Beiträge

Die aktuelle Version 2.21.4 der privacyIDEA Enterprise Edition ist nun auch auf dem Univention Corporate Server verfügbar.

Wir berichteten bereits über die Neuerung in privacyIDEA 2.21, von denen nun auch die UCS Anwender profitieren. privacyIDEA kann aus dem Appcenter heraus einfach von der Version 2.20.1 auf 2.21.4 aktualisiert werden.

Weiterlesen

Die Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar. Mit der Version 2.19.1 vollzieht die NetKnights GmbH außerdem den Wechsel zur Unterstützung des Univention Corporate Servers 4.2. Kunden können somit leicht von einem UCS 4.1 mit privacyIDEA 2.18 auf den UCS 4.2 mit privacyIDEA 2.19.1 upgraden.

Neben den Verbesserungen im Univention Corporate Server 4.2 bringt auch privacyIDEA 2.19.1 weitere Verbesserungen mit. Dies sind unter anderem der generische Benutzer-Cache, der die Anmeldezeiten erheblich verkürzen kann und eine bessere Verwaltung von U2F-Geräten, die es dem Administrator erlaubt zu definieren, welche Geräte die Benutzer überhaupt registrieren und benutzen dürfen. Ein Token-Janitor ermöglicht es dem Administrator, verwaiste Token aufzufinden und zu deaktivieren oder zu löschen. Wir berichteten bereits allgemein über privacyIDEA 2.19.

Service Level Agreement und Subskriptionen

privacyIDEA auf dem Univention Corporate Server kann aus dem Univention App Center leicht und schnell installiert werden. Weitere Details und Test-Subskriptionen finden Sie auf unserer Produktseite. Die normalen Service Level Agreements für privacyIDEA erlauben außerdem die Nutzung von privacyIDEA4UCS.

privacyIDEA 2.18.1 ist nun auch für unsere Kunden auf dem Univention Corporate Server verfügbar. Auf dem UCS kann privacyIDEA bequem aus dem App-Center installiert bzw. aktualisiert werden. privacyIDEA läuft auf UCS 4.1 und integriert sich in die bestehende Domäne, indem es jedem Benutzer einen beliebigen zweiten Faktor zuordnen kann.

Die Zwei-Faktor-Authentifizierung kann dann für die Anmeldung an Firewalls, via PAM, oder am Univention Identity Provides (SAML IdP) verwendet werden.

privacyIDEA wird in der kommenden Woche auch für die aktualisierte Version UCS 4.2 verfügbar sein.

Um die Anmeldung an einer Applikation mit einem zweiten Faktor abzusichern gibt es verschiedene Ansätze, die wir mit privacyIDEA bisher auch verfolgt haben.

Zwei-Faktor-Authentifizierung mittels Standard-Protokolle und Plugins

Wenn die zu schützende Applikation Standard-Protokolle wie bspw. RADIUS oder SAML unterstützt, dann kann die Überprüfung des zweiten Faktors im RADIUS Server oder im SAML Identity Provider vorgenommen werden. An der Applikation sind somit keine Änderungen vorzunehmen. Mit privacyIDEA konnte dies bisher mit dem privacyIDEA FreeRADIUS Modul oder mit dem privacyIDEA SimpleSAMLphp Plugin gelöst werden.

Andere Applikationen bieten ein flexibles Authentifizierungs-Framework, so dass die Anmeldung an einer solchen Applikation durch die Entwicklung eines kleinen Plugins um einen zweiten Faktor erweitert werden kann. Hierzu gibt es eine breite Auswahl an Plugins für verbreitete Applikationen wie TYPO3, ownCloud, Nextcloud, WordPress, dokuwiki, django, OTRS, Apache, NGINX, PAM/OpenVPN oder die Anmeldung am Windows Desktop.

