Beiträge

Kassel, 2.12.2019. Der Open-Source-Security-Spezialist NetKnights hat eine neue Version der Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ bereitgestellt. Sie bietet neue Möglichkeiten, das Authentifizierungssystem durch flexible Konfiguration anzupassen und in die eigenen Workflows zu integrieren.

Mit der Version 3.2 von privacyIDEA erhält der Administrator zwei neue Event-Handler-Module, um Regeln zu definieren, die sowohl HTTP-Requests als auch HTTP-Responses der REST-API beliebig modifizieren können. Hierüber lassen sich Workflows hochgradig individualisieren. Es ist nun möglich, Audit-Informationen leicht an externe Log-Management-Tools wie Splunk oder Logstash weiter zu leiten und dort zu verarbeiten. Die Authentifizierung an der REST-API wurde so ausgebaut, dass eine robuste Integration in beliebige andere Applikationen umgesetzt werden kann.

privacyIDEA ist ab sofort über den Python Package Index und in Repositories für Ubuntu LTS verfügbar.

Zwei neue Event-Handler-Module machen flexibler

Bisher gab es im Event-Handler-Framework neben den Benachrichtigungen die Token-, Script-, Federation- und Statistik-Handler. Jetzt stehen mit dem Request-Handler und dem Response-Handler zwei weitere, sehr flexible Module zur Verfügung. Diese ermöglichen es dem Administrator, Regeln zu definieren, die abhängig von definierbaren Bedingungen einen REST-Request an privacyIDEA und auch den Response beliebig verändern.

Das Verhalten von privacyIDEA lässt sich somit äußerst flexibel anpassen. Naheliegende Anwendungsfälle sind beispielsweise das sichere Zurücksetzen von Passwörtern, spezielle Rollout-Szenarien oder individuelle Authentifizierungsregeln. Das System lässt sich damit beliebig auf unterschiedliche Anwenderanforderungen an das Verhalten und die gegebenen Abläufe anpassen.

Audit-Daten at your fingertip

privacyIDEA schreibt alle Logdaten, wer wann wie und was mit welchem Erfolg gemacht hat, in ein internes, strukturiertes SQL-Audit-Modul. Ab der Version 3.2 gibt es daneben ein File-Audit-Modul. Dessen Einträge lassen sich nun leicht in beliebige Log-Management-System wie Splunk oder Logstash importieren. Unternehmen bekommen so die Möglichkeit, Events – auch aus privacyIDEA – zu korrelieren, gegebenenfalls auftretende Probleme leichter zu identifizieren und zu bearbeiten.

Einbindung beliebiger Funktionen in eigene Portale

Über die REST-API lässt sich privacyIDEA bereits in die Portale eines Anwenders einbinden, beispielsweise in einen Browser-basierten Self-Service- oder internes, existierendes Management-Portal.

Dies ist durch den Einsatz von vertrauenswürdigen JSON Web Tokens in privacyIDEA mit der Version 3.2 erheblich einfacher geworden. Jetzt kann ein Endanwender häufige Aktionen wie den Bezug oder das Sperren eines Authentifizierungs-Token in einem bestehenden, vertrauten Web UI selbst ausführen, ohne die Unterstützung von Administratoren oder Helpdesk zu benötigen.

Diese Token-Management-Funktionen ließen sich auch in andere Applikationen einbauen, was besonders für Eigenentwicklungen interessant sein dürfte. Unverändert obliegt es jedoch dem privacyIDEA-Administrator, sämtliche Rechte zentral in privacyIDEA zu gewähren oder auch wieder zu entziehen.

Viele zusätzliche Erweiterungen

Auch die Richtlinien, die allgemein das Verhalten von privacyIDEA steuern, wurden erweitert. Der Administrator kann nun beliebige HTTP-Header als Bedingung für die jeweiligen Richtlinien heranziehen.

Event-Handler können ebenfalls den anfragenden HTTP-Client oder auch den Rollout-Zustand eines Tokens als Bedingung verwenden.

Der Benachrichtigungs-Handler enthält neben der Benachrichtigung per E-Mail und SMS nun auch die Möglichkeit, Nachrichten einfach in Dateien in einem Spool-Verzeichnis zu schreiben.

Auch das Verhalten des PUSH-Tokens wurden verbessert. Der Authentifizierungsablauf ist jetzt so gestaltet, dass er sich einfacher in andere Applikationen integrieren lässt.

Insgesamt gab es mehr als 25 Erweiterungen und sechs Bug-Fixes. Eine komplette Liste der Änderungen findet sich im Changelog bei Github.

privacyIDEA installieren oder aktualisieren

https://pypi.org/project/privacyIDEA/privacyIDEA 3.2 ist ab sofort über die öffentlichen Repositories für Ubuntu 16.04 und 18.04 verfügbar. Außerdem lässt sich die Software über den Python Package Index auf beliebigen Distributionen installierten. Enterprise Releases für Ubuntu LTS und RHEL/CentOS folgen in Kürze.

