UTM/AUTH/OTP: Unterschied zwischen den Versionen

Version vom 6. März 2024, 15:31 Uhr

Wichtige Hinweise bei der Verwendung des OTP-Verfahrens

Letzte Anpassung zur Version: 12.6.1

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 12.3 11.8.8 11.8 11.7

Vorbemerkungen

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

notempty

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. Eine Ausnahme auf User-Basis ist nicht möglich!

SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann im Menü VPN SSL-VPN in den Einstellungen einer Verbindung im Reiter Allgemein unter Renegotiation erhöht oder komplett deaktiviert werden.
Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.
Dieser findet sich unter Authentifizierung Benutzer OTP Codes.

notempty

Fällt der OTP-Generator für den Administrator-Zugang aus, wird eine ausgedruckte Version des QR-Codes benötigt.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.

Ausdruck dieses Codes für die Administratoren, wie unter OTP Secret beschrieben. Ablage in der Dokumentation.

Da das OTP-Verfahren zeit basiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget-Auswahl, wenn diese nicht ausgeklappt ist oder im Menü Netzwerk Servereinstellungen Bereich Zeiteinstellungen
Über das CLI mit dem Kommando system date get
Über die Root Konsole mit dem Kommando date

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

Über die Administrations-Weboberfläche im Menü Netzwerk Servereinstellungen Bereich Zeiteinstellungen
Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

OTP - One-Time-Password

Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um dieses sechs-stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android, als auch für iOS Geräte verfügbar.
Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.

OTP einrichten

Ablauf bei Aktivierung

Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
Übertragung des Geheimcodes an den Token
Aktivieren des OTP-Verfahrens auf der UTM
Testen der Anmeldung, bevor die aktuelle Session beendet wurde

notempty

Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. Ausnahmen sind nicht möglich.

Benutzer mit OTP einrichten

Zunächst werden die Benutzer unter Authentifizierung Benutzer wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.

Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.

OTP Konfiguration
Beschriftung	Wert	Beschreibung	Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer OTP Benutzer
Eingabeformat:	base32 kodiert	Default-Einstellung, base32 kodiert, 16 Zeichen Länge Codes mit weniger als 26 Zeichen Länge können u.U. von OTP-Apps als unsicher gekennzeichnet werden
	base64 kodiert	base64 kodiert, Länge 16 - 168 Zeichen (in 4er Blöcken), manuelle Eingabe
	HEX kodiert	HEX-kodiert, Gültige Zeichen: A-F, a-f und 0-9 / Länge 10-128 Paare, manuelle Eingabe
Hash-Algorithmus:	sha1 Default	Der Hash-Algorithmus kann ausgewählt werde
	sha256	notempty Nicht jede Authenticator App unterstützt jeden Hash-Algorithmus! Einige dieser Apps unterstützen kein sha256, oder sha512. Bei Verwendung dieser Apps muss ggf. Default Wert beibehalten werden. Beispiel: Die Apps Google Authenticator und Microsoft Authenticator unterstützt ausschließlich den Hash-Algorithmus sha1.
	sha512
Intervall:	30	Das Intervall sollte auf 30 Sekunden eingestellt sein Wird ein Hardware-Token verwendet, muss dessen Wert übernommen werden. OTP Apps sind oft auf eine Aktualisierung des Tokens alle 30 Sekunden optimiert.
Code:	DQUZGDQS3UM2KOKL	Gibt den Code in Text-Form an. Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
Code:		Erzeugt einen neuen Code mit den Default-Vorgaben (base32 kodiert, Intervall 30 Sekunden)

Resultierender Code
Secret:	DQUZGDQS3UM2KOKL	Gibt den Code in Text-Form an
OTP-Code überprüfen:		Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.

