K (Weiterleitung auf UTM/AUTH/OTP-AD v11.7 entfernt) Markierung: Weiterleitung entfernt |
Keine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
{{:UTM/AUTH/OTP-AD.lang}} | {{:UTM/AUTH/OTP-AD.lang}} | ||
{{var | neu--Syntax Hash | |||
| Detailliertere Beschreibung des [[#Syntax_Hash|Syntax des Hash-Algorithmus]] | |||
| Detailed description of the [[#Syntax_Hash|hash algorithm syntax]] }} | |||
{{var | neu--Auth-Apps Hash | |||
| Informationen zu den [[#Auth-Apps|Authenticator Apps]] bzgl. der unterstützten Hash-Algorithmen | |||
| Information on the [[#Auth-Apps|Authenticator apps]] regarding the supported hash algorithms }} | |||
{{var | neu--Layout | {{var | neu--Layout | ||
| Layoutanpassung und Screenshots aktualisiert | | Layoutanpassung und Screenshots aktualisiert | ||
| Updated layout adjustment and screenshots }} | | Updated layout adjustment and screenshots }} | ||
</div>{{TOC2}}{{Select_lang}} | </div><div class="new_design"></div>{{TOC2}}{{Select_lang}} | ||
{{Header| | {{Header|12.6.0|zuletzt= 11.2023| | ||
* {{#var:neu--Syntax Hash}} | |||
* {{#var:neu--Auth-Apps Hash}} | |||
* {{#var:neu--Layout}} | * {{#var:neu--Layout}} | ||
|[[UTM/AUTH/OTP-AD_v11.7 | | |[[UTM/AUTH/OTP-AD_v12.3.6 | 12.3.6]] | ||
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} | [[UTM/AUTH/OTP-AD_v11.7 | 11.7]] | ||
|{{Menu-UTM|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}}|{{#var:Erweitert}} }} | |||
}} | }} | ||
Zeile 19: | Zeile 28: | ||
=== {{#var:Einleitung}} === | === {{#var:Einleitung}} === | ||
<div class="einrücken"> | <div class="einrücken"> | ||
{{Hinweis- | <!-- {{Hinweis-box|{{#var:Einleitung wichtige Hinweise}} }} --> | ||
{{#var:Einleitung OTP aktiviert}} | {{#var:Einleitung OTP aktiviert}} | ||
{{Hinweis- | {{Hinweis-box|{{#var:Einleitung OTP jeder Admin}} }} | ||
{{#var:Einleitung keine Ausnahme User}} | {{#var:Einleitung keine Ausnahme User}} | ||
<br><br> | <br><br> | ||
Zeile 29: | Zeile 38: | ||
<br><br> | <br><br> | ||
{{#var:Einleitung SSLVPN Passwort speichern}} | {{#var:Einleitung SSLVPN Passwort speichern}} | ||
{{Hinweis- | {{Hinweis-box|{{#var:Einleitung Smartphone--Hinweis}}|fs__icon=em2}} | ||
{{#var:Einleitung Dokument}} | {{#var:Einleitung Dokument}} | ||
<li class="list--element__alert list--elment__warning">{{#var:Einleitung Zeitserver--Hinweis}}</li> | |||
<div class="Einrücken"> | |||
{{#var:Einleitung Uhrzeit}} | {{#var:Einleitung Uhrzeit}} | ||
{{#var:Einleitung Systemzeit}} | {{#var:Einleitung Systemzeit}} | ||
</div> | </div></div> | ||
---- | ---- | ||
Zeile 41: | Zeile 51: | ||
<div class="einrücken"> | <div class="einrücken"> | ||
==== {{#var:Attribute im Active Directory}} ==== | ==== {{#var:Attribute im Active Directory}} ==== | ||
{| class="sptable2 pd5 zh1 einrücken" | |||
{{#var:Attribute im Active Directory--desc}} | |- class="noborder" | ||
{{ | | {{#var:Attribute im Active Directory--desc}} | ||
{{#var:Attribute im Active Directory--desc2}} | | class="Bild" rowspan="3"| {{Bild|{{#var:Attribute im Active Directory--Bild}}|{{#var:Attribute im Active Directory--cap}} }} | ||
|- class="noborder" | |||
| {{#var:Attribute im Active Directory--desc2}} | |||
{{#var:Attribut-Editor-- | |- class="Leerzeile" | ||
| | |||
{{#var:Attribut-Editor Beispiel}} | |- class="noborder" | ||
| {{#var:Attribut-Editor--desc}} | |||
{{Hinweis- | | class="Bild" rowspan="4"| {{Bild|{{#var:Attribut-Editor--Bild}}|{{#var:Attribut-Editor--cap}} }} | ||
|- class="noborder" | |||
| {{#var:Attribut-Editor Beispiel}} | |||
|- class="noborder" | |||
| {{Hinweis-box|{{#var:Attribut-Editor neue Attribute}}|gelb|fs__icon=em2}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
==== {{#var:Attribut in der UTM Eintragen}} ==== | ==== {{#var:Attribut in der UTM Eintragen}} ==== | ||
{| class="sptable2 pd5 zh1 einrücken" | |||
{{#var:Attribut in der UTM Eintragen--desc}} | |- class="noborder" | ||
