Privates privat bleibt.