UTM/AUTH/OTP: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
K
K
Zeile 61: Zeile 61:
  
 
=== ++37°°Benutzer mit OTP einrichten__ ===
 
=== ++37°°Benutzer mit OTP einrichten__ ===
{{ pt | UTM_V115_OTPUser.png | OTP Benutzer}}Zunächst werden die Benutzer unter {{ Menu |Authentifizierung| Benutzer}} wie gehabt angelegt. <br>
+
{{ pt2 | ++38°°UTM_V115_OTPUser.png__ | ++39°°OTP Benutzer__}}  
Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].
+
<p>++40°°Zunächst werden die Benutzer unter {{ Menu |Authentifizierung| Benutzer}} wie gehabt angelegt.<br>
 +
Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].__</p>
  
Der OTP-Code für diesen Benutzer kann Sie erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.<br>
+
<p>++41°°Der OTP-Code für diesen Benutzer kann Sie erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.<br>
Anzeigen oder ändernmit klick auf den editieren Button {{ Button ||w}} in der Benutzer Zeile im Reiter {{ Reiter | OTP}} auf der rechten Seite.<br>
+
Anzeigen oder ändernmit klick auf den editieren Button {{ Button ||w}} in der Benutzer Zeile im Reiter {{ Reiter | OTP}} auf der rechten Seite.__</p>
  
 
<br clear=all>
 
<br clear=all>
  
====Automatisches erstellen eines Codes====
+
==== ++42°°Automatisches erstellen eines Codes__ ====
{{ pt | UTM_V115_OTPCode.png | OTP Code}}Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.<br>
+
{{ pt2 | 43°°UTM_V115_OTPCode.png__ | ++44°°OTP Code__}}
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.  
+
<p>++45°°Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.<br>
 
+
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.<br><br>
Mit der Schaltfläche {{ Button ||r}} kann der Code neu erzeugt werden.
+
Mit der Schaltfläche {{ Button ||r}} kann der Code neu erzeugt werden.__
  
 
<br clear=all>
 
<br clear=all>
  
====Eintragen eines Codes====
+
==== ++46°°Eintragen eines Codes__ ====
Es ist auch möglich mit {{ Button ||s}} manuell einen 16-stelligen base32 oder HEX-kodierten Schlüssel einzugeben.  
+
++47°°Es ist auch möglich mit {{ Button ||s}} manuell einen 16-stelligen base32 oder HEX-kodierten Schlüssel einzugeben.  
Dieses wird zum Beispiel benötigt bei einem Hardware Token wie dem OTP c200 benötigt. Hier erhält man vom Lieferanten einen Code erhalten, den dann bei dem Benutzer hinterlegt werden muss. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.
+
Dieses wird zum Beispiel bei einem Hardware Token wie dem OTP c200 benötigt. Hier erhält man vom Lieferanten einen Code, der dann bei dem Benutzer hinterlegt werden muss. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.__
 
<div><ul>
 
<div><ul>
<li style="display: inline-block; float: right;">[[Datei:UTM_V115_OTPhex.png|frame|top|250px|OTP HEX kodiert]]</li>
+
<li style="display: inline-block; float: right;">[[Datei:++48°°UTM_V115_OTPhex.png__|frame|top|250px|++49°°OTP HEX kodiert__]]</li>
<li style="display: inline-block; float: right;">[[Datei:UTM_V115_OTPb32.png|frame|top|250px|OTP base32 kopdiert]]</li>
+
<li style="display: inline-block; float: right;">[[Datei:++50°°UTM_V115_OTPb32.png__|frame|top|250px|++51°°OTP base32 kopdiert__]]</li>
 
</ul></div>
 
</ul></div>
  
 
<br clear=all>
 
<br clear=all>
  
===OTP Secret===
+
=== ++52°°OTP Secret__ ===
{{ pt | UTM_V115_OTPpdf.png | OTP PDF Dokument}}Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.  
+
{{ pt2 | ++53°°UTM_V115_OTPpdf.png__ | ++54°°OTP PDF Dokument__}}
{{ Button | OTP QR-Codes drucken | p}}
+
++55°°Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.__
 +
{{ Button | ++56°°OTP QR-Codes drucken__ | p}}
  
Es wird dann ein Dokument im PDF Format erstellt.
+
++57°°Es wird dann ein Dokument im PDF Format erstellt.__
  
