Beiträge

Die quelloffene Mehrfaktor-Authentifizierungssoftware privacyIDEA ist in der Version 3.0 erschienen. Als wesentliche Neuerung nennen die Entwickler des in Python geschriebenen Authentifizierungsservers die Unterstützung von Python 3, womit ein langfristig zukunftssicherer Betrieb sichergestellt wird. Mit Push-Token wurde außerdem ein neuer Tokentyp eingeführt, um die User Experience weiter zu verbessern. Außerdem wurden die Kryptographie-Module auf neue, zeitgemäße Bibliotheken umgestellt und ein generischer Queue-Mechanismus eingeführt, mit dem zeitintensive Aufgaben aus einer Authentifizierungsanfrage ausgelagert werden können.

Mit der Umstellung auf Python 3 reagieren die Entwickler von privacyIDEA auf die Einstellung des Supports von Python 2.7 ab 2020. Unternehmen und Endanwender, die privacyIDEA einsetzen, erhalten damit die Sicherheit, dass die Open-Source-Lösung auch in Zukunft modernste Standards unterstützt und kontinuierlich weiterentwickelt wird.

Als neuer Tokentyp für die Authentifizierung wurden sogenannte Push-Token eingeführt. Benutzer haben nun die Möglichkeit, bei der Anmeldung an einem Dienst Benachrichtigungen über die privacyIDEA Authenticator App zu erhalten und auf Ihrem Smartphone durch einen einfachen Klick die Anmeldung zu bestätigen.

Mehr Flexibilität für Administratoren

Die Kryptographie-Module wurden mit dem Release auf neue, zeitgemäßere Bibliotheken umgestellt. So wurde bspw. die nicht mehr gepflegte Bibliothek pycrypto entfernt und gegen cryptography ausgetauscht. Diese gilt als neuer De-Facto-Standard in der Python-Community.

Ein generischer Queue-Mechanismus erlaubt nun, dass zeitintensive Aufgaben aus dem eigentlichen Authentifizierungsrequest ausgelagert werden können. So kann der Administrator bspw. bei der Verwendung von E-Mail-Token definieren, dass eine E-Mail außerhalb der eigentlichen Authentifizierunganfrage gesendet wird, was die Wartezeit bei der Anmeldung verkürzt.

Das Datenbankschema sieht nun vor, dass ein Authentifizierungsobjekt (Smartphone, OTP-Token, Yubikey, X509-Zertifikat) mehreren Benutzern zugeordnet werden kann. Dadurch wird privacyIDEA flexibler und ermöglicht in Zukunft ein leichtere Wartbarkeit.

Bereits seit der Version 2.23 haben Administratoren die Möglichkeit, über beliebig gefilterte Ereignisse Statistiken zu erzeugen und diese zum Beispiel in Grafana darzustellen.
Mit der Version 3 lassen sich nun darüber hinaus eigene Module zur Speicherung der Statistik-Daten integrieren. Anfallende Daten können dadurch in Datenbanken abgespeichert werden, die für die Verarbeitung von Zeitreihen besser geeignet sind (z.B. Prometheus).

Für Ubuntu 16.04 LTS und Ubuntu 18.04 LTS stehen Repositories bereit, die eine leichte Installation von privacyIDEA 3.0 ermöglichen. Aus dem Python Package Index heraus kann es auf jeder anderen beliebigen Distribution installiert werden. Das Paket ist auch direkt über Github auffindbar: https://github.com/privacyidea/privacyidea
Aufgrund der weitreichenden Schema-Änderungen wird empfohlen, vor einem Update die Dokumentation unter https://privacyidea.readthedocs.io genau zu lesen.

Über privacyIDEA

privacylDEA ist ein Multi-Client- und Multi-Instanz-fähiges System zur Sicherung der Identitäten (ID) durch Mehr-Faktor-Authentifizierung. Es wird an zentraler Stelle zusätzlich zur Benutzerverwaltung installiert und verwaltet die Authentisierungs-Geräte (unterschiedliche Token, OTP-Token, Smartphone-Apps, U2F) und Zugriffsrechte der Benutzer. Es kann mit selbsterzeugtem Schlüsselmaterial umgehen.

Weitere Informationen finden Sie unter https://netknights.it/produkte/privacyidea. Wenn Sie sich über die neuesten Entwicklungen rund um privacyIDEA auf dem Laufenden halten möchten, besuchen Sie https://netknights.it/aktuelles/.

