Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
(18 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:UTMv11]]
{{DISPLAYTITLE:OTP mit AD-Anbindung}}
{{lowercase title}}  
== Informationen ==
{{v11.5}}
Letze Anpassung zur Version: '''11.7'''
 
<br>
 
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>
==Einleitung==
<span style=color:red><b>Wichtige Hinweise bei Verwendung des OTP-Verfahrens</b><br></span>
<span style=color:red><b>Wichtige Hinweise bei Verwendung des OTP-Verfahrens</b><br></span>


Zeile 9: Zeile 13:


<span style=color:red>Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss <u><b>jeder</b> Administrator</u> über diesen Token verfügen, um auf das Gerät zugreifen zu können.<br></span>
<span style=color:red>Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss <u><b>jeder</b> Administrator</u> über diesen Token verfügen, um auf das Gerät zugreifen zu können.<br></span>
Eine Ausnahme auf User-Basis ist nicht möglich. Dieses gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.<br><br>
Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.<br><br>
SSL-VPN:<br>
SSL-VPN:<br>
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br>
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br>
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen.<br><br>
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung erfolgt auf der UTM für alle SSL-VPN Clients dieser Instanz.<br>
Nach der Änderung wird der SSL-VPN Dienst automatisch neu gestartet.<br>
<br>
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.


Zeile 20: Zeile 26:
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|<span style=color:red><b>Achtung!<br>
|<span style=color:red><b>Achtung!<br>
Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben.<br>
Im Falle eines Ausfalls des Smartphones kann das OTP nicht mehr generiert werden kann und es besteht kein Zugriff mehr auf die ausgewählten Funktionen der UTM.<br>
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen.<br><br>
Sollte sich dieses auch auf die Administration der UTM beziehen, muss diese Firewall komplett neu aufsetzen werden.<br><br>
|}
|}


Am besten drucken Sie sich diesen Code für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben aus und legen Sie zu Ihrer Dokumentation.</b>
Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben.</b>


<span style=color:red>Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.<br></span>
<span style=color:red>Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.<br></span>
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:<br>
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:<br>
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü ''Netzwerk'' unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''
*Über die Root Konsole mit dem Kommando '''''date'''''
Zeile 34: Zeile 40:


Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:<br>
Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:<br>
* Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
* Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss


Zeile 80: Zeile 86:
Im Menü ''Authentifizierung'' unter dem Punkt ''Externe Authentifizierung'' im Tab ''AD/LDAP'' befindet sich der Abschnitt ''Erweitert''.  
Im Menü ''Authentifizierung'' unter dem Punkt ''Externe Authentifizierung'' im Tab ''AD/LDAP'' befindet sich der Abschnitt ''Erweitert''.  


Hier wird im Feld in der Zeile ''OTP-Attribute:'' das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.
Hier wird im Feld der Zeile ''OTP-Attribute:'' das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.




Zeile 100: Zeile 106:


[[Datei:UTM115_AI_ABotpduser.png|250px|right|thumb|Dummy User für OTP-Schlüssel]]
[[Datei:UTM115_AI_ABotpduser.png|250px|right|thumb|Dummy User für OTP-Schlüssel]]
Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt. Hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.
Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.




Zeile 114: Zeile 120:
[[Datei:UTM115_AI_ABotpcode.png|250px|right|thumb|OTP-Schlüssel generieren]]
[[Datei:UTM115_AI_ABotpcode.png|250px|right|thumb|OTP-Schlüssel generieren]]
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''.<br>
Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''.<br>
Zum einen befindet sie hier schon ein per Zufallsgenerator erstellter Geheimcode als auch ein aus diesem erstellter QR Code.
Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.




Zeile 125: Zeile 131:




[[Datei:WIN2012_AD_EUAcode_hinz.png|250px|right|thumb|Schlüssel-Code in Attribut einfügen]]
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.<br>
Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.<br>
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.  
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.  


'''Bitte beachten Sie:'''<br>
Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. '''hex(60)''' )im AD-Attribut vor dem PSK angegeben werden.
<br><br>
[[Datei:WIN2012_AD_EUAcode_hinz_hardware_token.png|250px|right|thumb|Schlüssel-Code in Attribut einfügen (Hardware-Token)]]
[[Datei:WIN2012_AD_EUAcode_hinz_google.png|250px|center|thumb|Schlüssel-Code in Attribut einfügen (Google-Authenticator)]]








[[Datei:UTM115_AI_ABqrSave.png|250px|right|thumb|QR Code als Grafik speichern]]
Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[OTP_V11#Einrichten_des_Google_Authenticator | hier]].