 
<br clear=all>
 
<br clear=all>
  
===Einrichten des Google Authenticator===
+
=== ++59°°Einrichten des Google Authenticator__ ===
  
Zunächst muss der Google Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden.
+
++60°°Zunächst muss der Google Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden.__
  
{{ pt | AND_GA_OTPkto.png | hochkant=0.85 | OTP Konto hinzufügen}}Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account. Tippen auf den Button ''Einstellungen''.<br>
+
{{ pt2 | ++61°°AND_GA_OTPkto.png__ | hochkant=0.85 | ++62°°OTP Konto hinzufügen__ }}
 +
++62°°Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account. Tippen auf den Button ''Einstellungen''.__<br>
  
<p>Im nun erscheinenden Fenster ''Konto hinzufügen'' wird im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben'' gewählt.</p>
+
<p>++63°°Im nun erscheinenden Fenster ''Konto hinzufügen'' wird im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben'' gewählt.__</p>
  
<p>Bei ''Barcode scannen'' wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht auf dem Smartphone befinden.</p>
+
<p>++64°°Bei ''Barcode scannen'' wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht auf dem Smartphone befinden.__</p>
  
<p>Zum automatischen erstellen eines Kontos einfach die Kamera des Smartphonein den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code halten.</p>
+
<p>++65°°Zum automatischen erstellen eines Kontos einfach die Kamera des Smartphonein den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code halten.__</p>
 
<br clear=all>
 
<br clear=all>
  
  
{{ pt | AND_GA_OTPkto2.png | hochkant=0.85 |OTP Konto manuell hinzufügen}}Soll der QR-Code nicht gescannt werden, können die Daten unter ''Schlüssel eingeben'', manuell eingegeben werden. Es muss hierbei '''Zeitbasiert''' gewählt werden.
+
{{ pt2 | ++66°°AND_GA_OTPkto2.png__ | hochkant=0.85 |++67°°OTP Konto manuell hinzufügen__ }}
 +
++68°°Soll der QR-Code nicht gescannt werden, können die Daten unter ''Schlüssel eingeben'', manuell eingegeben werden. Es muss hierbei '''Zeitbasiert''' gewählt werden.__
  
 
<br clear=all>
 
<br clear=all>
  
  
{{ pt | AND_GA_OTPasswd.png | hochkant=0.85One-Time-Passwort}}Im folgenden Fenster wird dann das Konto mit dem OTP-Code angezeigt. <br>
+
{{ pt2 | ++68°°AND_GA_OTPasswd.png__ | hochkant=0.85 | ++69°°One-Time-Passwort__ }}
Dieser ändert sich alle 30 Sekunden.  
+
++70°°Im folgenden Fenster wird dann das Konto mit dem OTP-Code angezeigt. <br>
 +
Dieser ändert sich alle 30 Sekunden. __
  
Die Zeitanzeige rechts gibt einen Überblick, wie lange dieses OTP-Passwort noch aktiv ist.
+
++71°°Die Zeitanzeige rechts gibt einen Überblick, wie lange dieses OTP-Passwort noch aktiv ist.__
 
<br clear=all>
 
<br clear=all>
  
===Nutzung eines Hardware Tokens===
+
=== ++72°°Nutzung eines Hardware Tokens__ ===
Auch die Nutzung eines Hardware Token ist möglich. <br>
+
++73°°Auch die Nutzung eines Hardware Token ist möglich. <br>
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch  mit mod_authn_otp nutzbar ist.
+
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch  mit mod_authn_otp nutzbar ist.__
  
{{pt | UTM115_AI_OTPhex60.png | OTP c200 HEX Code}}Von unserer Seite wird derzeit der OTP c200 unterstützt.<br> Vom Lieferanten wird dazu mit seperater Post ein HEX(60) Code versendet, der wie  [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegt werden muss.
+
{{pt2 | ++74°°UTM115_AI_OTPhex60.png__ | ++75°°OTP c200 HEX Code__ }}
 +
++76°°Von unserer Seite wird derzeit der OTP c200 unterstützt.<br> Vom Lieferanten wird dazu mit seperater Post ein HEX(60) Code versendet, der wie  [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegt werden muss.__
  
