Starke 2-Faktor Authentisierung mit LinOTP

Table of contents

    1. Anwendungen
    2. Anleitung für die Registrierung des Token
    3. FAQ
    4. Split-Groups

Die Sicherheit bei der Benutzerauthentisierung kann deutlich erhöht werden, wenn mehrere Faktoren zur Anmeldung verwendet werden. Bei der 2-Faktor-Authentisierung werden "Besitz" und "Wissen" (Einmalpasswort) benötigt, um sich erfolgreich anzumelden. Ein Einmalpasswort ist ein Kennwort zur Authentifizierung, das nur für eine einzige Sitzung gültig ist. Jede Authentifizierung erfordert ein neues Einmalpasswort. Es ist somit sicher gegen Replay-Attacken. Bei einer starken 2-Faktor-Authentifzierung ("Wissen" und "Besitz") wird die Sicherheit deutlich erhöht, z.B. bei Einmalpasswortverfahren (OTP) in Verbindung mit einer PIN sowie einer Hardware (Token), die der Nutzer besitzen muss. Ein Hardware-Token ist ein kleiner elektronischer Schlüssel, den der Nutzer immer bei sich haben muss. Der Verlust eines Hardware-Tokens ist relativ unkritisch, da die PIN nur dem Nutzer bekannt ist. Bei mehrmaligen Fehlversuchen bei der Anmeldung wird der zugehörige Token automatisch gesperrt.

Als Plattform für die starke 2-Faktor-Authentisierung wird die Lösung LSE LinOTP zur Authentifizierung über Einmalpasswörter sowie PIN (Wissen) und Hardware-Token (Besitz) eingesetzt. LinOTP ist ausgesprochen einfach zu bedienen und mandantenfähig.  Es kann deshalb auch Instituten und Einrichtungen der TU Dresden angeboten werden, die sicherheitskritische Anwendungen zugänglich machen müssen, diese aber durch eine 2-Faktor-Authentisierung schützen möchten.

eToken PASS

Z.Zt. werden die Hardware-OTP-Token vom Typ eToken PASS der Firma SafeNet und YubiKey Token der Firma yubico eingesetzt, weitere Token-Formate sind möglich. Nach Betätigen des Knopfes auf dem Token wird ein Einmalpasswort (OTP) generiert. Technisch basieren die von den Token erzeugten Einmalpasswörter auf dem Open Authentication Standard (OATH), einem zertifizierten und weltweit anerkannten Verfahren.

YubiKey

Der YubiKey ist ein schmaler, flacher USB-Token, der über den USB-Port mit Strom versorgt wird und ohne Batterien auskommt. Die Lebenszeit ist daher theoretisch unendlich. Das Betriebssystem erkennt den Yubikey als USB Keyboard, es ist also keine Installation einer Client-Software notwendig. Zur Authentisierung wird der Cursor auf die Anmeldemaske bewegt, eine leichte Berühung der Sensorfläche des Tokengehäuses genügt - der Yubikey generiert das Einmalpasswort und setzt es automatisch ein.

Anwendungen

Ein Anwendungsbeispiel ist der Einsatz am zentralen VPN-Dienst des ZIH für Administratoren der TU Dresden. Der Administrator authentifiziert sich über zih-login@Netzressource und PIN@Einmalpasswort.

Weitere Einsatzmöglichkeiten sind:

  • Integration in beliebige, bestehende Web-Applikationen
  • Integration über Radius
  • Integration über PAM-Modul

Anleitung für die Registrierung des Token

Bevor Sie den Token verwenden können, sind initial folgende Schritte notwendig:

  • Holen Sie sich den OTP-Token bei ZIH NK (Frau Kuhlmey bzw. Vertreter) ab.
  • Öffnen Sie im Browser das Selfservice-Portal von LinOTP über https://otp.zih.tu-dresden.de

Selfservice Portal

  • Sie müssen sich mit ZIH-Login und Passwort einloggen.
  • Sie müssen Ihren Token registrieren. Dazu benötigen Sie die Seriennumer des Token, die sich auf der Rückseite befindet.
     
     

eToken PASS mit Seriennummer

YubiKey mit Seriennummer

  • Klicken Sie bitte auf das Tab Assign Token und tippen Sie die Seriennummer des Token in das untere Feld ein. Beim YubiKey müssen Sie vor die Seriennummer zusätzlich YUBI eingeben, z.B. YUBI716448. Danach klicken Sie auf den Button assign Token. Bei neuen YUBI-Keys (erkennbar an einem kleinen"y" auf dem Tastfeld) ist zwischen "YUBI" und der augedrucketn Seriennummer eine "0" (null) einzufügen.

assign Token

  • Sie finden dann links im Fenster Ihren registrierten Token mit seiner Seriennummer

Assigned Token

  • Sie müssen nun eine PIN für den registrierten Token vergeben. Klicken Sie bitte dazu im Menü auf das Tab set PIN und danach links auf die Seriennumer des Tokens. Die PIN muss aus 6 bis 12 alphanumerischen Zeichen bestehen. Klicken Sie bitte auf den Button set PIN. Diese PIN müssen Sie geheim halten.

