Suchen

privacyIDEA 2.19 Optimierungen für U2F-Geräte im Unternehmensumfeld

| Redakteur: Peter Schmitz

Die neue Version 2.19 der Open-Source-Authentifizierungslösung privacyIDEA kommt mit einigen Bugfixes und Geschwindigkeitsoptimierungen. Vor allem ermöglicht das Tool jetzt aber Unternehmen eine restriktive Nutzung von U2F-Geräten und bietet neue Funktionen in der Authentifizierungs- und der Enrollment-API.

Firma zum Thema

In privacyIDEA 2.19 können Administratoren jetzt per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen.
In privacyIDEA 2.19 können Administratoren jetzt per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen.
(Bild: C. Kölbel)

Bereits seit geraumer Zeit können Benutzer und Administratoren U2F-Geräte bei privacyIDEA registieren. Die Anwendung verwaltet die U2F-Geräte an zentraler Stelle und erlaubt es den Benutzern, diese Geräte zur einfachen Zwei-Faktor-Authentifizierung an den angeschlossenen Applikationen zu nutzen.

Um zu verhindern, dass Benutzer beliebige oder nicht-vertrauenswürdige U2F-Geräte registrieren, kann der Administrator in der Version 2.19 nun per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen. Hierzu können reguläre Ausdrücke auf das Attestation-Zertifikat angewendet werden. So kann ein Unternehmen bspw. regeln, dass nur Yubikeys registriert werden können. Weiterhin können solche Richtlinien auch für die Anmeldung selber definiert werden.

Verbesserungen bei der Authentifizierungs- und Enrollment-API

privacyIDEA kann nun mehreren Challenge-Response-Tokens eines Benutzers mit gleichen Token-PINs verwalten. Somit kann ein Benutzer gleichzeitig mehrere Email-Token oder SMS-Token haben. Bei Bedarf kann die Applikation entscheiden, welche Challenges sie dem Benutzer anzeigt, d.h. ob sich der Benutzer per E-Mail oder SMS authentisieren soll.

Die Authentifizierungs-API hat außerdem einen weiteren Endpoint erhalten, über den das REST-Modul von FreeRADIUS 3 die Authentifzierung gegen privacyIDEA durchführen kann. In manchen Setups kann es sinnvoll sein, das schlankere REST-Modul statt des bereits lange verfügbaren Perl-Moduls zu verwenden.

Die Enrollment-API wurde um eine generische Funktionalität der beidseitigen Schlüsselerzeugung erweitert. Sowohl der Client als auch der Server erzeugen Teile des Schlüssels, aus denen der eigentliche Schlüssel erzeugt wird. Ein vertrauenswürdiger Schlüssel (OTP-Seed) ist für eine zuverlässige Zwei-Faktor-Authentifizierung unbedingt notwendig. Die beidseitige Schlüsselerzeugung ermöglicht es u.a. Smartphone-Apps zu erstellen, die einen sichereren Rollout-Prozess abbilden können.

Zur Geschwindigkeitsoptimierung wurde die Anbindung an LDAP/AD-Verzeichnisse optimiert. So konnten die Entwickler die Anzahl der notwendigen LDAP-Requests erheblich senken. Für sehr langsame LDAP-Anbindungen, wie sie bisweilen bei verteilten Standorten vorkommen, wurde ein allgemeiner User-Cache eingeführt. Der User-Cache ist als langlebiger, persistenter Cache implementiert. Die Benutzerdaten werden in der lokalen SQL-Datenbank abgelegt und im Falle von redundanten privacyIDEA-Setups auch zwischen den Knoten repliziert. Hierdurch lassen sich weitere Geschwindigkeitsverbesserungen erzielen.

Das komplette Changelog finden Interessierte bei Github. Das privacyIDEA Update steht zum Download über Github, den Python Package Index oder ein Launchpad Repository für Ubuntu 14.04 oder 16.04 bereit.

(ID:44716906)