Beiträge

Email-Archivierung und sichere Authentifizierung

In diesem Artikel zeigen wir, wie Sie den Zugang zu Ihrem Benno-Mailarchiv mit Hilfe von privacyIDEA mit Mehr-Faktor-Authentifzierung absichern können und erklären, wieso Sie ihr Mailarchiv so schützen sollten.

Ordnungsgemäße Buchführung und die DSGVO

Unternehmen müssen Emails, die zu Geschäftsabschlüssen führen mit den entsprechenden Aufbewahrungsfristen archivieren. Grundlage hierfür sind die Abgabenordnung (AO), das Handelsgesetzbuch (HGB) und die Grundsätze ordnungsgemäßer Buchführung (GoBD). Das Benno Mailarchiv bietet hierfür ein übersichtliches Paper, das die Rahmenbedingungen genauer aufzeigt. Kurz gesagt können potentiell alle Emails zu Geschäftsanbahnungen, Verkäufen und Vertragsabschlüssen führen und sind daher zu archivieren. 

Doch die so archivierten Emails werden natürlich auch personenbezogenen Daten enthalten. Unter dem Licht der EU-Datenschutzgrundverordnung ergibt sich ein neuer Aspekt. Denn im Bundesdatenschutzgesetz und natürlich in der EU-Datenschutzgrundverordnung (DSGVO) wird in Paragraph 25  gefordert, dass Unternehmen geeignete Maßnahmen auf dem Stand der Technik treffen sollen,  um die Datenschutzgrundsätze zu realisieren. Welche personenbezogenen Daten enthalten Ihre Emails und wie schützenswert sind diese? Dieser Blogbeitrag kann keine Rechtsberatung darstellen. Doch muss man sich klar machen, dass ein Mail-Archiv-System potentielle Risiken in Bezug auf Datenschutz birgt. Die komplette Indexierung der Emails ermöglicht eine Volltextsuche, die in Sekundenbruchteilen wie erwartet die Informationen zu einem Vertragsabschluss liefern kann. Aber eben auch zu dem Krankheitsverlauf der Mitarbeiter oder anderen brisanteren personenbezogenen Daten. Er ist also naheliegend, den Zugang zu einem solchen System entsprechend stark zu schützen.

Ein einfaches Passwort stellt nach dem heutigen Stand der Technik in unseren Augen keinen starken Zugangsschutz mehr dar. Zu schnell sind Passwörter ausgespäht oder von Keyloggern im großen Maßstab abgeerntet. Ein Angreifer hat somit schnell Zugriff auf die persönliche Korrespondenz des einzelnen Mitarbeiters oder schlimmer noch, Zugriff auf das gesamte Mailarchiv, wenn der Angreifer das Administrator-Passwort herausgefunden hat. Schon ist der Datenschutzvorfall groß und Ihr Unternehmen ist in der Meldepflicht. Einen starken Zugangsschutz kann heute nur eine Mehr-Faktor-Authentifizierung mit bspw. privacyIDEA gewährleisten.

Ihr Benno Mailarchiv

Deswegen wollen wir den Zugang zu Ihrem Benno Mailarchiv mit einem zweiten Faktor schützen. Nur wenn der Mitarbeiter oder der Administrator sein Passwort weiß und einen Besitzfaktor – bspw. einen Hardware-Token oder ein Smartphone – mitbringt, kann er Zugriff auf das Mailarchiv bekommen. Die Hürde für den Angreifer ist deutliche höher gelegt.

Um dem Benno Mailarchiv die Zwei-Faktor-Authentifizierung gegen privacyIDEA beizubringen, genügt ein einfaches kleines Skript, das Sie bei github finden.

Laden Sie sich das Skript herunter:

wget https://raw.githubusercontent.com/privacyidea/privacyidea-benno-mailarchive/master/privacyidea_auth

und ebenso die Beispiel-Konfigurationsdatei:

wget https://github.com/privacyidea/privacyidea-benno-mailarchive/blob/master/benno.ini.example

Die Konfigurationsdatei benennen Sie um und legen Sie nach /etc/privacyidea/benno.ini.

In der Datei benno.ini müssen Sie nun ein paar Anpassungen vornehmen, vor allem definieren, unter welcher IP oder Hostname der privacyIDEA-Server erreichbar ist.

