Beiträge

privacyIDEA 2.11 mit RADIUS Migration auf dem Univention Corporate Server

privacyIDEA auf dem Univention Corporate Server

privacyIDEA 2.11 steht nun auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA 2.11 ermöglicht mit den neuen Richtlinien zur bedingten Weiterleitung von Authentifizierungs-Anfragen an externe RADIUS-Server eine sehr leichte und sichere Migration von alten OTP-Systemen. Logo_UCS_certified

Mehr zur Migration mit der RADIUS-Weiterleitung finden Sie in den Release-Notes.

SLA und Subscription

Seit geraumer Zeit ist privacyIDEA auf dem Univention Corporate Server verfügbar und bietet auf dieser Plattform eine leichte Installation, Wartung und Updates. Für den Betrieb von privacyIDEA auf dem Univention Corporate Server ist ein gültiger SLA nötig. Eine Test-Subscription können Sie sich hier beantragen.

privacyIDEA 2.11 ermöglicht leichte Migration

Heute wurde privacyIDEA 2.11 veröffentlicht. Sie können privacyIDEA von Github herunterladen oder aus dem Python Package Index oder aus dem Launchpad-Repository auf Ubuntu 14.04 installieren.

Die Aktualisierung von privacyIDEA auf einer Ubuntu-Installation funktioniert einfach aus dem Launchpad-Repository heraus. Wenn Sie eine PIP Installation aktualisieren, achten Sie bitte darauf, dass für die neue Version eine neue Datenbanktabelle angelegt werden muss.

Migration alter OTP-Systeme

privacyIDEA 2.11 erleichtert die Migration eines alten, proprietären OTP-Systems nach privacyIDEA. Hierzu wurde die RADIUS passthru Richtlinie ergänzt. privacyIDEA kann die Authentifizierungsanfragen aller Benutzer, die noch keinen Token innerhalb von privacyIDEA haben, an einen externen RADIUS-Server weiterleiten. Dies geschieht völlig transparent und ist innerhalb einer Minute konfiguriert. Sobald ein Benutzer einen Token innerhalb von privacyIDEA zugewiesen bekommt, erfolgt die Authentifizierung innerhalb von privacyIDEA.

LDAP Erweiterungen

Der LDAP-Resolver unterstütz nun alle Sonderzeichen im Benutzernamen und auch im Passwort. Bei einem Active Directory mit Windows 2012 kann nun auch die objectGUID des Benutzerobjekts als UID verwendet werden.

Die Suche im LDAP erfolgt nun seitenweise. So können Sie alle Benutzer im LDAP-Verzeichnis auflisten.

Changelog

Das komplette Changelog finden Sie bei Github.

Service und Support

Kunden mit einem gültigen Supportvertrag erhalten Pakete für Ubuntu, Redhat/CentOS und später den Univention Corporate Server. Abhängig von der gebuchten Support-Stufe führt die NetKnights GmbH auch das Update für Sie durch.

Migration einer proprietären OTP / Zwei-Faktor-Lösung

Leichte Migration eines bestehenden OTP-Systems zu privacyIDEA

Oftmals entscheiden sich Kunden, ihr bestehendes, proprietäre OTP-System zur Zwei-Faktor-Authentifizierung abzulösen. Dies hat verschiedene Gründe. Das bestehende System ist zu alt und es gibt keine Updates mehr. Gleichzeitig wird es zu unflexibel. Die für das System verfügbaren Token erfüllen nicht mehr die Anforderungen der heutigen Zeit. Unternehmen wachsen zusammen und jedes Unternehmen bringt seine eigene, proprietäre Lösung mit. Manchmal ist das bestehende System auch einfach zu teuer oder im Zuge der Vertrauens- und Überwachungsthematik möchte man lieber ein Open Source System einsetzen.