| colspan="3"| {{#var:Attribut in der UTM Eintragen--desc}} | |||
|- | |- | ||
! class="mw11" | {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! class="mw11" | {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="3"| {{Bild|{{#var:Attribut in der UTM Eintragen--Bild}}|{{#var:Attribut in der UTM Eintragen--cap}} }} | | class="Bild" rowspan="3"| {{Bild|{{#var:Attribut in der UTM Eintragen--Bild}}|{{#var:Attribut in der UTM Eintragen--cap}}||{{#var:AD/LDAP Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text=Assistent|icon2=fa-save }} | ||
|- | |- | ||
| {{b|OTP-Attribute:}} || {{ic|extensionAttribute10|class="available"}} || {{#var:OTP-Attribute--desc}} | | {{b|OTP-Attribute:}} || {{ic|extensionAttribute10|class="available"}} || {{#var:OTP-Attribute--desc}} | ||
Zeile 67: | Zeile 82: | ||
| | | | ||
|} | |} | ||
==== {{#var:OTP Geheimcode generieren}} ==== | ==== {{#var:OTP Geheimcode generieren}} ==== | ||
{| class="sptable2 pd5 zh1 einrücken noborder" | |||
{{#var:OTP Geheimcode generieren--desc}} | |- | ||
{{ | | {{#var:OTP Geheimcode generieren--desc}} | ||
{{#var:OTP Geheimcode generieren--desc2}} | | class="Bild" rowspan="3"| {{Bild|{{#var:OTP Geheimcode generieren--Bild}}|{{#var:OTP Geheimcode generieren--cap}}||{{#var:Benutzer}}|{{#var:Authentifizierung}} }} | ||
|- | |||
{{ | | {{#var:OTP Geheimcode generieren--desc2}} | ||
{{#var:OTP Geheimcode generieren-- | |- class="Leerzeile" | ||
< | | | ||
{{ | |- | ||
{{#var:OTP Geheimcode--desc}} | | {{#var:OTP Geheimcode generieren--desc3}} | ||
| class="Bild" rowspan="4"| {{Bild|{{#var:OTP Geheimcode generieren--Bild2}}|{{#var:OTP Geheimcode generieren--cap2}}||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-xmark-circle|icon2=fa-close }} | |||
{{ | |- | ||
{{#var:OTP Geheimcode | | <span id="Auth-Apps"></span>| {{Hinweis-box|{{#var:OTP Geheimcode generieren Hash-Algo-Art}}|g|fs__icon=em2}} | ||
|- | |||
{{ | | <li class="list--element__alert list--element__hint">{{#var:OTP Geheimcode generieren Google}}</li> | ||
{{#var: | |- class="Leerzeile" | ||
| | |||
{{#var:OTP QRCode speichern--desc2}} | |- | ||
| {{#var:OTP Geheimcode--desc}} | |||
| class="Bild" rowspan="2"| {{Bild|{{#var:OTP Geheimcode--Bild}}|{{#var:OTP Geheimcode--cap}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| {{#var:OTP Geheimcode Hardware-Token--desc}} | |||
| class="Bild" rowspan="4"| {{Bild|{{#var:OTP Geheimcode Hardware-Token--Bild}}|{{#var:OTP Geheimcode Hardware-Token--cap}} }} | |||
|- | |||
| <span id="Syntax_Hash"></span>| {{#var:OTP Geheimcode Syntax}} | |||
|- | |||
| {{#var:OTP Geheimcode Syntax Beispiel}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| {{#var:OTP QRCode speichern--desc}} | |||
| class="Bild" rowspan="3"| {{Bild|{{#var:OTP QRCode speichern--Bild}}|{{#var:OTP QRCode speichern--cap}}||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-xmark-circle|icon2=fa-close}} | |||
|- | |||
| {{#var:OTP QRCode speichern--desc2}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
==== {{#var:Gruppe für AD Authentifizierung anlegen}} ==== | ==== {{#var:Gruppe für AD Authentifizierung anlegen}} ==== | ||
{| class="sptable2 pd5 zh1 einrücken noborder" | |||
{{ | |- | ||
{{#var: | | {{#var:Gruppe für AD Authentifizierung anlegen--desc}} | ||
| class="Bild" rowspan="3"| {{Bild|{{#var:Gruppe für AD Authentifizierung anlegen--Bild}}|{{#var:Gruppe für AD Authentifizierung anlegen--cap}}||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-xmark-circle|icon2=fa-close}} | |||
{{#var:Gruppe für AD Authentifizierung anlegen--desc2}} | |- | ||
| {{#var:Gruppe für AD Authentifizierung anlegen--desc2}} | |||
|- class="Leerzeile" | |||
{{#var:Gruppe für AD Authentifizierung anlegen-- | | | ||
|- | |||
{{#var:Gruppe für AD Authentifizierung anlegen--desc4}} | | {{#var:Gruppe für AD Authentifizierung anlegen--desc3}} | ||