Schließlich teilen Sie benno mit, dass das gerade heruntergeladene privacyIDEA-Script für die Authentifizierung der Benutzer verwendet werden soll. Hierzu legen Sie einen symbolischen Link im Verzeichnis /etc/benno-web/auth.d/ an, der auf das Skript zeigt.

Das Skript hat Abhängigkeiten zum Pyhton-Modul ConfigObj. Unter Ubuntu installieren Sie dies bspw. mittels

sudo apt install python-configobj

privacyIDEA Server

Wie bei der Konfiguration des Skriptes schon erwähnt, benötigen Sie einen privacyIDEA Server in Ihrem Netzwerk. Dieser verwaltet alle Authentifizierungsobjekte (Smartphones, Tokens) der Benutzer und nimmt die Authentifizierungsanfragen des Benno Mailarchivs entgegen. Wenn Sie bereits ein privacyIDEA System in Ihrem Netzwerk installiert haben, sind Sie hier fertig.

Ansonsten finden Sie zahlreiche Anleitungen, privacyIDEA auf beliebigen Linuxsystemen zu installieren. Mit der privacyIDEA Enterprise Edition bietet die NetKnights außerdem ein System zur einfachen Installation auf Ubuntu oder Red Hat/CentOS mit entsprechenden Service Level Agreements.

Gerne steht Ihnen die NetKnights für alle Fragen rund um das Thema Mehr-Faktor-Authentifizierung und privacyIDEA zur Verfügung. Fragen Sie uns!

 

 

 

privacyIDEA Authenticator – der bessere Smartphone-Faktor

privacyIDEA Authenticator Smartphone App

Das Smartphone ist nicht mehr wegzudenken. Es ist zum täglichen Begleiter und zum digitalen Spiegelbild der eigenen Identität geworden.
Die gesellschaftlichen Implikationen zu erörtern ist heute nicht Thema. Wir nehmen einfach den Fakt wahr.

Das Smartphone als zweiter Faktor

Für viele Benutzer und Organisationen ist es deswegen auch naheliegend und attraktiv, das Smartphone für eine sichere oder auch bequemere Anmeldung zu nutzen. Mit Hilfe von Applikationen wie dem Google Authenticator soll das Smartphone zum zweiten Faktor bei der Anmeldung werden. Auch wenn wir das Smartphone nicht als einen sehr sicheren Faktor ansehen, so hat das privacyIDEA Authentication System seit jeher das Smartphone als zweiten Faktor unterstützt.

Werfen wir kurz einen Blick zurück auf die Sicherheit einer App wie dem Google Authenticator. Denn die Problematik, die beim Ausrollen dieses Faktors an die Benutzer entsteht, haben wir in einem früheren Blogbeitrag bereits diskutiert. Der einfache und aber auch sehr unsichere Rollout einer Smartphone-App hat uns lange umgetrieben und schließlich dazu bewegt, eine eigene Smartphone-App zu entwickeln. Wir stellen heute den privacyIDEA Authenticator vor, den wir ebenfalls transparent in einem Github-Repository entwickeln.

Sicherer Rollout

Das erste zentrale, neue Feature auf der langen Featureliste ist, den Rollout-Prozess der Smartphone-App sicherer zu machen. Dies erreicht der privacyIDEA Authenticator, indem beim Rollout auch das Smartphone selbst eine Schlüssel-Komponente generiert und der eigentliche OTP-Schlüssel aus der Server-Komponente und der Smartphone-Komponente zusammengesetzt wird.

Der QR-Code eines TOTP-Tokens kann jederzeit von beliebig vielen Smartphones gescannt werden und liefert immer den gleichen OTP-Wert.

Damit wird effektiv das leichte Kopieren des geheimen Schlüssels während des Rollouts verhindert. Durch das zu leichte Kopieren konnten Benutzer oder Angreifer einfach und unbemerkt das Authentifizierungsdevice und damit die Identität des Benutzers klonen. Mit der privacyIDEA Authenticator App gehört dies nun der Vergangenheit an.

Beta-Tests

Die privacyIDEA Authenticator App ist abwärtskompatibel zum Google Authenticator oder FreeOTP. Ihr volles Potential spielt der privacyIDEA Authenticator mit dem privacyIDEA Server ab Version 2.21 aus. Ab dieser Version ist der gerade beschriebene, sichere Rollout (Two-Step-Enrollment) möglich.