Zeile 138: Zeile 150:




Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.<br>
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.


===Gruppe für AD Authentifizierung anlegen===
Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können.<br>


[[Datei:UTM115_AI_ABGber.png|250px|right|thumb|Benutzergruppe anlegen]]
Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.




Zeile 150: Zeile 168:




[[Datei:UTM115_AI_ABGadg.png|250px|right|thumb|AD Gruppe mit UTM Benutzergruppe verknüpfen]]
Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.






[[Datei:UTM115_AI_ABqrSave.png|250px|right|thumb|QR Code als Grafik speichern]]
Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[OTP_V11#Einrichten_des_Google_Authenticator | hier]].
Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.<br>
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.
===Gruppe für AD Authentifizierung anlegen===
Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können.<br>
[[Datei:UTM115_AI_ABGber.png|250px|right|thumb|Benutzergruppe anlegen]]
Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.




Zeile 179: Zeile 183:




[[Datei:UTM115_AI_ABGadg.png|250px|right|thumb|AD Gruppe mit UTM Benutzergruppe verknüpfen]]
Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.
Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.

Version vom 2. Februar 2017, 12:53 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Einleitung

Wichtige Hinweise bei Verwendung des OTP-Verfahrens

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.
Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.

SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung erfolgt auf der UTM für alle SSL-VPN Clients dieser Instanz.
Nach der Änderung wird der SSL-VPN Dienst automatisch neu gestartet.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

UMA20 AHB hinweispic.png Achtung!

Im Falle eines Ausfalls des Smartphones kann das OTP nicht mehr generiert werden kann und es besteht kein Zugriff mehr auf die ausgewählten Funktionen der UTM.
Sollte sich dieses auch auf die Administration der UTM beziehen, muss diese Firewall komplett neu aufsetzen werden.

Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter OTP Secret beschrieben.

Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

  • Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über die CLI mit dem Kommando system date get
  • Über die Root Konsole mit dem Kommando date


Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

  • Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über die CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP

Attribute im Active Directory

Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki Active Directory Anbindung, wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt.

AD Erweiterte Einstellungen

Eine Liste der Attribute befindet sich im Active Directory unter
Active Directory-Benutzer und -Computer".
Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren.







AD Attribut-Editor

Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab Attribut-Editor befindet sich eine Liste mit den Attributen.


In diesem Beispiel stehen die Attribute extensionAttribute1 - 15 zur Verfügung. Hier sind keinem Benutzer Werte hinterlegt und ich wähle das extensionAttribute10 um dort den OTP Geheimcode für die User zu hinterlegen.



Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.




Attribut in der UTM Eintragen

AD OTP Attribut

Jetzt muss die UTM wissen, in welchem Attribut des AD sie den OTP Geheimcode findet.

Im Menü Authentifizierung unter dem Punkt Externe Authentifizierung im Tab AD/LDAP befindet sich der Abschnitt Erweitert.

Hier wird im Feld der Zeile OTP-Attribute: das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.








OTP Geheimcode generieren

Da im AD Attribut extensionAttribute10 als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen.

Dummy User für OTP-Schlüssel

Es wird einfach im Menü Authentifizierung unter Benutzer ein Benutzer angelegt - hier mit dem Namen otp_dummy_user. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.






OTP-Schlüssel generieren

Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab OTP.
Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.






Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.
Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.

Bitte beachten Sie:
Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. hex(60) )im AD-Attribut vor dem PSK angegeben werden.

Schlüssel-Code in Attribut einfügen (Hardware-Token)
Schlüssel-Code in Attribut einfügen (Google-Authenticator)



QR Code als Grafik speichern

Der QR Code kann einfach durch einen klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich hier.



Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.
Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button UTM V115 AktB.png erstellt.

Gruppe für AD Authentifizierung anlegen

Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können.

Benutzergruppe anlegen

Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.






AD Gruppe mit UTM Benutzergruppe verknüpfen

Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.







Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.