privacyIDEA als Authentifizierungsserver

Der Funktionsumfang von privacyIDEA[1] ist gewaltig: Unterstützt werden alle One-Time-Password-Token (HOTP/TOTP), die nach dem OATH-Standard arbeiten. PrivacyIDEA ist damit zum Beispiel mit dem Google Authenticator oder FreeOTP und mit diversen Hardware-Token kompatibel. Neben One-Time-Passwörtern kann privacyIDEA auch mit Yubikeys umgehen, SSH-Schlüssel und X.509-Zertifikate verwalten und mit einem Credential-Provider auch Windows-Logins absichern.

PrivacyIDEA bietet sehr viele Möglichkeiten, um Authentifizierungsvorgänge zu automatisieren (Bild 1). Wer sich das erste Mal mit privacy­IDEA beschäftigt, wird von der Funktionsvielfalt zunächst erschlagen. Zur besseren Übersicht werfen wir daher zunächst einen Blick auf die Kernfunktionen von privacyIDEA, die sich grob in drei Bereiche unterteilen lassen: Benutzerverwaltung, Tokenverwaltung und Anwendungs-Plug-ins.

PrivacyIDEA kann als Middleware die Benutzer aus verschiedenen Quellen wie Microsoft Active Directory/LDAP, SQL-Datenbanken und gewöhnlichen Dateien (zum Beispiel Passwortdateien von Unix/Linux-Systemen) einlesen. Für die Organisation dieser Benutzer bietet das System sogenannte "Realms" an. Sie sind ein Organisationsschema, mit deren Hilfe der Administrator Benutzer zu Gruppen zusammenfassen kann, die aus den unterschiedlichsten Quellen stammen. Auf diese Weise können beispielsweise Benutzer aus einem Active Directory mit Benutzern eines Linux-Systems problemlos gemischt und später unter einem einheitlichen Gruppennamen angesprochen werden.

PrivacyIDEA liefert out of the box bereits jede Menge Authentifizierungsverfahren mit. Neben den bekannten Hardware-Token wie beispielsweise dem Feitian C100 oder C200 unterstützt das System auch Software-Token und Smartphone-Apps wie den Google Authenticator, FreeOTP oder mOTP. Jenseits dieser "Legacy"-Einmalpasswort-Verfahren hat privacyIDEA aber auch etwas ausgefeiltere Methoden an Bord. So kann die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.