Die privacyIDEA Authenticator App befindet sich im Beta-Status. privacyIDEA 2.21 wird ebenfalls diesen Monat veröffentlicht werden. Im Python Package Index bzw. im Developer PPA repository für Ubuntu 14.04LTS und 16.04LTS sind die Release Kandidaten bereits verfügbar.

Das privacyIDEA Server pre-Release kann installiert werden wie folgt:

pip install privacyidea==2.21dev2

oder die Repositories einbinden via

add-apt-repository ppa:privacyidea/privacyidea-dev

Mehr Infos zur Installation enthält die Online-Dokumentation.

Wer die privacyIDEA Authneticator App testen möchte, ist herzlich eingeladen, Kontakt mit uns aufzunehmen. Sie haben die Mögichkeit im Vorfeld vor dem Release Einfluss auf die App zu nehmen. Der privacyIDEA Authenticator ist für Android verfügbar. Die Installlation im Beta-Test erfolgt ganz normal über den Playstore, so dass keine Änderungen an ihrem Smartphone nötig sind.

Kontaktieren Sie uns noch heute für die Teilnahme am Beta-Test.

Transaktionssignatur und verteilte Authentifizierung mit privacyIDEA4UCS 2.20.1

Die Enterprise-Version 2.20.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar.
privacyIDEA 2.20.1 kann leicht aus dem App Center installiert oder aktualisiert werden.

Bitte beachten Sie, dass sich das Subskription-Handling von privacyIDEA4UCS geändert hat. Sie benötigen nun keine Lizenzdatei mehr, sondern ein Subskriptions-Datei, die über das normale Subskription-Modell von privacyIDEA läuft. Bestandskunden haben bereits ein aktualisierte Datei erhalten. Wenn sie privacyIDEA im Demo-Betrieb testen, dann erstellen Sie sich bitte hier  eine neues privacyIDEA4UCS Subsckitpions-Datei.

OCRA, Display-TAN und Federation in privacyIDEA 2.20.1

Wir berichteten bereits über das eigentliche Release von 2.20.1. Nun können sich auch die UCS-Kunden über neue Funktionen freuen:

Als neue Tokentypen werden nun allgemein OCRA-Token aber auch die Display-TAN karte unterstützt. Ein OCRA-Token ist immer dann sinnvoll, wenn es nicht nur darum geht, eine Anmeldung mit Hilfe eines zweiten Faktors abzusichern, sondern wenn mit diesem zweiten Faktor auch Transaktionen freigegeben werden sollen. D.h. mit Hilfe eines OCRA Tokens kann ein Anwender Informationen beglaubigen. Der Empfänger kann kryptographisch sicherstellen, dass diese Informationen unverändert bei ihm angekommen sind und der Anwender, diese tatsächlich so beauftragt hat.

Weiterhin wurde das Event-Handler-Framework um den Federation-Handler erweitert. Dieser ermöglicht es, dass gezielt Authentisierungsanfragen an andere privacyIDEA-Server weitergeleitet werden. Dies ist in verteilten Strukturen interessant, wenn bspw. einzelne Abteilungen eigene privacyIDEA-Instanzen betreiben. Der zentrale, übergeordnete privacyIDEA-Server kann so Authetifizierungs-Requests in die einzelnen Abteilungen verteilen.

Ein komplettes Changelog finden Sie hier.

Holen Sie sich Ihre Subskriptions-Datei für privacyIDEA4UCS!

Für Fragen stehen wir gerne zur Verfügung.

privacyIDEA 2.20.1 Enterprise Edition veröffentlicht

Heute wurde die stabile Version 2.20.1 der privacyIDEA Enterprise Edition veröffentlicht.

Die Enterprise Edition erscheint in der Version 2.X.1 einige Wochen nach den jeweiligen öffentlichen Releases und enthält notwendige Bugfixes. Über die Version 2.20 berichteten wir bereits.

Die Version 2.20.1 behebt folgende Fehler:

  • Beim Einsatz von PostgreSQL-Datenbanken kann der Administrator nun wie erwartet nach dem Datum suchen.
  • Während des Enrollments eines Tokens wird im UI der default Realm vorbelegt.
  • Fehler bei PassOnNoUser und PassOnNoToken wurden behoben.
  • Die genkey-Funktionalität beim Ausrollen von Token wurde konsolidiert.

