Die Datenmenge in Unternehmen wächst unaufhaltsam und auch deren notwendige Verfügbarkeit steht längst außer Frage. Deshalb befasst sich IT-Administrator im ... (mehr)

Benutzer authentifizieren

Beim Anlegen eines neuen Benutzers haben Sie nun die Möglichkeit, neben einem Passwort-basierten Login ebenfalls OTP oder Radius auszuwählen. In diesem Beispiel stellen wir das native OTP vor. An dieser Stelle ist darauf zu achten, dass der Administrator der Umgebung lediglich die OTP-Checkbox auswählt, soll der Benutzer ausschließlich die 2FA-basierte Anmeldung benutzen. Das initial gesetzte Passwort dient nur dazu, dass sich der Nutzer einmalig am Framework anmelden kann, um sich so ein Token zu generieren. Danach ist das Login mit einem Passwort nicht mehr möglich. Meldet sich ein Benutzer schließlich zum ersten Mal an, so ist in der linken oberen Ecke des Web-Interfaces der Punkt "OTP Tokens" auszuwählen, um ein neues Token zu erstellen. Auf dem Bildschirm erscheint nun ein QR-Code.

Mit einer Software wie beispielsweise dem Google Authenticator lässt sich der QR-Code, der soeben von FreeIPA erzeugt wurde, scannen. Der Google Authenticator oder eine ähnliche Software sollte den Code unmittelbar erkennen und im Anschluss ein neues Softtoken anlegen. Vor dem ersten Zugriff müssen Sie dieses Token dann noch synchronisieren. Melden Sie sich hierzu von FreeIPA ab und klicken Sie in der Login-Maske auf "Sync OTP Token". Danach geben Sie Ihr Passwort sowie zwei OTP-Folgen des Google Authenticators ein. Nun ist Ihr Token synchronisiert und ein Login mit Ihrem Passwort gefolgt von dem jeweils aktuellen OTP ist von nun an möglich.

Fazit

Es ist schön zu sehen, wie einfach die Free-IPA-Entwickler es Administratoren machen, einen Benutzer mit OTP-Authentifizierung einzurichten. Das Setup gestaltet sich einfach und auch das Einbinden des QR-Codes funktioniert ohne Schwierigkeiten. An dieser Stelle sei allerdings auch noch darauf hingewiesen, dass die Token-ID beim Anlegen eines neuen Tokens eindeutig sein muss. Dem Benutzer wird es jedoch freigestellt, die ID selbst zu wählen. Schöner wäre es, wenn diese automatisch durch das Framework vorgegeben würde. So lassen sich Fehler vermeiden, wenn Benutzer mehrfach die gleiche ID auswählen. Das Problem ist jedoch bekannt und es wird bereits an einer Lösung gearbeitet.

(jp)

Link-Codes

[1] FreeOTP Softtoken: https://fedorahosted.org/freeotp/

[2] Google Authenticator Softtoken: https://code.google.com/p/google-authenticator/

comments powered by Disqus
Mehr zum Thema

FreeIPA: Active Directory mit freier Software

Im Gegensatz zu OpenLDAP hat das noch junge FreeIPA das Zeug, sich mit einer Technologie wie Active Directory zu messen. Der Beitrag erklärt, warum das so ist und wie man FreeIPA in der Praxis einsetzt.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021