privacyIDEA als Authentifizierungsserver

Authentifizierungsjongleur

privacyIDEA ist ein Multi-Faktor-Authentifizierungs-System mit Open-Source-Lizenz für den Einsatz in Unternehmen und anderen Organisationen. Mit privacyIDEA lassen sich lokale Logins, VPN-Verbindungen, Zugriffe auf Webapplikationen und Remote-Access-Verbindungen wie SSH mit einem zweiten Faktor ausstatten und damit wesentlich sicherer betreiben.Wir beschreiben, was es kann und wie Sie es verwenden.
Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern ... (mehr)

Der Funktionsumfang von privacyIDEA[1] ist gewaltig: Unterstützt werden alle One-Time-Password-Token (HOTP/TOTP), die nach dem OATH-Standard arbeiten. PrivacyIDEA ist damit zum Beispiel mit dem Google Authenticator oder FreeOTP und mit diversen Hardware-Token kompatibel. Neben One-Time-Passwörtern kann privacyIDEA auch mit Yubikeys umgehen, SSH-Schlüssel und X.509-Zertifikate verwalten und mit einem Credential-Provider auch Windows-Logins absichern.

PrivacyIDEA bietet sehr viele Möglichkeiten, um Authentifizierungsvorgänge zu automatisieren (Bild 1). Wer sich das erste Mal mit privacy­IDEA beschäftigt, wird von der Funktionsvielfalt zunächst erschlagen. Zur besseren Übersicht werfen wir daher zunächst einen Blick auf die Kernfunktionen von privacyIDEA, die sich grob in drei Bereiche unterteilen lassen: Benutzerverwaltung, Tokenverwaltung und Anwendungs-Plug-ins.

PrivacyIDEA kann als Middleware die Benutzer aus verschiedenen Quellen wie Microsoft Active Directory/LDAP, SQL-Datenbanken und gewöhnlichen Dateien (zum Beispiel Passwortdateien von Unix/Linux-Systemen) einlesen. Für die Organisation dieser Benutzer bietet das System sogenannte "Realms" an. Sie sind ein Organisationsschema, mit deren Hilfe der Administrator Benutzer zu Gruppen zusammenfassen kann, die aus den unterschiedlichsten Quellen stammen. Auf diese Weise können beispielsweise Benutzer aus einem Active Directory mit Benutzern eines Linux-Systems problemlos gemischt und später unter einem einheitlichen Gruppennamen angesprochen werden.

PrivacyIDEA liefert out of the box bereits jede Menge Authentifizierungsverfahren mit. Neben den bekannten Hardware-Token wie beispielsweise dem Feitian C100 oder C200 unterstützt das System auch Software-Token und Smartphone-Apps wie den Google Authenticator, FreeOTP oder mOTP. Jenseits dieser "Legacy"-Einmalpasswort-Verfahren hat privacyIDEA aber auch etwas ausgefeiltere Methoden an Bord. So kann die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019