Die Enterprise Edition des Mehr-Faktor-Authentifizierungssystems privacyIDEA richtet sich an Unternehmen und Organisationen, die einen zuverlässigen Update-Prozess benötigen. Sie steht für Ubuntu 14.04LTS, Ubuntu 16.04LTS, CentOS7/RHEL7 und Univention Coroprate Server zur Verfügung.

privacyIDEA 2.20 ermöglicht verteilte Authentifizierung

Heute wurde privacyIDEA 2.20 veröffentlicht. Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Federation-Handler

Der neue Federation-Handler erlaubt es, Authentifizierungsanfragen an untergeordnete privacyIDEA-Instanzen weiterzuleiten.

So lassen sich beliebige Berechtigungsstrukturen abbilden, in denen zum Beispiel die Authentifizierungs-Anfrage einer zentralen privcayIDEA-Instanz zu dedizierten, untergeordneten Instanzen in verschiedenen Abteilungen weitergeleitet werden.

Geschäftsbereiche, Subunternehmer oder Abteilungen können somit die Token der eigenen Mitarbeiter unter eigener Kontrolle verwalten. Dennoch gibt es einen zentralen Einstiegspunkt für Authentifizierungsanfragen.

Diese Funktion eröffnet auch im Providerumfeld neue Möglichkeiten.

Neuer Tokentyp OCRA und DisplayTAN

In Version 2.20 wurde der allgemeine Tokentyp OCRA und damit die spezielle Ausprägung DisplayTAN eingeführt. Die DisplayTAN-Karte ist eine Hardware-Karte, die über Bluetooth-LE OCRA-Challenge-Daten entgegennehmen kann. Der Benutzer kann dieser auf dem eingebauten eInk-Display verifizieren und erhält auf Basis dieser Challenge-Daten einen OTP-Wert angezeigt.

OCRA ist in RFC 6287 spezifiziert. Ein üblicher Anwendungsfall ist das Signieren von Bank-Transaktions-Daten und die Erzeugung der TAN. Mit dem DisplayTAN Token kann dies sicher auf einer dedizierten Hardware geschehen. privacyIDEA ist nun das ideale System, um diese Geräte für Bank-Anwendungen zu verwalten. In einem früheren Blog-Post berichteten wir bereits.

Login mit mehreren Loginnamen

Der LDAP Resolver gestattet es nun, mehrere LDAP Attribute zu definieren, die als Login-Name verwendet werden können. So kann der Administrator konfigurieren, dass sich Benutzer mit ihrem sAMAccountName, der Email-Adresse oder bspw. der Telefonnummer anmelden können.

Authentifizierungs-Cache

Weiterhin kann der Administrator nun definieren, ob in bestimmten Fällen für bestimmte Benutzer für eine gewissen Zeit die Authentifizierungsanfrage gecacht werden soll. Somit ist für einen gewissen Zeitraum die erneute Anmeldung mit dem gleichen OTP-Wert möglich. Zwar führt dies den Sinn von 2FA mittels OTP ad absurdum, wenige ungünstig implementierte Applikationen können jedoch davon profitieren. Ein kleiner Vorteil ist, dass sich dieses Verhalten über eine Zeit- und Client-IP-abhängige Richtlinie steuern lässt.

Weitere Funktionen

Viele Richtlinien erlauben nun auch die Nutzung von Resolvern. So lässt sich noch feiner granuliert das Verhalten für unterschiedliche Benutzergruppen anpassen.

Während des Rollout-Prozesses einer Smartphone-App kann der Benutzer, wenn er glaubt, dass ein Angreifer den angezeigten QR-Code abgegriffen hat, diesen neu generieren.

Die Ereignisse im Eventhandler-Framework können nun in einer selbst definierten Reihenfolge sortiert werden. Damit lassen sich die Reaktionen von privacyIDEA noch genauer festlegen.

Die Eventhandler können nun Zeiten und Zeitdifferenzen in den Bedingungen nutzen.

Mit einem Challenge Response-Token lässt sich ebenfalls die UI entsperren.

Während der Installation der Ubuntu-Pakete wird automatisch PGP-Schlüssel erzeugt, mit dem später die Import-Dateien der Token-Seeds verschlüsselt werden können.

Ein komplettes Changelog finden Sie bei Github.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Open Source und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie wollen mehr wissen? Rufen Sie uns an!