Doch manche Applikationen bieten keine RADIUS-Schnittstelle und auch kein einfaches Authentifizierungs-Framework. Manchmal ist auch einfach die Zeit zu knapp oder die Programmiersprache der Applikation zu unangenehm.

privacyIDEA LDAP-Proxy

Um in solchen Fällen ebenfalls auch diesen Applikationen die Sicherheit einer starken Authentifizierung gegen privacyIDEA zu ermöglichen, entwickeln wir den privacyIDEA LDAP-Proxy.

Der privacyIDEA LDAP-Proxy kommt dann zum Einsatz, wenn eine Applikation die Benutzer gegen einen LDAP-Server wie OpenLDAP oder Microsoft Active Directory authentifiziert. Der privacyIDEA LDAP-Proxy wird dabei zwischen die Applikation und den LDAP-Server gesetzt. Die Applikation wird derart umkonfiguriert, dass sie nicht mehr den originalen LDAP-Server sondern den LDAP-Proxy kontaktiert. der privacyIDEA LDAP-Proxy entscheidet dann, wie die Benutzer mit zwei Faktoren zu authentifizieren sind und welche Anfragen an den originalen LDAP-Server weitergeleitet werden.

Die Authentifizierung erfolgt für den Benutzer also völlig Transparent.

Der Vorteil für die IT-Abteilung liegt auf der Hand: Der originale LDAP-Server wird nicht angetastet und die Applikation erfährt lediglich eine Konfigurationsänderung im Rahmen der vorgesehen und vom Hersteller unter Support stehenden Rahmenbedingungen.

Gegenüber Zwei-Faktor-Lösungen, die rein auf OpenLDAP basieren, hat die Variante des LDAP-Proxies zusätzlich zur Unveränderbarkeit des originalen LDAP-Servers weiterhin den Vorteil, dass sie eben nicht nur mit OpenLDAP sondern auch mit jedem anderem LDAP-Dienst wie dem weit verbreiteten Microsoft Active Directory oder Samba4 funktioniert.

Das Beispiel-Szenario

In diesem beispielhaften Szenario betrachten wir die Anmeldung an SuiteCRM. SuiteCRM ist eine Open Source Customer Relation Managemet Lösung, für die es kein Zwei-Faktor-Plugin gibt. Allerdings kann SuiteCRM die Benutzer gegen LDAP authentifizieren. Daher soll in diesem Fall der privacyIDEA LDAP-Proxy zum Einsatz kommen.

Wir könnten genauso jede beliebige andere Applikation betrachten, die Benutzer aus einem LDAP-Verzeichnis verwendet. Wir installieren SuiteCRM auf einem Univention Corporate Server, da die Installation und Konfiguration sich hier als extrem einfach erweist. Nach der Installation ist SuiteCRM sofort so konfiguriert, dass Benutzer, die im Univention Corporate Server Domain Controller angelegt sind, sich an SuiteCRM mit ihrem LDAP-Passwort anmelden können. Statt eines UCS Domain Controllers hätten wir genauso eine native OpenLDAP-Instanz oder ein Microsoft Active Directory verwenden könnten.

Auch der privacyIDEA Authentication Server kann wahlweise auf einer beliebigen Linux-Distribution oder auf einem Univention Corporate Server installiert werden. privacyIDEA ist ebenfalls im Univention App Center enthalten, so dass auch privacyIDEA automatich gegen den LDAP-Server konfiguriert wird und lediglich den Benutzern die zweiten Faktoren in Form von Yubikeys, OTP-Token oder Smartphone-Apps zugewiesen werden müssen.

SuiteCRM wird schließlich derart umkonfiguriert, dass nicht mehr der UCS LDAP-Server sondern der LDAP-Proxy gefragt wird.

Bei Bedarf können mehrere der beteiligten Komponenten auf einem System installiert werden.

