Praktische Anwendungsbeispiele

Mit PAM und RADIUS lässt sich Lin­OTP bequem zwischen die Authentifizierung von Clients und Servern beziehungsweise Applikationen schalten. Während RADIUS (Remote Access Dial In User Service) eine Art Universalschnittstelle bereitstellt, die plattformübergreifend nutzbar ist, ist PAM (Pluggable Authentication Module) vor allem für Linux-Anwender interessant. Mit dem "LSE Radius Credential Provider" steht außerdem eine native Schnittstelle für Windows-Systeme zur Verfügung. Auf diese Weise lässt sich auch die Anmeldung von Windows-Clients beziehungsweise Terminalserver-Sitzungen mit der Zwei-Faktor Authentifizierung von LinOTP absichern.

SSH-Server absichern

Um den SSH-Dienst eines Linux-Systems mit LinOTP abzusichern, sind nur wenige Schritte erforderlich. Auf einem Ubuntu-System genügt beispielsweise die Installation des entsprechenden PAM-Moduls für die RADIUS-Authentifizierung und die Anpassung zweier Konfigurationsdateien, um die Authentifizierung von SSH-Logins gegen LinOTP durchzuführen:

sudo apt-get install libpam-radius-auth

In der Datei "/etc/pam.d/sshd" tragen Sie in der zweiten Zeile, direkt unter "# PAM configuration for the Secure Shell service", folgenden Wert ein:

auth  sufficient  pam_radius_auth.so

Nun müssen Sie noch den RADIUS-Server in der Datei »/etc/pam_radius_auth.conf« definieren. Tragen Sie dazu die IP-Adresse und das in der LinOTP-RADIUS-Client-Konfiguration gewählte Secret mit dem Timeout von "3" folgendermaßen ein:

# server[:port] shared_secret timeout (s)

#127.0.0.1 secret 1

192.168.1.190  radius 3

Anschließend ist ein Restart des SSH-Dienstes erforderlich. Nun können Sie sich mit dem in Lin­OTP hinterlegten Benutzer sowie dessen PIN und Einmalpasswort per SSH einloggen.