Besuchen Sie unseren Blog.

Abonnieren Sie unseren Newsletter.

Lesen Sie die Mitteilung auf privacyIDEA.org.

Die quelloffene Mehrfaktor-Authentifizierungssoftware privacyIDEA ist in der Version 3.0 erschienen. Als wesentliche Neuerung nennen die Entwickler des in Python geschriebenen Authentifizierungsservers die Unterstützung von Python 3, womit ein langfristig zukunftssicherer Betrieb sichergestellt wird. Mit Push-Token wurde außerdem ein neuer Tokentyp eingeführt, um die User Experience weiter zu verbessern. Außerdem wurden die Kryptographie-Module auf neue, zeitgemäße Bibliotheken umgestellt und ein generischer Queue-Mechanismus eingeführt, mit dem zeitintensive Aufgaben aus einer Authentifizierungsanfrage ausgelagert werden können.

Mit der Umstellung auf Python 3 reagieren die Entwickler von privacyIDEA auf die Einstellung des Supports von Python 2.7 ab 2020. Unternehmen und Endanwender, die privacyIDEA einsetzen, erhalten damit die Sicherheit, dass die Open-Source-Lösung auch in Zukunft modernste Standards unterstützt und kontinuierlich weiterentwickelt wird.

Als neuer Tokentyp für die Authentifizierung wurden sogenannte Push-Token eingeführt. Benutzer haben nun die Möglichkeit, bei der Anmeldung an einem Dienst Benachrichtigungen über die privacyIDEA Authenticator App zu erhalten und auf Ihrem Smartphone durch einen einfachen Klick die Anmeldung zu bestätigen.

Mehr Flexibilität für Administratoren

Die Kryptographie-Module wurden mit dem Release auf neue, zeitgemäßere Bibliotheken umgestellt. So wurde bspw. die nicht mehr gepflegte Bibliothek pycrypto entfernt und gegen cryptography ausgetauscht. Diese gilt als neuer De-Facto-Standard in der Python-Community.

Ein generischer Queue-Mechanismus erlaubt nun, dass zeitintensive Aufgaben aus dem eigentlichen Authentifizierungsrequest ausgelagert werden können. So kann der Administrator bspw. bei der Verwendung von E-Mail-Token definieren, dass eine E-Mail außerhalb der eigentlichen Authentifizierunganfrage gesendet wird, was die Wartezeit bei der Anmeldung verkürzt.

Das Datenbankschema sieht nun vor, dass ein Authentifizierungsobjekt (Smartphone, OTP-Token, Yubikey, X509-Zertifikat) mehreren Benutzern zugeordnet werden kann. Dadurch wird privacyIDEA flexibler und ermöglicht in Zukunft ein leichtere Wartbarkeit.

Bereits seit der Version 2.23 haben Administratoren die Möglichkeit, über beliebig gefilterte Ereignisse Statistiken zu erzeugen und diese zum Beispiel in Grafana darzustellen.
Mit der Version 3 lassen sich nun darüber hinaus eigene Module zur Speicherung der Statistik-Daten integrieren. Anfallende Daten können dadurch in Datenbanken abgespeichert werden, die für die Verarbeitung von Zeitreihen besser geeignet sind (z.B. Prometheus).

Für Ubuntu 16.04 LTS und Ubuntu 18.04 LTS stehen Repositories bereit, die eine leichte Installation von privacyIDEA 3.0 ermöglichen. Aus dem Python Package Index heraus kann es auf jeder anderen beliebigen Distribution installiert werden. Das Paket ist auch direkt über Github auffindbar: https://github.com/privacyidea/privacyidea
Aufgrund der weitreichenden Schema-Änderungen wird empfohlen, vor einem Update die Dokumentation unter https://privacyidea.readthedocs.io genau zu lesen.

Über privacyIDEA

privacylDEA ist ein Multi-Client- und Multi-Instanz-fähiges System zur Sicherung der Identitäten (ID) durch Mehr-Faktor-Authentifizierung. Es wird an zentraler Stelle zusätzlich zur Benutzerverwaltung installiert und verwaltet die Authentisierungs-Geräte (unterschiedliche Token, OTP-Token, Smartphone-Apps, U2F) und Zugriffsrechte der Benutzer. Es kann mit selbsterzeugtem Schlüsselmaterial umgehen.

Weitere Informationen finden Sie unter https://netknights.it/produkte/privacyidea. Wenn Sie sich über die neuesten Entwicklungen rund um privacyIDEA auf dem Laufenden halten möchten, besuchen Sie https://netknights.it/aktuelles/.