Integration

LDAP-Proxy installieren und konfigurieren

Der LDAP-Proxy ist in einer Beta-Version zur Zeit über Github erhältlich. Durch die Implementierung auf Basis von Python und Twisted ergibt sich eine Vielzahl von Möglichkeiten für das Deployment. Die nötigen Einstellungen werden in einer zentralen Konfigurationsdatei vorgenommen. Unter anderem muss dem LDAP-Proxy hier mitgeteilt werden, wo der UCS LDAP-Server und die privacyIDEA-Instanz zu finden sind. Außerdem wird ein Service Account auf dem UCS LDAP-Server benötigt, dessen Zugangsdaten in der Konfigurationsdatei hinterlegt werden.

Für genauere Informationen konsultieren Sie die Datei README.md.

Der LDAP-Proxy wird wie folgt gestartet

twistd -n ldap-proxy -c config.ini

Im produktiven Betrieb würden Sie den LDAP-Proxy später automatisch als Service über systemd starten. Die Konfigurationsdatei config.ini kann entsprechend an beliebiger Stelle liegen. Die Datei example-proxy.ini enthält entsprechende ausführliche Kommentare, so dass schnell ersichtlich sein sollte, welche Konfigurationen vorzunehmen sind.

Die Konfigurationsdatei

Entscheidend sind die folgenden Konfigurationen:

In der Sektion privacyidea geben Sie mit dem Parameter instance an, wo der LDAP-Proxy den privacyIDEA Server erreicht.

In der Sektion ldap-backend geben Sie an, wo der originale LDAP-Server steht und ob die Verbindung über LDAP oder LDAPS oder LDAP+STARTTLS durchgeführt wird.

Auf welchem Port der LDAP-Proxy selber lauscht können Sie in der Sektion ldap-proxy mit dem Parameter endpoint angeben.

Schließlich müssen Sie noch definieren, welches LDAP-Attribut als Loginname verwendet wird. Dies geschieht im Parameter attribute in der Sektion user-mapping.

Der Service-Account ermöglicht allgemeines Suchen

Für einfache Applikationen, die lediglich den Benutzer mittels eines Binds überprüfen, reicht dies bereits aus. SuiteCRM nutzt allerdings für allgemeine Suchanfragen zusätzlich einen Service-Account. Dieser muss in der Sektion ldap-proxy bei passthrough-binds und in der Sektion service-account eingetragen werden.

SuiteCRM konfigurieren

In SuiteCRM muss der Administrator lediglich den zu kontaktierenden LDAP-Server ändern. Dazu geht er ins Administrations-Menü, das man oben rechts erreicht.

Dort wählt er den Punkt „Passwordmanagement“.

Dort erreicht man schließlich die Konfigurationsmöglichkeiten für den LDAP-Server. Der dort eingetragene LDAP-Server muss nun auf den FQDN bzw. IP des LDAP-Proxies abgeändert werden.

Fazit

Der Benutzer im SuiteCRM wird nun über den LDAP-Proxy in Zukunft gegen privacyIDEA authentifiziert. Das komplette Passwort-Feld bei der Anmeldung an SuiteCRM wird an privacyIDEA gesendet. Wie ansonsten auch muss der Benutzer also sein statisches Passwort und einen OTP-Wert eingeben.

Die konkrete Art des verwendeten zweiten Faktors kann über privacyIDEA individuell für jeden Benutzer geregelt werden. Denkbar sind wie bereits erwähnt Yubikey, OTP-Token und OTP-Karten, Smartphone-Apps wie Google Authenticator aber auch der Versand eines Einmalpasswortes per SMS oder Email.

Der LDAP-Proxy wird weiter ausgebaut und wir freuen uns über jegliches Feedback. Wollen Sie auf dem laufenden bleiben, so beobachten Sie das Github Repository oder abonnieren Sie unseren Newsletter.

privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.

privacyIDEA Enterprise Edition Subscription

privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.

privacyIDEA 2.16.1 ist nun auf dem Univention Corporate Server verfügbar. Damit stehen nun auch den Kunden, die eine UCS Subskription erworben haben, die erweiterten Event-Handler und das verbesserte UI zur Verfügung. Auf dem UCS ist eine patch Version 2.16.1 veröffentlicht, die zusätzlich zur 2.16 ein paar LDAP-Optimierungen enthält.