{{ Hinweis | Unbedingt den Token Key eintragen und nicht die Token ID. | gelb}}<br>
+
{{ Hinweis | ++77°°Unbedingt den Token <u>Key</u> eintragen und nicht die Token ID.__ | gelb}}<br>
Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.
+
++78°°Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.__
 
<br clear=all>
 
<br clear=all>
  
===OTP überprüfen===
+
=== ++79°°OTP überprüfen__ ===
{{ pt | UTM_V115_OTPcp.png | OTP überprüfen}}Mit {{ Button ||c}} kann getestet werden, ob das OTP, das über die App generiert wird, auch funktioniert.
+
{{ pt2 | ++80°°UTM_V115_OTPcp.png__ | ++81°°OTP überprüfen__}}
 +
++82°°Mit {{ Button ||c}} kann getestet werden, ob das OTP, das über die App generiert wird, auch funktioniert.__
  
In dem neu geöffneten Fenster wird das Passwort eingegeben, das die App zu diesem Benutzer anzeigt und auf {{ Button | OK| b}} gecklickt.<br>
+
++83°°In dem neu geöffneten Fenster wird das Passwort eingegeben, das die App zu diesem Benutzer anzeigt und auf {{ Button | OK| b}} gecklickt.__<br>
{{ b | Bitte OTP Code eingeben}} <code>OTP Code</code>
+
{{ b | ++84°°Bitte OTP Code eingeben__ }} <code>OTP Code</code>
  
Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
+
++85°°Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
<br>Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.
+
<br>Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.__
 
<br clear=all>
 
<br clear=all>
  
===OTP den Anwendungen zuweisen===
+
=== ++86°°OTP den Anwendungen zuweisen__ ===
{{ pt | UTM_v11-8_Authentifizierung_OTP.png | hochkant=1 |OTP Anwendungen}}Unter {{ Menu |Authentifizierung|OTP}} kann ausgewählt werden bei welchen Anwendungen sich die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.<br><br>
+
{{ pt2 | ++87°°UTM_v11-8_Authentifizierung_OTP.png__ | hochkant=1 |++88°°OTP Anwendungen__}}
 +
++89°°Unter {{ Menu |Authentifizierung|OTP}} kann ausgewählt werden bei welchen Anwendungen sich die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.__<br><br>
  
<p>{{Kasten | Webinterfaces}}</p>
+
<p>{{Kasten | ++90°°Webinterfaces__}}</p>
:<p>{{ ButtonAus | Aus}} Administrator-Webinterface</p>
+
:<p>{{ ButtonAus | ++91°°Aus__}} ++92°°Administrator-Webinterface__</p>
:<p>{{ ButtonAus | Aus}} Anwender-Webinterface</p>
+
:<p>{{ ButtonAus | {{#var:91|Aus}} }} ++93°°Anwender-Webinterface__</p>
  
  
<p>{{Kasten | VPN}} ( Roadwarrior-Verbindungen)</p>
+
<p>{{Kasten | ++94°°VPN__ }} (++95°°Roadwarrior-Verbindungen__)</p>
:<p>{{ ButtonAus | Aus}} IPSec</p>
+
:<p>{{ ButtonAus | {{#var:91|Aus}} }} ++96°°IPSec__</p>
:<p>{{ ButtonAus | Aus}} SSL-VPN </p>
+
:<p>{{ ButtonAus | {{#var:91|Aus}} }} ++97°°SSL-VPN__ </p>
  
  
<p>{{Kasten |Firewall}}</p>
+
<p>{{Kasten |++98°°Firewall__ }}</p>
:<p>{{ ButtonAus | Aus}} SSH (Konsole) </p>
+
:<p>{{ ButtonAus | {{#var:91|Aus}} }} ++99°°SSH (Konsole)__ </p>
  
 
<br clear=all>
 
<br clear=all>
  
===OTP benutzen===
+
=== ++100°°OTP benutzen__ ===
====Webinterface====
+
==== ++101°°Webinterface__ ====
{{ pt | UTM_v11-8_User-Interface_OTP-Login.png | Login mit OTP}}Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld {{ Button ||o}} <code>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</code> für den OTP Code.
+
{{ pt2 | ++102°°UTM_v11-8_User-Interface_OTP-Login.png__ | ++103°°Login mit OTP__}}
 +
++104°°Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld {{ic |<big>{{Button||o}}</big>|Anw=UTM }}  für den OTP Code.__
  
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.
+
++105°°Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.__
 
