Achtung! Bei Verwendung des One Time Password als zusätzliche Authentifizierung, denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben. Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen. |
OTP - One-Time-Password
Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den Google Authenticator. Diese ist sowohl für Android als auch für iOS Geräte verfügbar.
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.
OTP einrichten
Benutzer mit OTP einrichten
Zunächst legen sie ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch Benutzerverwaltung.
Den OTP-Code für diesen Benutzer erhalten Sie erst wenn die Eingaben zum Benutzer gespeichert wurden.
Um diesen zu sehen oder zu ändern, klicken sie auf den editieren Button in der Benutzer Zeile und wechseln sie auf den Reiter OTP auf der rechten Seite.
Der Code liegt in zwei Varianten vor.
Zum einen als QR-Code, den sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.
Weiterhin könen Sie diesen ändern, indem sie über den Button automatische einen neuen Code erzeugen lassen oder über manuell einen 16-stelligen base32 oder HEX kodierten SSH-Schlüssel eingeben.
OTP Secret
Zur weitergabe an die Benutzer haben sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken sie dazu einfach auf
Es wird dann ein Dokument im PDF Format erstellt.
OTP den Anwendungen zuweisen
Wechseln Sie über Authentifizierung zum Menüpunkt OTP.
Hier wählen sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort Authentifizieren sollen.
Dieser kann bei folgenden Anmeldungen zum Einsatz kommen:
- Webinterfaces
- Administrator-Webinterface
- Anwender-Webinterface
- VPN Roadwarrior-Verbindungen
- IPSec
- SSL-VPN
- Firewall
- System Console direkt an der Firewall
- SSH Konsole
Einrichten des Google Authenticator
Zunächst laden sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.
Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen sie auf den Button Einstellungen.
Im nun erscheinenden Fenster Konto hinzufügen wählen sie im Bereich Konto manuell hinzufügen entweder Barcode scannen oder Schlüssel eingeben.
Wenn sie sich für Barcode scannen entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden.
Ansonsten halten sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.
Möchten sie den QR-Code nicht abscannen, tippen sie auf Schlüssel eingeben, tragen sie den Benutzer Namen und den Code ein, wählen sie zeitbasiert und klicken auf Hinzufügen.
Im folgenden Fenster sehen Sie dann das Konto mit den OTP-Code.
Dieser ändert sich alle 30 sekunden.
Die Zeitanzeige rechts gibt ihnen einen überblick wie lange dieses OTP-Passwort noch aktiv ist.
OTP benutzen
In den gewählten Anwendungen erhalten sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung OTP Code:.
Hier tragen sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.
Wenn sie das OTP im Zusammenhang mit einer SSH-Konsole verwenden, tragen sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.