OTP Secret

OTP PDF Dokument

Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
OTP Codes
Es wird dann ein Dokument im PDF Format wie folgt erstellt:

Einrichten eines Authenticators

Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:	OTP mit dem Google Authenticator erzeugen
Einrichten mit QR-Code: ggf. Schaltfläche Account hinzufügen / + o.ä. wählen Schaltfläche QR-Code scannen oder auf QR-Code-Symbol klicken spätestens jetzt: Zugriff auf Kamera erlauben Es wird Ein Konto mit der Bezeichnung der Firewall und dem Benutzernamen erstellt Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann
Einrichten mit Einrichtungsschlüssel: Accountnamen eingeben Key / Secret eintragen Key-Typ: Zeitbasiert / TOTP Digits: 6 Algorythmus: SHA1 Interval 30 Sekunden Es wird Ein Konto mit dem angegebenen Accountnamen erstellt Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann

Nutzung eines Hardware Tokens

Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln.
Von Securepoint's Seite wird derzeit der Feitian OTP c200 unterstützt.
Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.
Folgende Parameter müssen dabei verwendet werden:

SHA Algorithmus: SHA1
Zeitintervall: 30 Sekunden
Optional: SEED-Programmierung
Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert.

notempty

Es muss darauf geachtet werden den Token Key einzutragen und nicht die Token ID.
Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code.

notempty

Achtung: Der OTP-Seed lässt sich per LDAP auslesen, wenn dieser in den Nutzerattributen im AD hinterlegt ist.

OTP den Anwendungen zuweisen

Unter Authentifizierung OTP kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.

Webinterfaces		OTP UTMbenutzer@firewall.name.fqdnAuthentifizierung OTP Anwendungen
Aus	Administrator-Webinterface Der CLI-Befehl, um OTP für das Admin-Interface zu aktivieren lautet: extc global set variable GLOB_AI_OTP_AUTH value 1
Aus	Anwender-Webinterface Der CLI-Befehl, um OTP für das User-Interface zu aktivieren lautet: extc global set variable GLOB_UI_OTP_AUTH value 1

VPN (Roadwarrior-Verbindungen)
Aus	IPSec Der CLI-Befehl für IPSec lautet: extc value set application ipsec variable USE_OTP value 1
Aus	SSL-VPN Der CLI-Befehl für SSL-VPN lautet: extc value set application openvpn variable USE_OTP value 1

Firewall
Aus	SSH (Konsole) SSL-VPN Der CLI-Befehl für SSH lautet: extc value set application sshd variable USE_OTP value 1
notempty Fällt der OTP-Generator für den Administrator-Zugang aus, wird eine ausgedruckte Version des QR-Codes benötigt. Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.

OTP benutzen

Webinterface

OTP Login

Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
für den OTP-Code.
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.

VPN

Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf Die Verbindung wird in drei Schritten Aufgebaut:

Eingabe Benutzername: User

Eingabe Kennwort: insecure

Eingabe OTP: 123456

Verbunden

notempty

Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:

Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.

Eingabe Benutzername: User

Eingabe Kennwort und OTP: insecure123456

Beispiel:

Passwort:	insecure	Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.
OTP:	123456
Kennwort:	insecure123456

SSH-Verbindung

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.

notempty

VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:

SSH-Login mit OTP unter PuTTY und v11.7.15

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
Beispiel

Passwort in UTM:	insecure
OTP:	123456
Passwort:	insecure123456

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/AUTH/OTP.lang}}
-{{var	| neu--CLI Befehle
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-		| [[#OTP_den_Anwendungen_zuweisen | CLI-Befehle]] um OTP den Anwendungen zuzuweisen
+{{Header|12.6.1|
-		| [[#OTP_den_Anwendungen_zuweisen | CLI commands]] to assign OTP to the applications }}
+* {{#var:neu--rwi}}
-{{var	| neu--OTP-Seed Sicherheitshinweis
+|[[UTM/AUTH/OTP_v12.5 | 12.5]]
-		| [[#Nutzung_eines_Hardware_Tokens | Sicherheitshinweis beim OTP-Seed bei LDAP]]
+[[UTM/AUTH/OTP_v12.1 | 12.3]]
-		| [{{#var:host}}UTM/AUTH/OTP#Use_of_a_hardware_token Security note for OTP seed with LDAP] }}
+[[UTM/AUTH/OTP_v11.8.8 | 11.8.8]]
-{{var	| neu--Hash-Algorithmus
+[[UTM/AUTH/OTP_v11.8 | 11.8]]
-		| [[#Benutzer_mit_OTP_einrichten | Der Hash-Algorithmus kann ausgewählt werden]]
+[[UTM/AUTH/OTP_v11.7 | 11.7]]
-		| [{{#var:host}}UTM/AUTH/OTP#Configure_OTP_User The hash algorithm can be selected] }}
+|{{Menu-UTM|{{#var:Authentifizierung}}|{{#var:Benutzer}} }}
-{{var	| neu--Intervall
+}}
-		| Intervall für die Gültigkeit ist konfigurierbar
-		| Interval for validity is configurable }}
-{{var	| neu--Auth-Apps Hash
-		| Informationen zu den [[#Benutzer_mit_OTP_einrichten|Authenticator Apps]] bzgl. der unterstützten Hash-Algorithmen
-		| Information on the [{{#var:host}}#Benutzer_mit_OTP_einrichten Authenticator apps] regarding the supported hash algorithms }}
-</div>{{TOC2|toclevel=2}}{{Select_lang}}
-{{Header|11.2023 |
-* {{#var:neu--Auth-Apps Hash}}
-* {{#var:neu--CLI Befehle}}
-* {{#var:neu--Hash-Algorithmus}} <small>(v12.4)</small>
-* {{#var:neu--OTP-Seed Sicherheitshinweis}} <small>(03.2023)</small>
-* {{#var:neu--Intervall}} <small>11.3</small>
-|[[UTM/AUTH/OTP_v12.1|12.3]]
-[[UTM/AUTH/OTP_v11.8.8|11.8.8]]
-[[UTM/AUTH/OTP_v11.8| '''11.8''']]
-[[UTM/AUTH/OTP_v11.7| '''11.7''']]
-|{{Menu|Authentifizierung|Benutzer|OTP}} }}
 ----
@@ Zeile 38: / Zeile 19: @@
 === {{#var:Vorbemerkungen}} ===
 <div class="Einrücken">
-{{#var:Vorbemerkungen--desc}}
+{{#var:Vorbemerkungen--desc}}<br>
+{{Hinweis-box|{{#var:Vorbemerkungen--Hinweis}} }}
+<br><br>
+'''SSL-VPN:'''<br>
+{{#var:Vorbemerkungen SSL-VPN}}
 <br>
-{{Hinweis-box|{{#var:Hinweis}} {{#var:9}} }}
+{{Hinweis-box|{{#var:Vorbemerkungen SSL-VPN--Hinweis }} |r|fs__icon=em2 }}
 <br>
-{{#var:Eine Ausnahme auf User-Basis ist nicht möglich}}
+{{#var:Ausdruck dieses Codes für die Administratoren}}
-<br><br>
-'''SSL-VPN:'''
 <br>
-{{#var:11}}
+<li class="list--element__alert list--element__warning">{{#var:Da das OTP-Verfahren zeit basiert ist}}</li>
-<br><br>
+{{#var:Da das OTP-Verfahren zeit basiert ist--desc}}
-{{#var:12}}
-<b>
-<p>{{#var:13}} </p>
-</b>
-{{Hinweis-box|{{#var:Fällt der OTP-Generator aus-Hinweis }}<br> {{#var:15}} |class=center|r|fs__icon=em2 }}
 <br>
+{{#var:Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden}}
+<br clear=all></div>
+----
-<p>{{#var:16}} </p>
-<p><li class="list--element__alert list--element__warning">{{#var:19}}<br>
+=== OTP - One-Time-Password ===
-{{#var:Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen}}</li>
 <div class="Einrücken">
-* {{#var:21}}