<br clear=all>
 
<br clear=all>
  
{{h4 | VPN}}
+
{{h4 | ++106°°VPN__}}
  
{{ h5 | UTM bis v11.7.15 | {{ Hinweis | VPN mit UTM bis v11.7.15 | gelb}} }}
+
{{ h5 | ++107°°UTM bis v11.7.15__ | {{ Hinweis | ++108°°VPN mit UTM bis v11.7.15__ | gelb}} }}
 
{|  
 
{|  
 
|-
 
|-
|Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung  eingesetzt wird, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.<br>
+
| ++109°°Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung  eingesetzt wird, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.__<br>
| style="width: 35% | [[Datei:SSL-VPN-v2_Benutzername.png|300px|right| Benutzername]]
+
| style="width: 35% | [[Datei:++110°°SSL-VPN-v2_Benutzername.png__ |300px|right| ++111°°Benutzername__]]
| style="width: 35% | [[Datei:SSL-VPN-v2_Kennwort.png|300px|center| Benutzername]]
+
| style="width: 35% | [[Datei:++112°°SSL-VPN-v2_Kennwort.png__|300px|center| {{#var:111|Benutzername}} ]]
 
|}
 
|}
  
Beispiel:
+
++113°°Beispiel:__
{{ td | Passwort:| insecure | w=100px}}
+
{{ td | ++114°°Passwort:__| insecure | w=100px}}
{{ td | OTP: | 123456 | w=100px}}
+
{{ td | ++115°°OTP:__ | 123456 | w=100px}}
{{ td | {{ b |Kennwort}} | <code>insecure123456</code> | w=100px}}
+
{{ td | {{ b |++116°°Kennwort__}} | <code>insecure123456</code> | w=100px}}
 
<br clear=all>
 
<br clear=all>
  
{{ h5 | UTM ab v11.8 | {{ Hinweis | VPN mit UTM ab Version 11.8 | grün}} }}
+
{{ h5 | ++117°°UTM ab v11.8__ | {{ Hinweis | ++118°°VPN mit UTM ab Version 11.8__ | grün}} }}
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste)
+
++119°°Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste)
Aufbau der Verbindung mit Klick auf [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]]<br>
+
Aufbau der Verbindung mit Klick auf__ [[Datei:++120°°SSL-VPN-v2 Verbindung-aufbauen.png__|x20px]]<br>
Die Verbindung wird in drei Schritten Aufgebaut:
+
++121°°Die Verbindung wird in drei Schritten Aufgebaut:__
 
<gallery mode="packed">
 
<gallery mode="packed">
SSL-VPN-v2_Benutzername.png | Eingabe Benutzername
+
++122°°SSL-VPN-v2_Benutzername.png__ | ++123°°Eingabe Benutzername__
SSL-VPN-v2_Kennwort.png | Eingabe Kennwort
+
++124°°SSL-VPN-v2_Kennwort.png__ | ++125°°Eingabe Kennwort__
SSL-VPN-v2_OTP.png | Eingabe OTP
+
++126°°SSL-VPN-v2_OTP.png__ | ++127°°Eingabe OTP__
 
</gallery>
 
</gallery>
  
  
Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
+
++128°°Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.__
  
====SSH-Verbindung====
+
==== ++129°°SSH-Verbindung__ ====
{{h5 | UTM bis v11.7.15 | {{ Hinweis | UTM bis Version 11.7.15 | gelb}} }}<br>
+
{{h5 | ++130°°UTM bis v11.7.15__ | {{ Hinweis | ++131°°UTM bis Version 11.7.15__ | gelb}} }}<br>
{{ pt | UTMv11-7_SSH-Login.png | SSH-Login mit OTP unter PuTTY und v11.7.15}}Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
+
{{ pt2 | ++132°°UTMv11-7_SSH-Login.png__ | ++133°°SSH-Login mit OTP unter PuTTY und v11.7.15__}}
 +
<p>++134°°Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.__</p>
  
Beispiel:
+
<p>++135°°Beispiel:__
{{ td | Passwort in UTM:| insecure | w=120px}}
+
{{ td | ++136°°Passwort in UTM:__| insecure | w=120px}}
{{ td | OTP: | 123456 | w=120px}}
+
{{ td | ++137°°OTP:__ | 123456 | w=120px}}
{{ td | {{ b |Password}} | <code>insecure123456</code> | w=120px}}
+
{{ td | {{ b |++138°°Password__}} | <code>insecure123456</code> | w=120px}}
  