| class="Bild" rowspan="3"| {{Bild|{{#var:Gruppe für AD Authentifizierung anlegen--Bild2}}|{{#var:Gruppe für AD Authentifizierung anlegen--cap2}} }} | |||
|- | |||
| {{#var:Gruppe für AD Authentifizierung anlegen--desc4}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
</div> | </div> |
Aktuelle Version vom 15. Februar 2024, 11:16 Uhr
- Detailliertere Beschreibung des Syntax des Hash-Algorithmus
- Informationen zu den Authenticator Apps bzgl. der unterstützten Hash-Algorithmen
- Layoutanpassung und Screenshots aktualisiert
- 11.2023
Einleitung
Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
notemptyEine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.
SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung erfolgt auf der UTM für alle SSL-VPN Clients dieser Instanz.
Nach der Änderung wird der SSL-VPN Dienst automatisch neu gestartet.
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.
Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter OTP Secret beschrieben.
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:
- Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
- Über die CLI mit dem Kommando system date get
- Über die Root Konsole mit dem Kommando date
Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:
- Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
- Über die CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss
Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP
Attribute im Active Directory
Die UTM wird an das Active Directory angebunden. Eine Anleitung dafür gibt es in diesem Wiki-Artikel Active Directory Anbindung. Ein nicht genutztes Attribut im Active Directory Schema wird benötigt. Darin wird der Geheimcode hinterlegt. | |
Eine Liste der Attribute befindet sich im Active Directory unter Active Directory-Benutzer und -Computer. Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren. | |
Beim gewünschtem Benutzer Eigenschaften öffnen. Zum Reiter Attribut-Editor wechseln. Dort befindet sich die Liste mit den Attributen. | |
In diesem Beispiel stehen die Attribute extensionAttribute1 - 15 zur Verfügung. Eines dieser Attribute auswählen, indem der OTP Geheimcode für den Benutzer hinterlegt wird. | |
notempty Es können auch neue Attribute erstellt werden. Das ist jedoch ein Eingriff in das AD Schema und das hat schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.
| |
Attribut in der UTM Eintragen
OTP Geheimcode generieren
Da im AD Attribut extensionAttribute10 als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen. | UTMbenutzer@firewall.name.fqdnAuthentifizierung |
Es wird einfach unter | ein Benutzer angelegt - hier mit dem Namen otp_dummy_user. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.|
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite Zum einen befindet sich in dem Bereich OTP schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.Mit der Schaltfläche wird ein neuer Geheimcode generiert. |
.UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer |
notempty Nicht jede Authenticator App unterstützt jeden Hash-Algorithmus! Einige dieser Apps unterstützen kein SHA256, oder SHA512.
Bei Verwendung dieser Apps muss ggf. Default Wert beibehalten werden. | |
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden. Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token. |
|
Bitte beachten: Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. hex(60) )im AD-Attribut vor dem PSK angegeben werden. |
|
Der Syntax des OTP Geheimcode lautet folgendermaßen: ${HASH_ALGO}:${CODING}(${INTERVAL})${SECRET}
| |
Beispiel: sha256 mit base32 und 30 Sekunden-Intervall → sha256:b32(30)1234567ABCD123 | |
Der QR Code kann einfach durch einen Klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich hier. | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer |
Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten. Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf die Schaltfläche erstellt. | |