+{{#var:One-Time-Password--desc}}
-* {{#var:22}}
-* {{#var:23}}
-{{#var:Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden}}<br>
-* {{#var:25}}
-* {{#var:26}}
-</div></p>
 </div>
 ----
-=== OTP - One-Time-Password ===
-<div class="Einrücken">
-<p>{{#var:One-Time-Password--desc}} </p>
-<p>{{#var:29}} </p>
-</div>
-----
 === {{#var:OTP einrichten}} ===
-<div class="Einrücken">
 ==== {{#var:Ablauf bei Aktivierung}} ====
 <div class="Einrücken">
-# {{#var:32}}
+{{#var:Ablauf bei Aktivierung--desc}}
-# {{#var:33}}
+</div>
-# {{#var:34}}
+----
-# {{#var:35}}
-{{Hinweis-box|{{#var:Ablauf bei Aktivierung--desc}}|g|class=Einrücken}}
-</span></div></div>
-----
 === {{#var:Benutzer mit OTP einrichten}} ===
 <div class="Einrücken">
-<p>{{#var:Benutzer mit OTP einrichten--desc}} </p>
+{{#var:Benutzer mit OTP einrichten--desc}}
-<p>{{#var:Automatisches erstellen eines Codes--desc}} </p>
+</div>
-</div><br clear=all>
 {| class="sptable2 pd5 zh1 Einrücken"
 |- class="noborder"
 | colspan="3" | {{b|{{Kasten|{{#var:OTP Konfiguration}} }} }}
+|- class="Leerzeile"
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
+| class="Bild" rowspan="15" | {{Bild| {{#var:Benutzer mit OTP einrichten--Bild}} |{{#var:Benutzer mit OTP einrichten--cap}}||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
-| rowspan="3" | {{b|{{#var:Eingabeformat}}:}} || {{Button| base32 {{#var:kodiert}} |dr|class=available}} || {{#var:base32--desc}} {{info| {{#var:base32--Hinweis}} | einblenden={{#var:base32 Fehlermeldung}} }}
+| rowspan="3" | {{b|{{#var:Eingabeformat}}:}} || {{Button|base32 {{#var:kodiert}}|dr|class=available}} || {{#var:base32--desc}} {{info| {{#var:base32--Hinweis}} | einblenden={{#var:base32 Fehlermeldung}} }}
-| class="Bild" rowspan="14" | {{Bild| {{#var:Benutzer mit OTP einrichten--Bild}} |{{#var:Benutzer mit OTP einrichten--cap}} }}
 |-
-| {{Button| base64 {{#var:kodiert}} |dr|class=available}} || {{#var:base64--desc}}
+| {{Button| base64 {{#var:kodiert}} |dr|class=available}} || [https://de.wikipedia.org/wiki/Base64 base64] {{#var:base64--desc}}
 |-
 | {{Button| HEX {{#var:kodiert}} |dr|class=available}} || {{#var:HEX--desc}}
 |-
-| rowspan="3"| {{b|{{#var:Hash-Algorithmus}} }}{{Hinweis-box||gr|12.5|status=update}} || {{button|sha1|dr|class=available}}<br><small>'''Default'''</small> || {{#var:Hash-Algorithmus--desc}}
+| rowspan="3"| {{b|{{#var:Hash-Algorithmus}} }} || {{button|sha1|dr|class=available}} <br><small>'''Default'''</small> || {{#var:Hash-Algorithmus--desc}}
 |-
-| {{button|sha256|dr|class=available}} || rowspan="2"| {{Hinweis-box|{{#var:OTP Geheimcode generieren Hash-Algo-Art}}|g|fs__icon=em2}}<br><li class="list--element__alert list--element__hint">{{#var:OTP Geheimcode generieren Google}}</li>
+| {{button|sha256|dr|class=available}} || rowspan="2" | {{Hinweis-box|{{#var:OTP Geheimcode generieren Hash-Algo-Art}}|g}} <br><br><li class="list--element__alert list--element__hint">{{#var:OTP Geheimcode generieren Google}}</li>
 |-
 | {{button|sha512|dr|class=available}}
 |-
-| {{b|{{#var:Intervall}}:}} || {{ic|30 |c|class=available}} || {{#var:Intervall--desc}} {{info|{{#var:Interval--Hinweis}} }} {{Hinweis-box|{{#var:Einstellbar ab}} v12.3|gr|12.4|status=update}}
+| {{b|{{#var:Intervall}}:}} || {{ic|30|c|class=available}} || {{#var:Intervall--desc}} {{info|{{#var:Interval--Hinweis}} }}