 
<br clear=all>
 
<br clear=all>
  
{{h5 | UTM ab 11.8 | {{ Hinweis | UTM ab Version 11.8 | grün}} }}<br>
+
{{h5 | ++139°°UTM ab 11.8__ | {{ Hinweis | ++140°°UTM ab Version 11.8__ | grün}} }}<br>
{{ pt | UTMv11-8_SSH-Login.png | SSH-Login mit OTP unter PuTTY und v11.8}}Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer seperaten Zeile {{ b | Pin }} abgefragt.
+
{{ pt2 | ++141°°UTMv11-8_SSH-Login.png__ | ++142°°SSH-Login mit OTP unter PuTTY und v11.8__ }}
 +
++143°°Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer seperaten Zeile {{ b | Pin }} abgefragt.__
 
<br clear=all>
 
<br clear=all>

Version vom 2. August 2019, 17:57 Uhr



De.png
En.png
Fr.png


++1°°Wichtige Hinweise bei Verwendung des OTP-Verfahrens__

++2°°Letzte Anpassung zur Version:__ 11.8.4

++3°°Bemerkung:__
  • ++4°°Eingabe des Passworts und des OTP-Codes in verschiedene Formaten möglich__

++5°°Vorherige Versionen:__ 11.7 / 11.8

++6°°Vorbemerkungen__

++7°°Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.__

++8°°Hinweis:__  ++9°°Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.__

++10°°Eine Ausnahme auf User-Basis ist nicht möglich__

SSL-VPN:
++11°°Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.__

++12°°Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.__

++13°°Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht. Dieser findet sich unter → Authentifizierung →Benutzer Link= OTP QR-Codes drucken .__

 
++14°°Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt aus man eine ausgedruckte Version des QR-Codes.__
 

 
++15°°Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.__ 

++16°°Ausdruck dieses Codes für die Administratoren wie unter OTP Secret beschrieben. Ablage in der Dokumentation.__

   ++18°°Hinweis:__   ++19°°Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.__

++20°°Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:__

  • ++21°°Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen__
  • ++22°°Über die CLI mit dem Kommando system date get__
  • ++23°°Über die Root Konsole mit dem Kommando date__


++24°°Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:__

  • ++25°°Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen__
  • ++26°°Über die CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss__

++27°°OTP - One-Time-Password__

++28°°Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

++29°°Um dieses 6 stellige Passwort zu generieren, wird als Token eine Smartphone App gneutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android als auch für iOS Geräte verfügbar.
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.__

++30°°OTP einrichten__

++31°°Ablauf bei Aktivierung__

  1. ++32°°Sicherstellen, dass die Uhrzeit der UTM und dem Token synchron läuft__
  2. ++33°°Übertragung des Geheimcodes an den Token__
  3. ++34°°Aktivieren des OTP Verfahrens auf der UTM__
  4. ++35°°Testen der Anmeldung bevor die aktuelle Session beendet wurde__

++36°°Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden.
Ausnahmen sind nicht möglich.__

++37°°Benutzer mit OTP einrichten__

Datei:++38°°UTM V115 OTPUser.png
++39°°OTP Benutzer__

++40°°Zunächst werden die Benutzer unter → Authentifizierung →Benutzer wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.__

++41°°Der OTP-Code für diesen Benutzer kann Sie erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändernmit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.__


++42°°Automatisches erstellen eines Codes__

++45°°Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.

Mit der Schaltfläche Link= kann der Code neu erzeugt werden.__

++46°°Eintragen eines Codes__

++47°°Es ist auch möglich mit manuell einen 16-stelligen base32 oder HEX-kodierten Schlüssel einzugeben. Dieses wird zum Beispiel bei einem Hardware Token wie dem OTP c200 benötigt. Hier erhält man vom Lieferanten einen Code, der dann bei dem Benutzer hinterlegt werden muss. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. hex(60)A6ABBEF26746BC7121AE1764C2863826B98DD210.__


++52°°OTP Secret__

Datei:++53°°UTM V115 OTPpdf.png
++54°°OTP PDF Dokument__

++55°°Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.__ Link= ++56°°OTP QR-Codes drucken__

