privacyIDEA 2.22

Flexiblere Zwei-Faktor-Authentifizierung an VPNs

| Redakteur: Peter Schmitz

privacyIDEA 2.22 bringt zahlreiche Erweiterungen und neue Funktionen, zum Beispiel die Unterstützung für proprietäre VASCO-Token.
privacyIDEA 2.22 bringt zahlreiche Erweiterungen und neue Funktionen, zum Beispiel die Unterstützung für proprietäre VASCO-Token. (Bild: privacyIDEA)

Die neue Version 2.22 der Open-Source-Authentifizierungslösung privacyIDEA kann Informationen flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückliefern als bisher. Administratoren können außerdem spezifische Rückgabe-Werte zu definieren. Zudem unterstützt privacyIDEA 2.22 proprietäre VASCO-Token, bietet einen Counter Handler und weitere Erweiterungen.

Vor allem die Definition von Rückgabewerten schafft deutlich mehr Flexibilität für Administratoren. Die Informationen für die Definition dieser Werte können dabei zum Beispiel aus Attributen des Benutzers im Active Directory stammen. Über reguläre Ausdrücke können diese Attribute nochmals umgeformt werden, bevor sie über das RADIUS-Protokoll an die Firewall oder das VPN zurückgegeben werden. Solche personenbezogenen Attribute werden von VPN-Systemen wie Cisco ASA oder Citrix Netscaler oft verwendet, um den Benutzern gezielt Zugriff auf bestimmte Subnetze oder Netzwerkressourcen zu gewähren.

Unterstützung von VASCO-Token

Auch wenn privacyIDEA vollständig Open Source ist, besteht in einzelnen Fällen die Notwendigkeit, mit proprietären Komponenten zu kommunizieren. Aus diesem Grund wurde in Version 2.22 die Unterstützung für proprietäre VASCO-Token integriert. Auf diese Weise ist es einfacher, proprietäre VASCO-Token und HOTP- bzw. TOTP-Token oder Yubikeys parallel zu betreiben, bevor langfristig eine Loslösung von proprietären Geräten erfolgen kann.

SMS via SMPP

SMPP (Short Message Peer-to-Peer) ist ein Protokoll, das vor allem von Carriern und Mobilfunk-Providern genutzt wird. In privacyIDEA ist nun ein Modul enthalten, das SMS über SMPP versenden kann. Diese Versandart kann sowohl für SMS Token zur Authentifizierung als auch vom Event Handler für Benachrichtigungen verwendet werden.

Counter Handler zum flexiblen Monitoring

Das bereits sehr flexible Event Handler Framework mit Token-Handler, Benachrichtigungs-Handler, Federation-Handler und Script-Handler wurde in Version 2.22 um einen Counter-Handler ergänzt. Dieser speichert beliebige Zähler in der Datenbank, die flexibel konfigurierte Ereignisse erfassen. So kann zum Beispiel ein Zähler fehlgeschlagene Authentifizierungsanfragen mit HOTP Token-Typen zählen. Diese Zähler können nun für jede beliebige Statistik und Auswertungen herangezogen werden.

Einführung von Token-Arten

privacyIDEA unterstützt viele verschiedene Token-Typen wie HOTP, TOTP, SMS, E-Mail, Yubikey. Doch gerade bei HOTP fällt auf, dass hier manchmal die Unterscheidung schwer fällt zwischen einem HOTP-Token auf einem Smartphone und einem Hardware-Token am Schlüsselanhänger. Daher wurde mit privacyIDEA 2.22 die Token-Art eingeführt, die genau definiert, ob es sich um einen Hardware-Token, einen Software-Token oder einen virtuellen Token handelt. Diese Token-Art kann dann später für weitere Logiken genutzt werden. So ist zum Beispiel vorstellbar, dass lediglich verwaiste Software-Token aber keine Hardware-Token automatisiert aus der Datenbank gelöscht werden.

Tokeninfo in Autorisierungs-Richtlinien verwenden

Der Token-Handler kann im Event-Handler-Framework beliebige Token-Informationen eines Tokens lesen oder in den Token schreiben. Diese beliebigen Token-Informationen können nun auch zur Autorisierung herangezogen werden, um einem Benutzer, der sich erfolgreich authentisiert hat, den Zugriff zu gewähren oder eben doch zu verweigern.

Viele Erweiterungen

privacyIDEA 2.22 kommt mit zahlreichen anderen Erweiterungen wie verbesserten Import und Export via PSKC, der Möglichkeit SMS und E-Mail-Adressen zur Authentifizierung dynamisch aus dem Active Directory zu lesen.

Die Migration von LinOTP nach privacyIDEA wurde verbessert, so dass mit dem Migrationskript nun leicht mehrere zehntausend Token migriert werden können. Ebenfalls kann diese Migration genutzt werden, um die verschlüsselten Daten in der Datenbank umzuschlüsseln.

E-Mail-Token können den E-Mail-Text aus einem HTML-Template lesen und der LDAP-Resolver unterstützt beliebige Multivalue-Attribute.

Das komplette Changelog ist bei Github einzusehen. Die Pakete der jetzt erschienen Version 2.22 sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden. Die privacyIDEA Enterprise Edition 2.22.1 wird in wenigen Wochen erscheinen. Im April steht die Enterprise Edition dann auch in den Repositories für die Support-Kunden von NetKnights zur Verfügung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45226369 / Security-Devices und -Tools)