World Wide Web Consortium implementiert Zwei-Faktor-Authentifizierung mit privacyIDEA

Kassel, 26.09.2017. Das World Wide Web Consortium (W3C) führt privacyIDEA ein, um den Zugang zur eigenen Infrastruktur mit einem zweiten Faktor abzusichern. W3C hat sich auf Grund der Flexibilität und im Falle von Sigle Sign on wegen der einfachen Handhabung für Benutzer für privacyIDEA entschieden.

Die Dienste, die das W3C anbietet, und vor allem auch die Benutzer sind weltweit verteilt. Authentisierungsgeräte an die Benutzer zu verteilen ist nicht praktikabel. Ebenso ist es nicht sinnvoll, nur einen Typ von Authentisierungsgeräten zuzulassen. Für das W3C ist es ein großer Vorteil, dass privacyIDEA viele verschiedene Typen solcher Authentisierungsgeräte auch unterschiedlicher Hersteller verwalten kann. Dies können Smartphones mit Apps oder SMS, klassische Hardware-OTP-Token, Nitrokeys, YubiKeys, U2F-Geräte, TiQR-Token uvm. sein.
Die schlanke REST API von privacyIDEA macht es dem W3C einfach, Funktionen auch in das bereits bestehende Benutzerportal zu integrieren. privacyIDEA wird mit der bereits bestehenden Benutzerverwaltung verbunden. Die Benutzer werden auswählen können, ob sie sich selber eine Smartphone-App (wie den Google Authenticator) oder ein U2F-Gerät registrieren möchten. Abhängig von dem Typ, kann dem Benutzer dann Zugriff auf Resourcen unterschiedlicher Sicherheitstufen gewährt werden.

„Die Arbeit mit NetKnights ist sehr effektiv. Von Ihnen beziehen wir genau die richtige Beratungsleistung, um die Open Source Software privacyIDEA in unser Netzwerk und unsere Abläufe zu integrieren“ sagte Ted Guild, Head of W3C Systems. Cornelius Kölbel, Geschäftsführer der NetKnights, fügte hinzu: „W3C steht für Web-Standards. Daher freut es uns sehr, dass sich das W3C für privacyIDEA entschieden hat. Für eine offene Lösung, die offenen Entwicklungsstrategien folgt und offene Standards beherzigt und implementiert.“

Über das World Wide Web Consortium (W3C)

Das World Wide Web Consortium (W3C) ist ein internationales Konsortium, in dem Mitgliedsorganisationen, ein fest angestelltes Team und die Öffentlichkeit gemeinsam daran arbeiten, Standards für das World Wide Web zu entwickeln. Das Ziel des W3C ist es, das Potential des Web vollständig zu entfalten, indem technische Standards und Richtlinien definiert werden, so dass das Web offen, interoperabel und für alle auf der Welt nutzbar bleibt. Die W3C Standards HTML5 und CSS sind grundlegende Technologien auf denen moderne Webseiten aufbauen. Für seine Arbeit, Videos mit Titeln und Untertiteln im Web leichter nutzbar zu machen, erhielt das W3C 2016 den Emmy Award.

Die Vision „eines Webs“ bringt viele tauschend Menschen aus mehr als 400 Mitgliedsorganisationen zusammen. Die Mitglieder repräsentieren viele verschiedene Branchen. Organisatorisch wird das W3C gemeinschaftlich vom MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) in den U.S.A., dem European Research Consortium for Informatics and Mathematics (ERCIM) mit Hauptsitz in Frankreich, der Keio Universität in Japan und der Beihang Universität in China betrieben.

Mehr Informationen finden Sie unter www.w3.org.

Über NetKnights und privacyIDEA

Die NetKnights GmbH, Kassel, ist ein unabhängiges IT-Security-Unternehmen, das Dienstleistungen und Produkte aus den Bereichen starke Authentisierung, Identitätsmanagement sowie Verschlüsselung anbietet.

Die NetKnights GmbH stellt das Core-Entwickler-Team für die modulare Authentifizierungslösung privacyIDEA, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. privacyIDEA hat als Open-Source-Software kein herstellerbestimmtes End-of-Life und lässt sich damit auf unbegrenzte Zeit nutzen. Für den kritischen Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH eine Enterprise Edition mit verschiedenen Subskriptions- und Support-Stufen an.

