Wechseln zu:Navigation, Suche
Wiki































De.png
En.png
Fr.png









Konfiguration eines One-Time-Passwortes (OTP) mit AD-Anbindung

Letzte Anpassung zur Version: 12.6.0

Neu:
Zuletzt aktualisiert: 
    11.2023
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Authentifizierung AD/LDAP Authentifizierung  Bereich Erweitert

Einleitung

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

notempty
Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.

Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.

SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung erfolgt auf der UTM für alle SSL-VPN Clients dieser Instanz.
Nach der Änderung wird der SSL-VPN Dienst automatisch neu gestartet.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

notempty
Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt man eine ausgedruckte Version des QR-Codes.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.

Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter OTP Secret beschrieben.

  • Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
  • Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

    • Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
    • Über die CLI mit dem Kommando system date get
    • Über die Root Konsole mit dem Kommando date

    Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

    • Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
    • Über die CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

    Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP

    Attribute im Active Directory

    Die UTM wird an das Active Directory angebunden. Eine Anleitung dafür gibt es in diesem Wiki-Artikel Active Directory Anbindung. Ein nicht genutztes Attribut im Active Directory Schema wird benötigt. Darin wird der Geheimcode hinterlegt. WIN2012 AD BuGerw.png
    AD Erweiterte Einstellungen
    Eine Liste der Attribute befindet sich im Active Directory unter Active Directory-Benutzer und -Computer.
    Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren.
    Beim gewünschtem Benutzer Eigenschaften öffnen. Zum Reiter Attribut-Editor wechseln. Dort befindet sich die Liste mit den Attributen. WIN2012 AD EuserAE.png
    AD Attribut-Editor
    In diesem Beispiel stehen die Attribute extensionAttribute1 - 15 zur Verfügung. Eines dieser Attribute auswählen, indem der OTP Geheimcode für den Benutzer hinterlegt wird.
    notempty
    Es können auch neue Attribute erstellt werden. Das ist jedoch ein Eingriff in das AD Schema und das hat schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

    Attribut in der UTM Eintragen

    Das Attribute der AD mit dem OTP Geheimcode muss in die UTM eingetragen werden.
    Im Menu Authentifizierung AD/LDAP Authentifizierung zum Bereich Erweitert wechseln.
    Beschriftung Wert Beschreibung AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent UTM v12.6 Auth AD-LDAP Erweitert OTP-Attribute.pngAD OTP Attribut
    OTP-Attribute: extensionAttribute10 Das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.

    OTP Geheimcode generieren

    Da im AD Attribut extensionAttribute10 als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen. Benutzer UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6 Auth Benutzer.pngDummy User für OTP-Schlüssel
    Es wird einfach unter Authentifizierung Benutzer ein Benutzer angelegt - hier mit dem Namen otp_dummy_user. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.
    Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite OTP.
    Zum einen befindet sich in dem Bereich
    OTP
    schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.
    Mit der Schaltfläche wird ein neuer Geheimcode generiert.
    Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Auth Benutzer OTP.pngOTP-Schlüssel generieren
    notempty
    Nicht jede Authenticator App unterstützt jeden Hash-Algorithmus! Einige dieser Apps unterstützen kein SHA256, oder SHA512.
    Bei Verwendung dieser Apps muss ggf. Default Wert beibehalten werden.
  • Beispiel: Die Apps Google Authenticator und Microsoft Authenticator unterstützen ausschließlich den Hash-Algorithmus SHA1
  • Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.
    Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.
    WIN2012 AD EUAcode hinz google.png
    Schlüssel-Code in Attribut einfügen (Google-Authenticator)
    Bitte beachten:
    Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. hex(60) )im AD-Attribut vor dem PSK angegeben werden.
    WIN2012 AD EUAcode hinz hardware token.png
    Schlüssel-Code in Attribut einfügen (Hardware-Token)
    Der Syntax des OTP Geheimcode lautet folgendermaßen:
    ${HASH_ALGO}:${CODING}(${INTERVAL})${SECRET}
    • ${HASH_ALGO}: der Hash-Algorithmus, also ob sha1, sha256, oder sha512
      • wird dieser nicht mit angegeben, so ist per default sha1
    • ${CODING}: das Eingabeformat, also base32(b32), base64(b64). oder hex
    • ${INTERVAL}: das Intervall, welches in Klammern stehen muss
    • ${Secret}: der oben generierte Geheimcode
    Beispiel: sha256 mit base32 und 30 Sekunden-Intervall → sha256:b32(30)1234567ABCD123
    Der QR Code kann einfach durch einen Klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich hier. Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Auth Benutzer OTP speichern.pngQR Code als Grafik speichern
    Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.
    Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf die Schaltfläche erstellt.

    Gruppe für AD Authentifizierung anlegen

    Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können. Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Auth Gruppe Berechtigungen.pngBenutzergruppe anlegen
    Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.
    Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft. UTM v12.6 Auth Gruppe Verzeichnis-Dienst.png
    AD Gruppe mit UTM Benutzergruppe verknüpfen
    Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.