++57°°Es wird dann ein Dokument im PDF Format erstellt.__


++59°°Einrichten des Google Authenticator__

++60°°Zunächst muss der Google Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden.__

Datei:++61°°AND GA OTPkto.png
++62°°OTP Konto hinzufügen__

++62°°Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account. Tippen auf den Button Einstellungen.__

++63°°Im nun erscheinenden Fenster Konto hinzufügen wird im Bereich Konto manuell hinzufügen entweder Barcode scannen oder Schlüssel eingeben gewählt.__

++64°°Bei Barcode scannen wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht auf dem Smartphone befinden.__

++65°°Zum automatischen erstellen eines Kontos einfach die Kamera des Smartphonein den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code halten.__



Datei:++66°°AND GA OTPkto2.png
++67°°OTP Konto manuell hinzufügen__

++68°°Soll der QR-Code nicht gescannt werden, können die Daten unter Schlüssel eingeben, manuell eingegeben werden. Es muss hierbei Zeitbasiert gewählt werden.__



Datei:++68°°AND GA OTPasswd.png
++69°°One-Time-Passwort__

++70°°Im folgenden Fenster wird dann das Konto mit dem OTP-Code angezeigt.
Dieser ändert sich alle 30 Sekunden. __

++71°°Die Zeitanzeige rechts gibt einen Überblick, wie lange dieses OTP-Passwort noch aktiv ist.__

++72°°Nutzung eines Hardware Tokens__

++73°°Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 4226 kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.__

Datei:++74°°UTM115 AI OTPhex60.png
++75°°OTP c200 HEX Code__

++76°°Von unserer Seite wird derzeit der OTP c200 unterstützt.
Vom Lieferanten wird dazu mit seperater Post ein HEX(60) Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.__

++77°°Unbedingt den Token Key eintragen und nicht die Token ID.__ 
++78°°Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.__

++79°°OTP überprüfen__

Datei:++80°°UTM V115 OTPcp.png
++81°°OTP überprüfen__

++82°°Mit kann getestet werden, ob das OTP, das über die App generiert wird, auch funktioniert.__

++83°°In dem neu geöffneten Fenster wird das Passwort eingegeben, das die App zu diesem Benutzer anzeigt und auf OK gecklickt.__
++84°°Bitte OTP Code eingeben__ OTP Code

++85°°Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.__

++86°°OTP den Anwendungen zuweisen__

++89°°Unter → Authentifizierung →OTP kann ausgewählt werden bei welchen Anwendungen sich die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.__

╭╴ ++90°°Webinterfaces__╶╮

++91°°Aus__ ++92°°Administrator-Webinterface__

Aus ++93°°Anwender-Webinterface__


╭╴ ++94°°VPN__ ╶╮ (++95°°Roadwarrior-Verbindungen__)

Aus ++96°°IPSec__

Aus ++97°°SSL-VPN__


╭╴++98°°Firewall__ ╶╮

Aus ++99°°SSH (Konsole)__


++100°°OTP benutzen__

++101°°Webinterface__

++104°°Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld Link= für den OTP Code.__

++105°°Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.__

++106°°VPN__

++107°°UTM bis v11.7.15__
++108°°VPN mit UTM bis v11.7.15__ 
++109°°Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.__

++113°°Beispiel:__

++114°°Passwort:__
insecure
++115°°OTP:__
123456
++116°°Kennwort__
insecure123456


++117°°UTM ab v11.8__
++118°°VPN mit UTM ab Version 11.8__ 

++119°°Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste) Aufbau der Verbindung mit Klick auf__ x20px
++121°°Die Verbindung wird in drei Schritten Aufgebaut:__


++128°°Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.__

++129°°SSH-Verbindung__

++130°°UTM bis v11.7.15__
++131°°UTM bis Version 11.7.15__ 


Datei:++132°°UTMv11-7 SSH-Login.png
++133°°SSH-Login mit OTP unter PuTTY und v11.7.15__

++134°°Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.__

++135°°Beispiel:__

++136°°Passwort in UTM:__
insecure
++137°°OTP:__
123456
++138°°Password__
insecure123456


++139°°UTM ab 11.8__
++140°°UTM ab Version 11.8__ 


Datei:++141°°UTMv11-8 SSH-Login.png
++142°°SSH-Login mit OTP unter PuTTY und v11.8__

++143°°Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer seperaten Zeile Pin abgefragt.__