Verschiedene Subskriptionsstufen

Für den Univention Corporate Server gibt es zwei Subskriptionsvarianten. Mit der normalen privacyIDEA Enterprise Edition kann privacyIDEA auf dem UCS mit beliebig vielen Benutzern betrieben werden. Daneben ist eine eine privacyIDEA4UCS Subscription erhältlich, die sich an kleinere Installation mit bis zu 50 Benutzern richtet.

 

privacyIDEA auf dem Univention Corporate ServerLogo_UCS_certified

privacyIDEA 2.14 ist nun auch auf dem Univention Corporate Server verfügbar. In 2.14 wurde das Event-Handling-Framework weiter ausgebaut, der Import von verschlüsselten Seed-Dateien hinzugefügt und die Performance verbessert.

Die NetKnights GmbH paketiert das Opensource Authentifizierungssystem privacyIDEA und stellt es im Univention AppCenter bereit. privacyIDEA auf dem Univention Corporate Server lässt sich mit wenigen Klicks auf die Version 2.14 aktualisieren.

Subscription und Testlizenz

Für privacyIDEA4UCS können Sie hier eine Subscription erhalten oder eine Testlizenz beantragen.

Lieber Leser,
privacyIDEA 2.11 ist nun auch auf dem Univention Corporate Server verfügbar. Es gibt einen neuen Online-Shop. Schließlich ist Ihre Meinung zu neuen Funktionen ist gefragt!
Viel Freude beim Lesen und Antworten wünscht
Ihre NetKnights

Umfrage zu neuen Funktionen und Support

Es gibt eine Idee zu einem neuen Feature, zu dem wir gerne Ihre Meinung hören möchten. Für Policies/Richtlinien soll eine Zeitabhängigkeit eingeführt werden. Hier ist Ihre Meinung zu den verschiedenen Möglichkeiten gefragt. Zur englischsprachigen Umfrage.

Außerdem wollen wir gerne mehr darüber erfahren, an welchen Punkten Ihnen der Support zu privacyIDEA weiterhilft. Hier geht es zur entsprechenden deutschsprachigen Umfrage.

privacyIDEA 2.11 nun auch auf dem Univention Corporate Server

privacyIDEA Version 2.11 ist nun auch auf dem Univention Corporate Server verfügbar. Der Univention Corporate Server ist ein Linux-basiertes System, das bei Bedarf eine komplette Windows-Domäne nachbilden kann oder auch einfach nur als robuste Plattform für Applikationen dient. Die enge Integration von privacyIDEA mit den entsprechenden SAML-Komponenten erlaubt eine einfache und schnelle Installation.

Neuer Online-Shop

Es wird nun einfacher für Sie, Support und Service Level Agreements für privacyIDEA zu erwerben. Nicht zuletzt auch für internationale Kunden haben wir unsere Standardangebote in einem Online-Shopzusammengefasst, so dass die Kaufabwicklung für beide Seiten einfacher wird.
Doch natürlich stehen wir Ihnen wie gewohnt weiterhin beratend zur Seite und erstellen Ihnen gerne Ihr individuelles Angebot.

privacyIDEA auf dem Univention Corporate Server

privacyIDEA 2.11 steht nun auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA 2.11 ermöglicht mit den neuen Richtlinien zur bedingten Weiterleitung von Authentifizierungs-Anfragen an externe RADIUS-Server eine sehr leichte und sichere Migration von alten OTP-Systemen. Logo_UCS_certified

Mehr zur Migration mit der RADIUS-Weiterleitung finden Sie in den Release-Notes.

SLA und Subscription

Seit geraumer Zeit ist privacyIDEA auf dem Univention Corporate Server verfügbar und bietet auf dieser Plattform eine leichte Installation, Wartung und Updates. Für den Betrieb von privacyIDEA auf dem Univention Corporate Server ist ein gültiger SLA nötig. Eine Test-Subscription können Sie sich hier beantragen.