Dies sind Gründe, wieso sich Kunden für die Nutzung von privacyIDEA entscheiden.

privacyIDEA bietet schon heute verschiedene Möglichkeiten — bspw. mit den RADIUS Token, eine solche Migration sanft durchzuführen. Doch mit der Version 2.11 wird eine solche Migration nochmal leichter. privacyIDEA 2.11 wird am 18. März veröffentlicht. Wenn Sie auf dem Laufenden bleiben wollen, abonnieren Sie bitte hier unseren Newsletter.

Zentral definierte RADIUS-Server

In privacyIDEA 2.11 ist es möglich, an zentraler Stelle mehrere RADIUS-Sever zu konfigurieren. Dies ist vergleichbar mit der letztens eingeführten Möglichkeit, zentral SMTP-Server zu konfigurieren.

Zentral definierte RADIUS-Server

Zentral definierte RADIUS-Server „RSA SecurID“.

Diese RADIUS-Server können für den RADIUS-Token oder auch in den Richtlinien verwendet werden.

Bisher (bis einschließlich privacyIDEA 2.10) muss für jeden Benutzer in privacyIDEA ein RADIUS-Token ausgestellt werden. Dieser RADIUS-Token verweist auf den alten RADIUS-Server des abzulösenden OTP-Systems. Solange der Benutzer also noch keinen OTP-Token innerhalb von privacyIDEA hat, kann er sich noch immer mit dem alten Token authentisieren.

Eine Richtlinie für alle Benutzer

Ab Version 2.11 können die zentral definierten RADIUS-Server in den privacyIDEA-Richtlinien verwendet werden.

policy-radius-passthru

Der zentral definierte RADIUS-Server „RSA SecurID“ wird in der passthru-Policy verwendet.

Hierzu wurde die bereits existierende passthru-Richtlinie erweitert. Die passthru-Richtlinie greift, wenn ein Benutzer innerhalb von privacyIDEA noch keinen Token zugewiesen bekommt. Die Authentifizierungsanfrage wird dann an das LDAP oder AD weitergereicht oder – nun neu in 2.11 – an einen konfigurierten RADIUS-Server.

Das bedeutet, dass in einem sanften Migrationsszenario von Ihrem alten OTP-System hin zu privacyIDEA nur noch eine einzige Richtlinie zu definieren ist, und Sie nach und nach allen Benutzern einen neuen Token innerhalb von privacyIDEA ausstellen können!

Migrieren!

Das hier beschriebene Szenario funktioniert problemlos für alle Systeme, die einen RADIUS-Server bereitstellen. Darunter Systeme wie Kobil, RSA SecurID, SafeNet, Vasco (in alphabetischer Reihenfolge).

Sprechen Sie uns an!

privacyIDEA4UCS als Appliance Image

privacyIDEA4UCS ist zum schnellen Testen als fertiges Appliance Image für VMWare ESX, KVM und Virtual Box verfügbar.

Das Image bringt ein fertig installierten Univention Corporate Server als Basis mit. privacyIDEA und die RADIUS Komponenten sind ebenfalls bereits fertig installiert. Wenn Sie das Image starten, müssen Sie lediglich noch die IP-Konfiguration und die Domänenkonfiguration durchführen.

Dabei können Sie entscheiden, ob Sie eine neue Domäne anlegen oder der Server einem bestehenden Active Directory beitreten soll.

Nach kurzer Zeit ist das System fertig konfiguriert und Sie können Sich an dem Management-UI anmelden und erste Token ausrollen.

Die privacyIDEA4UCS Appliance ist geeignet, wenn Sie sich schnell einen ersten Eindruck verschaffen möchten. Nach wenigen Minuten ist das System einsatzbereit. privacyIDEA4UCS selber eignet sich, wenn Sie durch und durch eine Lösung mit professionellem Support – sowohl für das Basis-Betriebssystem als auch für die Applikation privacyIDEA –  benötigen.

Hier können Sie die Images herunterladen. Bitte teilen Sie uns kurz Ihre Email-Adresse mit. Wir werden Sie lediglich einmal kontaktieren, um uns nach Ihrem Feedback zu erkundigen.