Set PIN

  • Nun müssen Sie noch den Token synchronisieren. Klicken Sie bitte im Menü auf das Tab Resync Token und danach links auf die Seriennumer des Tokens. Sie müssen jetzt zwei OTP-Werte eingeben. Drücken Sie dazu jeweils auf den Knopf des Tokens und tragen Sie die Werte, die Sie im Display des Tokens sehen, in die Felder OTP 1 sowie OTP 2 ein. Klicken Sie danach bite auf den Button resync OTP.

Resync

  • Sie haben jetzt Ihren Token erfolgreich konfiguriert.

Schließen Sie einfach das Fenster links oben. Danach kann der YubiKey verwendet werden. Unter Linux ist der YubiKey in der Regel sofort einsetzbar. Der YubiKey ist einsatzfähig, wenn die kleine grüne Lampe in der Mitte leuchtet.

FAQ

  • Ich möchte meinen Token deaktivieren bzw. habe meinen Token verloren.
    Bitte melden Sie sich im LinOTP Selfservice-Portal an und klicken Sie im Menü auf das Tab Disable Token. Klicken Sie danach links auf die Seriennumer des Tokens sowie auf den Button disable Token. Wenn Sie Ihren Token verloren haben, melden Sie bitte den Verlust bei der ZIH Service Desk.

disable Token

  • Ich habe meine PIN vergessen bzw. möchte meine PIN ändern.
    Bitte melden Sie sich im LinOTP Selfservice-Portal an und klicken Sie im Menü auf das Tab set PIN und danach links auf die Seriennumer des Tokens. Die PIN muss aus 6 bis 12 alphanumerischen Zeichen bestehen. Klicken Sie bitte auf den Button set PIN.

set PIN


 

  • Ich habe bereits mehrfach auf den Button des Tokens gedrückt und kann mich nicht mehr anmelden.
    Das Einmalpasswort muss synchron sein zum LinOTP-Server. Bei mehrfachen Drücken kann es vorkommen, das das Einmalpasswort nicht mehr synchron ist. Sie müssen deshalb den Token resynchronisieren. Bitte melden Sie sich im LinOTP Selfservice-Portal an und klicken Sie im Menü auf das Tab Resync Token und danach links auf die Seriennumer des Tokens. Sie müssen jetzt zwei OTP-Werte eingeben. Drücken Sie dazu jeweils auf den Knopf des Tokens und tragen Sie die Werte, die Sie im Display des Tokens sehen, in die Felder OTP 1 sowie OTP 2 ein. Klicken Sie danach bite auf den Button resync OTP.
     
     

Split-Groups

Beim Aufruf des Cisco AnyConnect können verschiedene Split-Groups verwendet werden, diese sollen hier erläutert werden:

  • TUD-vpn-all
    alle Datennetzverbindungen werden durch den VPN Tunnel aufgebaut
  • TUD-vpn-lic
    Verwendung ausschließlich für den Zugriff auf den Lizenzserver (MathCAD u.a.)
    Authorisierung über die DOM Domain (der Nutzer muss explizit durch seinen IT-Administrator in einer bestimmtenActiveDirectory Group der DOM Domain dafür eingetragen werden)
  • TUD-vpn-split-campus
    tunnelt alle TU-Netze durch das VPN,  in diesem Fall:
    141.30.0.0/16, 141.76.0.0/16, 172.16.0.0/12, 192.168.0.0/16
  • TUD-vpn-split-nopriv
    tunnelt alle nicht-privaten TU-Netze durch das VPN,  in diesem Fall:
    141.30.0.0/16, 141.76.0.0/16
  • TUD-vpn-split-sap
    tunnelt ausschließlich Verbindungen zu den SAP Servern der TU
  • ZZ-AdminVPN-no-dhcp
    wie TUD-vpn-all, aber insb. für Administratoren, die von Windows-Rechnern auf ihren DHCP Server via RDP oder ssh zugreifen wollen, ist hier das Custom Attribute "no-dhcp-server-route" eingeschaltet. 

About this page

ZIH Web
Last modified: Apr 18, 2018
Page Actions