(Referenz privacyIDEA-Projekt: https://www.privacyidea.org/privacyidea-3-0—python-3,-push-and-policies/)

Am Wochenende 16. und 17.03.2019 waren wir mit unserem privacyIDEA-Stand auf den Chemnitzer Linuxtagen. Auf den Chemnitzer Linuxtagen präsentieren sich Projekte und Unternehmen aus dem Open Source-Umfeld, Referenzen halten Vorträge zu aktuellen Themen, Workshops gibt es für die erwachsenen Besucher aber auch für Kinder. Die Veranstaltung fand dieses Jahr zum 21sten mal statt. Die Professionalität der Organisation ist fast nicht mehr zu toppen.

Gourmets und Jobsuche

Vom Programmheft, über Besucherführung, Merchandising, Außenwerbung bis hin zur Verpflegung. Ist es Eigenironie, wenn sich das Team, das sich um die Verpflegung der Aussteller kümmert „Chemnitzer Catering-Tage“ nennt?

Neben den Vorträgen gibt es im großen Hörsaalgebäude Ausstellungsstände von freien Projekten und Unternehmen, die die Chemnitzer Linux-Tage mit Sponsorbeiträgen unterstützen und in dieser Form ermöglichen.

Wir haben privacyIDEA als Projekt angemeldet und mussten wahrheitsgemäß bei der Anmeldung bestätigen, dass wir mit dem Projekt Geld verdienen und schwupp – schon waren wir eine „Firma privacyIDEA“ und somit mit unserem im Innenbereich des Hörsaalgebäudes platziert.

Die Firmenrepräsentanz war eine illustere Mischung und man fragte sich, was haben die Firmen den Besuchern zu vermitteln – außer der Information, dass sie Mitarbeiter suchen. So wirkte die Ausstellung an einigen Stellen leider wie eine Jobmesse als ein informatives Linux-Event.

Unser Stand und unseren Kontakte

Wir entschieden uns, an unserem Stand niemanden mit Stellenangeboten zu belästigen – wie soll eine „Firma privacyIDEA“ auch Arbeitsverträge unterschreiben?

So zogen wie immer die Hardwaremischung aus Token, Yubikeys, OTP-Karten, Thomas-Krenn-Server und Raspberry PI die Leute in Ihren Bann.

Viele sind daran interessiert ihre persönlichen Rechner abzusichern.

Doch auch Entwicklern und Unternehmensadministratoren konnten wir die flexible Mehr-Faktor-Lösung privacyIDEA näher bringen.

Besonders nutzten wir aber auch die Gelegenheit, um die Kontakte zwischen den Unternehmen und Projekten weiter zu intensivieren. privacyIDEA ist als Authentifizierungssystem eine Brückentechnologie, die mit anderen Produkten und Projekten interagieren muss. Und so freuen wir uns, dass wir solche Veranstaltungen nutzen können, um die Kommunikation unkompliziert aufrecht zu erhalten.

privacyIDEA wird in der kommenden Version um ein Event Handler Framework erweitert.

Richtlinien für Zwei-Faktor-Authentifizierung

Das Zwei-Faktor-Authentifizierungssystem privacyIDEA lässt sich bereits über Richtlinien (Policies) detailliert konfigurieren und das Verhalten abhängig von vielen Rahmenbedingungen beeinflussen. So lassen sich mit Hilfe der Richtlinien unterschiedliche Szenarien abbilden und zu nahezu allen Herausforderungen eine Lösungen finden. Richtlinien verändern das Authentifizierungs- und Autorisierungsverhalten. Der Administrator kann beispielsweise verschiedene Sicherheitsstufen abbilden oder einfache Migrationen durchführen.

Event-Handler

Mit Hilfe der neuen Event-Handler eröffnen sich noch mehr Möglichkeiten. Die Richtlinien beeinflussen und verändern das Verhalten von privacyIDEA an sich. Der Event-Handler hingegen ändert nichts an dem Verhalten, sondern startet, abhängig von eintretenden Ereignissen, zusätzliche Aktionen, ohne das eigentliche Ereignis zu verändern.

event-handler-privacyidea

So wird in dem obigen Beispiel an das Ereignis „token_init“ (Ein Token wird für einen Benutzer ausgerollt) die Aktion „sendmail“ gehängt.

Um die Logik kümmert sich das Event-Handler-Modul „UserNotification“. Das Interessante ist nun, dass der Administrator ganz flexibel die entsprechende Aktion an jedes beliebige Ereignis hängen kann.

Weitere Event-Handler-Module

Als erstes Event-Handler-Modul wird „UserNotification“ ausgeliefert. Weitere Module sind denkbar und können schnell folgen. So könnte ein Modul „Enrollment“ für einen Benutzer einen speziellen Token-Typen ausstellen — als Reaktion auf ein beliebiges Ereignis.

Somit eröffnen sich ungeahnte Möglichkeiten, neue, kreative Konfigurationen und Workflows abzubilden. Einmal mehr beweist privacyIDEA, dass es ein modernes, innovatives und richtungsweisendes Authentifizierungssystem ist.

Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu sein.