[contact-form-7 404 "Not Found"]

Bitte beachten Sie

Wenn Sie die privacyIDEA Appliance mit einem existierenden Active Directory verbinden, wird kein Token Administrator automatisch angelegt. Daher müssen Sie die folgenden Schritte durchführen, um einen oder mehrere Token Administratoren anzulegen:

  1. Melden Sie sich an der privacyIDEA Maschine als root an.
  2. Führen Sie die folgenden Befehler aus:
    source /opt/privacyidea/privacyidea-venv/bin/activate
    pi-manage admin add admin admin@localhost

    Hierbei wird ein Token Administrator „admin“ angelegt und Sie werden nach einem Passwort gefragt.

  3. Nun können Sie Sich mit diesem Account am privacyIDEA Management UI anmelden.

privacyIDEA PAM und RADIUS mit OTP auf Univention Corporate Server

privacyIDEA ist bereits seit einer Weile auf UCS verfügbar. (Wir berichteten früher)

privacyIDEA4UCS wird nun um zwei weitere Apps im Univention App Center ergänzt: privacyIDEA PAM und privacyIDEA RADIUS.

privacyIDEA selber wird als zentrale Authentisierungsinstanz zur Anmeldung mit zwei Faktoren (Wissen und Besitz) an zentraler Stelle einmal in Ihrem Netzwerk installiert. Nun können beliebige Applikationen die Login-Daten der Benutzer, die sich anmelden wollen, zur Validierung an privacyIDEA weiterreichen. privacyIDEA ist dann in der Lage, das übermittelte Passwort nach statischem Passwort-Anteil und OTP-Anteil zu trennen.

privacyidea-pam-logoprivacyIDEA PAM ermöglicht, an allen PAM-basierten Applikationen eine Zwei-Faktor-Authentisierung umzusetzen. Das können der lokale Login am Server oder am Desktop oder auch die Anmeldung mittels SSH sein. Bspw. kann so gezielt der administrative Zugriff auf die Server mit einem zweiten Faktor wie einer OTP-Karte, einer Smartphone App wie Google Authenticator oder einem Yubikey abgesichert werden.
Hierzu wird auf jedem Server, der derart abgesichert werden soll, die schlanke App privacyIDEA PAM installiert. Anschließend muss privacyIDEA PAM noch über eine UCR-Variable aktiviert werden:

ucr set privacyidea/pam/enable=1

Bei Bedarf kann sogar die Anmeldung an der Univention Management Console mit einem zweiten Faktor abgesichert werden. Dies ist zur Zeit allerdings nicht automatisiert möglich, sondern erfordert den manuellen Eingriff in eine Konfigurationsdatei. Auch hierzu steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

privacyidea-radius-logoprivacyIDEA RADIUS installiert ein zusätzliches Plugin zu der Univention-eigenen RADIUS App. Wird die privacyIDEA RADIUS App mittels

ucr set privacyidea/radius/enable=1

aktiviert, so werden die Credentials, die über das RADIUS Protokoll gesendet werden, auch wiederum gegen den privacyIDEA Server validiert. Dabei kann RADIUS und privacyIDEA RADIUS durchaus auf einem anderen System als dem privacyIDEA Server installiert sein.

Ein solches RADIUS System, das die Benutzer mittels OTP authentifiziert, kann nun verwendet werden, um RADIUS-fähige Applikationen stärker abzusichern. Das RADIUS Protokoll wird üblicher Weise von Firewalls und VPNs unterstützt. Auf diese Art können schnell und einfach Gefahren wie Shoulder-Surfing, Key-Logger oder Brute-Force-Angriffe auf Remote-Zugänge minimiert werden.

Für privacyIDEA4UCS bietet die NetKnights GmbH verschiedene Support-Stufen an. Darin ist auch die Nutzung der Komponenten privacyIDEA PAM und privacyIDEA RADIUS enthalten.

Mit privacyIDEA PAM und privacyIDEA RADIUS stehen nun Schnittstellen zur Verfügung, um Ihre Applikationen leicht und schnell besser abzusichern. Nutzen Sie diese Chance, um Ihre Sicherheit zu erhöhen. Damit Privates privat bleibt.