privacyIDEA 2.19

Optimierungen für U2F-Geräte im Unternehmensumfeld

| Redakteur: Peter Schmitz

In privacyIDEA 2.19 können Administratoren jetzt per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen.
In privacyIDEA 2.19 können Administratoren jetzt per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen. (Bild: C. Kölbel)

Die neue Version 2.19 der Open-Source-Authentifizierungslösung privacyIDEA kommt mit einigen Bugfixes und Geschwindigkeitsoptimierungen. Vor allem ermöglicht das Tool jetzt aber Unternehmen eine restriktive Nutzung von U2F-Geräten und bietet neue Funktionen in der Authentifizierungs- und der Enrollment-API.

Bereits seit geraumer Zeit können Benutzer und Administratoren U2F-Geräte bei privacyIDEA registieren. Die Anwendung verwaltet die U2F-Geräte an zentraler Stelle und erlaubt es den Benutzern, diese Geräte zur einfachen Zwei-Faktor-Authentifizierung an den angeschlossenen Applikationen zu nutzen.

Um zu verhindern, dass Benutzer beliebige oder nicht-vertrauenswürdige U2F-Geräte registrieren, kann der Administrator in der Version 2.19 nun per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen. Hierzu können reguläre Ausdrücke auf das Attestation-Zertifikat angewendet werden. So kann ein Unternehmen bspw. regeln, dass nur Yubikeys registriert werden können. Weiterhin können solche Richtlinien auch für die Anmeldung selber definiert werden.

Verbesserungen bei der Authentifizierungs- und Enrollment-API

privacyIDEA kann nun mehreren Challenge-Response-Tokens eines Benutzers mit gleichen Token-PINs verwalten. Somit kann ein Benutzer gleichzeitig mehrere Email-Token oder SMS-Token haben. Bei Bedarf kann die Applikation entscheiden, welche Challenges sie dem Benutzer anzeigt, d.h. ob sich der Benutzer per E-Mail oder SMS authentisieren soll.

Die Authentifizierungs-API hat außerdem einen weiteren Endpoint erhalten, über den das REST-Modul von FreeRADIUS 3 die Authentifzierung gegen privacyIDEA durchführen kann. In manchen Setups kann es sinnvoll sein, das schlankere REST-Modul statt des bereits lange verfügbaren Perl-Moduls zu verwenden.

Die Enrollment-API wurde um eine generische Funktionalität der beidseitigen Schlüsselerzeugung erweitert. Sowohl der Client als auch der Server erzeugen Teile des Schlüssels, aus denen der eigentliche Schlüssel erzeugt wird. Ein vertrauenswürdiger Schlüssel (OTP-Seed) ist für eine zuverlässige Zwei-Faktor-Authentifizierung unbedingt notwendig. Die beidseitige Schlüsselerzeugung ermöglicht es u.a. Smartphone-Apps zu erstellen, die einen sichereren Rollout-Prozess abbilden können.

Zur Geschwindigkeitsoptimierung wurde die Anbindung an LDAP/AD-Verzeichnisse optimiert. So konnten die Entwickler die Anzahl der notwendigen LDAP-Requests erheblich senken. Für sehr langsame LDAP-Anbindungen, wie sie bisweilen bei verteilten Standorten vorkommen, wurde ein allgemeiner User-Cache eingeführt. Der User-Cache ist als langlebiger, persistenter Cache implementiert. Die Benutzerdaten werden in der lokalen SQL-Datenbank abgelegt und im Falle von redundanten privacyIDEA-Setups auch zwischen den Knoten repliziert. Hierdurch lassen sich weitere Geschwindigkeitsverbesserungen erzielen.

Das komplette Changelog finden Interessierte bei Github. Das privacyIDEA Update steht zum Download über Github, den Python Package Index oder ein Launchpad Repository für Ubuntu 14.04 oder 16.04 bereit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44716906 / Authentifizierung)