 |-
-| rowspan="2" | {{b|Code:}} || {{ic|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}<br> {{Hinweis-box||gr}} {{#var:Code-Hinweis}}
+| rowspan="2" | {{b|Code:}} || {{ic|DQUZGDQS3UM2KOKL|class=available}} || {{#var:Code--desc}}
 |-
-| {{Button||r}} || {{#var:Code neu erzeugen}}
+| {{Button||r}} || {{#var:Code neu erzeugen--desc}}
-|- class="noborder"
+|- class="Leerzeile"
 |
 |- class="noborder"
-| colspan="3" | <br>{{b|{{Kasten|{{#var:Resultierender Code}} }} }}
+| colspan="3" | {{b|{{Kasten|{{#var:Resultierender Code}} }} }}
 |-
-| {{b|Secret:}} || {{Button|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}
+| {{b|Secret:}} || {{Button|DQUZGDQS3UM2KOKL|class=available}} || {{#var:Secret--desc}}
 |-
 | {{b|{{#var:OTP Code überprüfen}}:}} || {{ic| |class=available}} || {{#var:OTP Code überprüfen--desc}}
@@ Zeile 133: / Zeile 93: @@
 |
 |}
+----
-----
 === OTP Secret ===
 <div class="Einrücken">
-{{pt3| {{#var:OTP Secret--Bild}} |{{#var:OTP Secret--cap}} |hochkant=0.9 }}
+{{Bild|UTM v12.4 OTP PDF Drucken.png|{{#var:OTP Secret--cap}}|class=Bild-t}}
 {{#var:OTP Secret--desc}}
 </div><br clear=all>
+----
-----
 === {{#var:Einrichten des Google Authenticator}} ===
@@ Zeile 150: / Zeile 109: @@
 |-
 | {{#var:Einrichten des Google Authenticator--desc}}
-| class="Bild" rowspan="3" | {{Bild| {{#var:Einrichten des Google Authenticator--Bild}} |{{#var:Einrichten des Google Authenticator--cap}}|class=width-xl}}
+| class="Bild" rowspan="4" | {{Bild| {{#var:Einrichten des Google Authenticator--Bild}} |{{#var:Einrichten des Google Authenticator--cap}}|class=width-xl}}
 |-
 | {{#var:Einrichten mit Barcode}}
@@ Zeile 158: / Zeile 117: @@
 |
 |}
-<br clear=all>
 ----
@@ Zeile 164: / Zeile 122: @@
 === {{#var:Nutzung eines Hardware Tokens}} ===
 <div class="einrücken">
-<p>{{#var:Nutzung eines Hardware Tokens--desc}}</p>
+{{#var:Nutzung eines Hardware Tokens--desc}}
-<p>{{#var:Unterstüzung Feitian OTP c200--desc}}</p>
+<br>
-{{#var:76b}}
+{{Hinweis-box|{{#var:Nutzung eines Hardware Tokens--Hinweis}}|g}}
-<p>
+<br>
-* {{#var:76c}}</p>
-{{Hinweis-box|{{#var:Unterstüzung Feitian OTP c200-Hinweis}}|g}}
-<div class="Einrücken">{{#var:Bei der ID handelt es sich um}}</div><br>
 {{Hinweis-box|{{#var:OTP-Seed LDAP--Hinweis}}|r}}
-<br clear=all>
+</div>
 ----
@@ Zeile 178: / Zeile 133: @@
 === {{#var:OTP den Anwendungen zuweisen}} ===
 <div class="Einrücken">
-{{pt3| {{#var:OTP den Anwendungen zuweisen--Bild}} |hochkant=1|{{#var:OTP den Anwendungen zuweisen--cap}} }}
 {{#var:OTP den Anwendungen zuweisen--desc}}
 </div>
@@ Zeile 184: / Zeile 138: @@
 {| class="sptable2 pd5 zh1 blank Einrücken block"
 |-
-| colspan="3" | {{Kasten|{{#var:Webinterfaces}} }}
+| colspan="3" | {{Kasten|Webinterfaces}}
+| class="Bild" rowspan="12" | {{Bild| {{#var:OTP den Anwendungen zuweisen--Bild}} |{{#var:OTP den Anwendungen zuweisen--cap}}||OTP|{{#var:Authentifizierung}}|icon=fa-save}}
 |-
-| {{ButtonAus|{{#var:Aus}} }} || {{#var:Administrator-Webinterface}} {{info|{{#var:CLI-Info-Admin}} | class=fas fa-terminal}}
+| {{ButtonAus|{{#var:Aus}} }} || {{#var:Administrator-Webinterface}} {{info|{{#var:CLI-Info-Admin}} }}
 |-
 | {{ButtonAus|{{#var:Aus}} }} || {{#var:Anwender-Webinterface}} {{info|{{#var:CLI-Info-User}} }}
 |-
-|<br>
+| <br>
 |-
