FIDO2-Informationen im LDAP hinterlegen

Zugang gewährt

In den letzten Monaten stand FIDO2 und die damit verbundene passwortlose Authentifikation immer wieder im Fokus. Solange Sie Ihren Login auf Basis eines flexiblen Datenbanksystems durchführen, können Sie die benötigten Felder für einen oder mehrere öffentliche Schlüssel einfach hinzufügen. Um auch in einem LDAP die notwendigen Informationen zu hinterlegen, müssen Sie das Schema erweitern und eigene Objekt- und Attributtypen definieren. Der Security-Tipp in diesem Monat zeigt, wie Sie dabei vorgehen.
Angesichts der zunehmend genutzten verteilten Infrastrukturen verkompliziert sich der reibungslose Betrieb von Applikationen. Im Dezember befasst sich ... (mehr)

FIDO2 ist ein Meilenstein der passwortlosen Authentifizierung. Beim Login erhält der Browser des Benutzers eine Challenge und muss diese mit dem privaten Schlüssel signieren, sodass der Dienstanbieter die Signatur mit den hinterlegten öffentlichen Schlüsseln verifizieren kann. Ist die Überprüfung erfolgreich, gilt der Login als abgeschlossen.

Ein Vorteil von Public-Key-Verfahren wie FIDO2 liegt darin, dass Dienstanbieter und Benutzer kein gemeinsames Geheimnis (Shared Secret) mehr teilen müssen. Das beinhaltet auch solche Geheimnisse, die etwa für die Zwei-Faktor-Authentifikation zum Einsatz kommen. Somit können diese Geheimnisse auch auf keiner Seite mehr abhandenkommen – Kriminelle erhalten im Zweifel lediglich den öffentlichen Schlüssel eines Benutzers. Dieser darf, wie der Name schon sagt, durchaus öffentlich bekannt sein. Eine Anmeldung bei dem Dienst selbst oder bei anderen Diensten, bei denen der Benutzer denselben Schlüssel hinterlegt hat, bleibt unmöglich. Damit ein Benutzer bei Verlust eines privaten Schlüssels nicht ohne einen Zugang bleibt, lassen sich bei den meisten FIDO2-Implementierungen direkt mehrere öffentliche Schlüssel beziehungsweise unterschiedliche Sicherheitstoken hinterlegen.

LDAP-Schema erweitern

Die im Normalfall verfügbaren LDAP-Schemata, etwa aus der OpenLDAP-Distribution, bieten keine geeigneten Objekte, um die notwendigen Informationen für FIDO2-Authentifikation direkt innerhalb des Verzeichnisses zu speichern. Wie andere Datenbanksysteme erlaubt auch LDAP die Erweiterung speicherbarer Objekte durch das Hinzufügen eines entsprechenden Schemas. Haben Sie ein Schema erfolgreich geladen, können Sie direkt im Anschluss entsprechende Objekte anlegen. Um Verwechslungen vorzubeugen, erhält jedes Schema eine individuelle Identifikationsnummer. Dafür haben sich die weltweit eindeutigen "Object Identifier" (OIDs)

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021