Die NetKnights GmbH präsentiert privacyIDEA vom 10.-12. Oktober 2017 auf der it-sa in Nürnberg, Stand 10.1-208.

NetKnights mit privacyIDEA auf der FrOSCon

Am Wochenende waren wir in Sankt Augustin an der Hochschule Bonn-Rhein-Sieg. Dort fand zum zwölften mal die „Free and Open Source Software Conference“ kurz FrOSCon statt. Die NetKnights GmbH ist dort als Sponsor aufgetreten, hatte einen Ausstellungsstand und wir haben in einem Vortrag über den privacyIDEA LDAP Proxy berichtet.

Aufbau

Am Vorabend wurde der kleine Messestand aufgebaut. Ganz in der Nähe vom heißbegehrten T-Shirt-Stand und der Treppe zum Obergeschoss kam vor allem am Samstag viel Laufkundschaft vorbei.privacyIDEA ist Mehr-Faktor-Authentifizierung, die befreit.

Die privacyIDEA Enterprise Edition ist Open Source. D.h. mit dem Einsatz von privacyIDEA können Unternehmen vermeiden, dass die Software irgendwann End-Of-Sale oder End-Of-Life geht. Gegenüber Online-2FA-Lösungen wie Duo, ist sogar klar, dass die eigenen privacyIDEA-Instanz im eigenen Unternehmen niemals eingestellt werden wird, Leistungen verändert werden, man machtlos gegen Preisanhebungen ist oder Daten nicht wegmigrieren kann.

Die unglaubliche Schnittstellenvielfalt, die Offenheit und das neue Event-Handler-Framework ermöglichen dem Administrator außerdem, viele Aufgaben zu automatisieren. Der Rollout an große Benutzerzahlen wird einfacher, Helpdesk-Funktionen erfordern weniger manuelle Schritte. Die IT-Abteilung spart wertvolle Zeit bei alltäglichen Aufgaben und gewinnt somit die Freiheit, sich mit neuen Projekten zu befassen.

Diese Flexibilität und die damit gewonnene Freiheit gefällt vielen.

Wenn Sie die FrOSCon verpasst haben, schauen Sie doch einfach dieses Jahr bei unserem Auftritt auf der Business-Messe it-sa in Nürnberg vorbei!

Freunde

Am Vorabend des Aufbaus schlenderten wir über die Ausstellung und stellten fest, dass noch nicht alle Stände aufgebaut hatte. Der Stand unserer Freunde von ownCloud war noch nicht aufgebaut. Dem konnten wir abhelfen: Vom ownCloud X Launchevent hatten wir noch ein Rollup in petto, das wir gleich dem Stand spendeten.

Sieht doch gleich viel besser aus!

Das ist Enterprise-taugliche Mehr-Faktor-Authentifizierung mit ownCloud!

So integriert sich privacyIDEA mit vielen verschiedenen Applikationen von CRM-Systemen, CMS, Ticketsystemen, VPN, Firewall, SSH und Desktop und hilft dabei sicherer, entspannter und befreiter auf die eigenen Daten zuzugreifen.

Skalierung

privacyIDEA skaliert von kleinen bis hin zu großen Installationen. Es lässt sich auf kleinen virtuellen Maschinen und in großen Clustern betreiben.

privacyIDEA skaliert von M über XL bis XXXL.

Vortrag

Am Sonntag Nachmittag hielten Friedrich Weber und Cornelius Kölbel dann den Vortrag zum neuen privacyIDEA LDAP Proxy. Der Mitschnitt ist bei Youtube verfügbar.

Abonnieren Sie den privacyIDEA Youtube Kanal oder den Newsletter der NetKnights.

privacyIDEA 2.19.1 auf Univention Corporate Server verfügbar

Die Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar. Mit der Version 2.19.1 vollzieht die NetKnights GmbH außerdem den Wechsel zur Unterstützung des Univention Corporate Servers 4.2. Kunden können somit leicht von einem UCS 4.1 mit privacyIDEA 2.18 auf den UCS 4.2 mit privacyIDEA 2.19.1 upgraden.