 | colspan="3" | {{Kasten|VPN}} ({{#var:Roadwarrior-Verbindungen}})
@@ Zeile 198: / Zeile 153: @@
 | {{ButtonAus|{{#var:Aus}} }} || SSL-VPN {{info|{{#var:CLI-Info-SSL VPN}} }}
 |-
-|<br>
+| <br>
 |-
 | colspan="3" | {{Kasten|Firewall}}
 |-
 | {{ButtonAus|{{#var:Aus}} }} || {{#var:SSH Konsole}} SSL-VPN {{info|{{#var:CLI-Info-SSH}} }}
+|-
+| colspan="3" | {{Hinweis-box| {{#var:Vorbemerkungen SSL-VPN--Hinweis}}|r}}
+|-
+|
 |}
-<div class="Einrücken">
-{{Hinweis-box| {{#var:Fällt der OTP-Generator aus-Hinweis }}<br> {{#var:15}}|r}}
-</div><br clear=all>
 ----
@@ Zeile 213: / Zeile 168: @@
 === {{#var:OTP benutzen}} ===
-==== {{#var:Webinterface}} ====
+==== Webinterface ====
+{{Bild| {{#var:Webinterface--Bild}} |OTP Login|class=Bild-t}}
 <div class="Einrücken">
-{{pt3| {{#var:Webinterface--Bild}} |{{#var:Webinterface--cap}} }}
 {{#var:Webinterface--desc}}
 </div><br clear=all>
@@ Zeile 222: / Zeile 177: @@
 ==== VPN ====
 <div class="Einrücken">
-<p>{{#var:Verweis auf OTP-COde extra abfragen}} </p>
+{{#var:Verweis auf OTP-COde extra abfragen}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]]
-<p>{{#var:VPN--desc}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]] </p>
+{{#var:Die Verbindung wird in drei Schritten Aufgebaut}}
-<p>{{#var:Die Verbindung wird in drei Schritten Aufgebaut}} </p>
-{{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}} {{whitebox|User}}
+{{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}}: {{whitebox|User}}
-	      | {{#var:124}} | {{#var:Eingabe Kennwort}} {{whitebox|insecure}}
+	      | {{#var:124}} | {{#var:Eingabe Kennwort}}: {{whitebox|insecure}}
-	      | {{#var:126}} | {{#var:Eingabe OTP}} {{whitebox|123456}}
+	      | {{#var:126}} | {{#var:Eingabe OTP}}: {{whitebox|123456}}
 	      | {{#var:Verbunden--Bild}} | {{#var:Verbunden}}
 	      | i=4 | i4=9}}
 {{Hinweis-box|{{#var:VPN-Hinweis}}|g}}
-{{Gallery3| | <p>{{#var:109}}</p>
+{{Gallery3| | {{#var:109}}
-	      | {{#var:122}} | {{#var:Eingabe Benutzername}} {{whitebox|User}}
+	      | {{#var:122}} | {{#var:Eingabe Benutzername}}: {{whitebox|User}}
-	      | {{#var:126}} | {{#var:Eingabe Kennwort und OTP}} {{whitebox|insecure123456}}
+	      | {{#var:126}} | {{#var:Eingabe Kennwort und OTP}}: {{whitebox|insecure123456}}
 	      | i=3 }}
-{{#var:Beispiel}}
+{{#var:Beispiel}}:
 {| class="sptable2 noborder"
 |-
-| {{#var:Passwort}} || insecure || rowspan="3" | {{#var:Beispiel--desc}}
+| {{b|{{#var:Passwort}}:}} || insecure || rowspan="3" | {{#var:Beispiel--desc}}
 |-
-| OTP: || 123456
+| {{b|OTP:}} || 123456
 |-
-| {{b| {{#var:Kennwort}} }} || class=mw9 |{{code|insecure123456}}
+| {{b|{{#var:Kennwort}}:}} || {{code|insecure123456}}
 |}
-</div><br clear=all>
+</div>
+----
@@ Zeile 256: / Zeile 211: @@
 {{Hinweis-box|{{#var:SSH-Verbindung-Hinweis}}|g}}
 <br>
-{{pt3| {{#var:SSH-Verbindung--Bild}} |{{#var:SSH-Verbindung--cap}} }}
+{{Bild|UTMv11-7_SSH-Login.png|{{#var:SSH-Verbindung--cap}}|class=Bild-t}}
-<p>{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}</p>
+{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}
 <br>
 {{#var:Beispiel}}
 {| class="sptable2 noborder"
 |-
@@ Zeile 266: / Zeile 222: @@
 | {{b|OTP:}} || 123456
 |-
-| {{b|Password:}} || {{code|insecure123456}}
+| {{b|{{#var:Passwort}}:}} || {{code|insecure123456}}
 |}
-</div><br clear=all>
+<br clear=all></div>