Zwei-Faktor-Authentifizierung mit PAM

Doppelt hält besser

Die "Pluggable Authentication Modules" – kurz PAM – stellen Bibliotheken zur flexiblen Authentifizierung eines Benutzers zur Verfügung. Soll beispielsweise der Zugriff auf den eigenen SSH-Server mit Hilfe einer Zwei-Faktor-Authentifizierung erfolgen, ist hierfür die passende PAM-Bibliothek einzusetzen. Der Open-Source-Tipp in diesem Monat zeigt, wie eine beispielhafte Konfiguration hierfür aussieht.
Kommerzielle Software von der Stange oder quelloffene Produkte, die lizenzkostenfrei und flexibler sind, dafür aber oft entsprechendes Know-how voraussetzen? ... (mehr)

Um die Sicherheit beim Zugriff auf einen Webdienst zu erhöhen, bieten die meisten Betreiber mittlerweile eine Zwei-Faktor-Authentifizierung (2FA) an. Diese basiert zumeist auf sogenannten One-Time-Passwords (OTP), die entweder mit Hilfe eines Software- oder Hardware-Tokens erzeugt werden. Um den Einsatz von OTPs zu vereinfachen, bieten die meisten Dienste einen QR-Code an, mit dessen Hilfe Anwender ein individuelles Softtoken in ein entsprechendes Programm, wie beispielsweise FreeOTP [1], laden können. Mit diesem Token findet dann die Erzeugung der eigentlichen Einmal-Passwörter statt. Mehr hierzu finden Sie in den IT-Administrator-Ausgaben Januar und Februar 2019.

Anders als bei Webdiensten kommt für die Authentifizierung von Benutzern auf Systemebene jedoch zumeist das Framework "Pluggable Authentication Modules" (PAM) zum Einsatz. Dieses regelt im Detail, wie die Authentifizierung und Autorisierung eines Benutzers ablaufen soll. Auch für das Passwort- und Session-Management stehen entsprechende PAM-Bibliotheken zur Verfügung. Zur Authentifizierung von lokalen Benutzern kommt beispielsweise die Bibliothek "pam_unix" zum Einsatz. Sind die Benutzerdaten stattdessen zentral in einem LDAP oder einem Active Directory hinterlegt, erfolgt die Authentifizierung mit Hilfe von "pam_sss" oder eines der vielen anderen PAM-Module, die hierfür zur Auswahl stehen. Soll die Anmeldung eines Benutzers mit Hilfe von X.509-Zertifikaten erfolgen, ist der Einsatz von "pam_pkcs11" oder "pam_sss" notwendig.

Um die Anmeldung weiter abzusichern, lässt sich neben dem Passwort oder einem Zertifikat noch ein weiterer Faktor einsetzen. In diesem Beispiel greifen wir auf OTPs zurück. Auch hierfür existieren unterschiedliche PAM-Bibliotheken, die zum Einsatz kommen können. Mit OTPW [2] steht ein Produkt zur Verfügung, das mit statischen Einmal-Passwörtern arbeitet. Anstatt also die Passwörter dynamisch zu erzeugen,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019