Neben den Verbesserungen im Univention Corporate Server 4.2 bringt auch privacyIDEA 2.19.1 weitere Verbesserungen mit. Dies sind unter anderem der generische Benutzer-Cache, der die Anmeldezeiten erheblich verkürzen kann und eine bessere Verwaltung von U2F-Geräten, die es dem Administrator erlaubt zu definieren, welche Geräte die Benutzer überhaupt registrieren und benutzen dürfen. Ein Token-Janitor ermöglicht es dem Administrator, verwaiste Token aufzufinden und zu deaktivieren oder zu löschen. Wir berichteten bereits allgemein über privacyIDEA 2.19.

Service Level Agreement und Subskriptionen

privacyIDEA auf dem Univention Corporate Server kann aus dem Univention App Center leicht und schnell installiert werden. Weitere Details und Test-Subskriptionen finden Sie auf unserer Produktseite. Die normalen Service Level Agreements für privacyIDEA erlauben außerdem die Nutzung von privacyIDEA4UCS.

NetKnights ist auf der it-sa in Nürnberg

In diesem Jahr wird die NetKnights GmbH mit den Partnern bytemine und Rempartec auf der IT-Security Messe it-sa in Nürnberg dabei sein. Die it-sa findet jährlich für drei Tage im Herbst in Nürnberg statt. In diesem Jahr ist sie vom 10.10.-12.10.2017. In den vergangenen Jahre stellten knapp 500 Aussteller ihre Leistungen und Produkte aus dem Bereich der IT-Sicherheit vor. Die it-sa zieht mit diesem Angebot jedes Jahr über 10.000 Fachbesucher in die Messehallen nach Nürnberg.

Neues von NetKnights und privacyIDEA

Nutzen Sie die Gelegenheit, sich über die Leistungen der NetKnights zu informieren. Speziell erfahren Sie mehr zur privacyIDEA Enterprise Edition, der privacyIDEA Appliance oder dem privacyIDEA LDAP-Proxy.

Besuchen Sie uns in Halle 10.1 Stand 208, direkt gegenüber von Cisco Systems oder vereinbaren Sie vorab schon einen Termin.

privacyIDEA Enterprise Edition und Appliance

Als neue Leistungen der privacyIDEA Enterprise Edition bietet die NetKnights nun ein eigenes Enterprise-Repository mit stabilen Enterprise-Paketen an. Diese werden kurz auf das eigentliche Feature-Release als ein Bug-Release veröffentlicht. So wird bspw. nach dem allgemeinen Release 2.19 ein Enterprise Release 2.191. veröffentlicht.

Das Enterprise-Repository enthält lediglich die Version 2.19.1, nicht die allgemeine Version 2.19. Der Vorteil ist, dass ein Kunde sich nicht mehr überlegen muss, ob er ein Update installieren soll oder nicht. Er kann automatisch von 2.18.1 auf 2.19.1 aktualisieren und hat dabei die Gewissheit, auf eine noch stabilere Version zu aktualisieren.

Weiterhin ist in dem Enterprise-Repository die neue privacyIDEA Appliance enthalten, über die wir bereits berichteten.

Das Enterprise-Repository ist für Ubuntu 16.04LTS verfügbar.

Enterprise Repository einbinden

Erstellen Sie eine Datei /etc/apt/sources.list.d/privacyidea-enterprise.list mit dem folgenden Inhalt.

deb https://yourname:yourpassword@lancelot.netknights.it/apt/stable xenial main

Die NetKnights GmbH weist Ihnen als Kunde Ihre eigenen Zugangsdaten zu, die Sie entsprechend bei yourname und yourpassword angeben.

Die Software-Pakete sind signiert. Um die Signatur überprüfen zu können, laden Sie sich den public Key herunter:

wget https://lancelot.netknights.it/NetKnights-Release.asc

Überprüfen Sie den Fingerabduck (0940 4ABB EDB3 586D EDE4 AD22 00F7 0D62 AE25 0082) des Schlüssels

gpg --with-fingerprint NetKnights-Release.asc

Fügen Sie den Schlüssel nun zum Schlüsselbund hinzu:

apt-key add NetKnights-Release.asc

Nun können Sie die Paketlisten aktualisieren und die privacyIDEA Appliance installieren:

apt update
apt install pi-appliance

Durch Aufruf des Tools pi-appliance können Sie nun

das erste Admin-Passwort setzen, mit dem Sie sich am WebUI anmelden,

alle RADIUS Clients konfigurieren oder

bspw. eine MySQL Master-Master-Replikation herstellen.

Sichern Sie sich die Appliance!