(Referenz privacyIDEA-Projekt: https://www.privacyidea.org/privacyidea-3-0—python-3,-push-and-policies/)

Am Wochenende 16. und 17.03.2019 waren wir mit unserem privacyIDEA-Stand auf den Chemnitzer Linuxtagen. Auf den Chemnitzer Linuxtagen präsentieren sich Projekte und Unternehmen aus dem Open Source-Umfeld, Referenzen halten Vorträge zu aktuellen Themen, Workshops gibt es für die erwachsenen Besucher aber auch für Kinder. Die Veranstaltung fand dieses Jahr zum 21sten mal statt. Die Professionalität der Organisation ist fast nicht mehr zu toppen.

Gourmets und Jobsuche

Vom Programmheft, über Besucherführung, Merchandising, Außenwerbung bis hin zur Verpflegung. Ist es Eigenironie, wenn sich das Team, das sich um die Verpflegung der Aussteller kümmert „Chemnitzer Catering-Tage“ nennt?

Neben den Vorträgen gibt es im großen Hörsaalgebäude Ausstellungsstände von freien Projekten und Unternehmen, die die Chemnitzer Linux-Tage mit Sponsorbeiträgen unterstützen und in dieser Form ermöglichen.

Wir haben privacyIDEA als Projekt angemeldet und mussten wahrheitsgemäß bei der Anmeldung bestätigen, dass wir mit dem Projekt Geld verdienen und schwupp – schon waren wir eine „Firma privacyIDEA“ und somit mit unserem im Innenbereich des Hörsaalgebäudes platziert.

Die Firmenrepräsentanz war eine illustere Mischung und man fragte sich, was haben die Firmen den Besuchern zu vermitteln – außer der Information, dass sie Mitarbeiter suchen. So wirkte die Ausstellung an einigen Stellen leider wie eine Jobmesse als ein informatives Linux-Event.

Unser Stand und unseren Kontakte

Wir entschieden uns, an unserem Stand niemanden mit Stellenangeboten zu belästigen – wie soll eine „Firma privacyIDEA“ auch Arbeitsverträge unterschreiben?

So zogen wie immer die Hardwaremischung aus Token, Yubikeys, OTP-Karten, Thomas-Krenn-Server und Raspberry PI die Leute in Ihren Bann.

Viele sind daran interessiert ihre persönlichen Rechner abzusichern.

Doch auch Entwicklern und Unternehmensadministratoren konnten wir die flexible Mehr-Faktor-Lösung privacyIDEA näher bringen.

Besonders nutzten wir aber auch die Gelegenheit, um die Kontakte zwischen den Unternehmen und Projekten weiter zu intensivieren. privacyIDEA ist als Authentifizierungssystem eine Brückentechnologie, die mit anderen Produkten und Projekten interagieren muss. Und so freuen wir uns, dass wir solche Veranstaltungen nutzen können, um die Kommunikation unkompliziert aufrecht zu erhalten.

privacyIDEA wird in der kommenden Version um ein Event Handler Framework erweitert.

Richtlinien für Zwei-Faktor-Authentifizierung

Das Zwei-Faktor-Authentifizierungssystem privacyIDEA lässt sich bereits über Richtlinien (Policies) detailliert konfigurieren und das Verhalten abhängig von vielen Rahmenbedingungen beeinflussen. So lassen sich mit Hilfe der Richtlinien unterschiedliche Szenarien abbilden und zu nahezu allen Herausforderungen eine Lösungen finden. Richtlinien verändern das Authentifizierungs- und Autorisierungsverhalten. Der Administrator kann beispielsweise verschiedene Sicherheitsstufen abbilden oder einfache Migrationen durchführen.

Event-Handler

Mit Hilfe der neuen Event-Handler eröffnen sich noch mehr Möglichkeiten. Die Richtlinien beeinflussen und verändern das Verhalten von privacyIDEA an sich. Der Event-Handler hingegen ändert nichts an dem Verhalten, sondern startet, abhängig von eintretenden Ereignissen, zusätzliche Aktionen, ohne das eigentliche Ereignis zu verändern.

event-handler-privacyidea

So wird in dem obigen Beispiel an das Ereignis „token_init“ (Ein Token wird für einen Benutzer ausgerollt) die Aktion „sendmail“ gehängt.

Um die Logik kümmert sich das Event-Handler-Modul „UserNotification“. Das Interessante ist nun, dass der Administrator ganz flexibel die entsprechende Aktion an jedes beliebige Ereignis hängen kann.

Weitere Event-Handler-Module

Als erstes Event-Handler-Modul wird „UserNotification“ ausgeliefert. Weitere Module sind denkbar und können schnell folgen. So könnte ein Modul „Enrollment“ für einen Benutzer einen speziellen Token-Typen ausstellen — als Reaktion auf ein beliebiges Ereignis.

Somit eröffnen sich ungeahnte Möglichkeiten, neue, kreative Konfigurationen und Workflows abzubilden. Einmal mehr beweist privacyIDEA, dass es ein modernes, innovatives und richtungsweisendes Authentifizierungssystem ist.

Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu sein.