FIDO2-Informationen im LDAP hinterlegen

FIDO2 ist ein Meilenstein der passwortlosen Authentifizierung. Beim Login erhält der Browser des Benutzers eine Challenge und muss diese mit dem privaten Schlüssel signieren, sodass der Dienstanbieter die Signatur mit den hinterlegten öffentlichen Schlüsseln verifizieren kann. Ist die Überprüfung erfolgreich, gilt der Login als abgeschlossen.

Ein Vorteil von Public-Key-Verfahren wie FIDO2 liegt darin, dass Dienstanbieter und Benutzer kein gemeinsames Geheimnis (Shared Secret) mehr teilen müssen. Das beinhaltet auch solche Geheimnisse, die etwa für die Zwei-Faktor-Authentifikation zum Einsatz kommen. Somit können diese Geheimnisse auch auf keiner Seite mehr abhandenkommen – Kriminelle erhalten im Zweifel lediglich den öffentlichen Schlüssel eines Benutzers. Dieser darf, wie der Name schon sagt, durchaus öffentlich bekannt sein. Eine Anmeldung bei dem Dienst selbst oder bei anderen Diensten, bei denen der Benutzer denselben Schlüssel hinterlegt hat, bleibt unmöglich. Damit ein Benutzer bei Verlust eines privaten Schlüssels nicht ohne einen Zugang bleibt, lassen sich bei den meisten FIDO2-Implementierungen direkt mehrere öffentliche Schlüssel beziehungsweise unterschiedliche Sicherheitstoken hinterlegen.

LDAP-Schema erweitern

Die im Normalfall verfügbaren LDAP-Schemata, etwa aus der OpenLDAP-Distribution, bieten keine geeigneten Objekte, um die notwendigen Informationen für FIDO2-Authentifikation direkt innerhalb des Verzeichnisses zu speichern. Wie andere Datenbanksysteme erlaubt auch LDAP die Erweiterung speicherbarer Objekte durch das Hinzufügen eines entsprechenden Schemas. Haben Sie ein Schema erfolgreich geladen, können Sie direkt im Anschluss entsprechende Objekte anlegen. Um Verwechslungen vorzubeugen, erhält jedes Schema eine individuelle Identifikationsnummer. Dafür haben sich die weltweit eindeutigen "Object Identifier" (OIDs)

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.