UNIX 2FA FTP Tutorial

SECSIGN ID PAM FÜR ZWEI-FAKTOR AUTHENTIFIZIERUNG


Erfahren Sie, warum unsere Zwei-Faktor Authentifizierung die Beste ist und Sie die Sicherheit Ihres Unternehmens upgraden sollten. Für Entwickler haben wirhier Informationen zusammengetragen.

Erfahren Sie mehr über Inhouse-Installationen und Ihre individuelle Firmen-App mit Ihrem Corporate Design.

Downloaden Sie das Plugin kostenlos in der Cloud für bequemen und sicheren Schutz.


Das Pluggable Authentication Module (PAM) ist eine Softwarebibliothek, die eine allgemeine Programmierumgebung für Authentifizierungsservices bietet. Mit der PAM-API müssen Sie die Einstellungen für jede Authentifizierung nicht mehr einzeln einstellen. Stattdessen können einzelne, standardisierte Module verwendet werden.

Die Module können einzelnen individuellen Services in der Konfigurationsdatei zugewiesen werden. Die Kompilation der entsprechenden Software muss nicht geändert werden. PAM ist verfügbar für AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, Mac OS X und DragonFly BSD.

Inhaltsverzeichnis

    Fragen?

    Kontaktieren Sie uns, wenn Sie Hilfe beim Setup des SecSign ID Plugins brauchen oder Ihnen ein Plugin für eine andere Programmierumgebung fehlt.
    KONTAKTIEREN SIE UNS

    1. Installation und Konfiguration

    Bevor Sie damit beginnen das SecSignID PAM als Authentifizierung für ProFTPd zu nutzen, lesen Sie sich bitte das Tutorial für das SecSign ID PAM Tutorial durch und befolgen die Schritte 3-5 um das PAM korrekt zu konfigurieren und installieren.

    Hinweis: Die Verwendung des FTP-Protokolls ohne weitere Sicherheitsmaßnahmen wird als sehr kritisch eingestuft, da die Übertragung unverschlüsselt stattfindet. Kennwörter und Daten werden als Klartext übertragen und können mitgelesen werden. FTP über SSL/TLS schafft als FTPS verschlüsselte Übertragungswege und mit der SecSignID Zwei-Faktor Authentifizierung wird die Authentifizierung abgesichert.

    Da es verschiedene Wege gibt, die FTP Verbindung zu verschlüsseln, wird im weiteren Verlauf trotzdem nur von FTP gesprochen – eine verschlüsselte Verbindung wird aber vorausgesetzt, auch wenn die Zugriffsdaten dank der SecSign ID 2FA nicht mehr kompromittiert werden können.

    In diesem Tutorial verwenden wir den bekannten FTP Server „ProFTPd“. Andere FTP Server wie zum Beispiel „vsftpd“ unterstützen ebenfalls PAM und werden genau so oder sehr ähnlich wie hier beschrieben mit der SecSignID verbunden.

    Kurzversion der Konfiguration & Installation:

    1. libcurl und gcc werden vorrausgesetzt
    2. SecSignID PAM anfragen und entpacken
    3. Pfade zur Konfigurationsdatei in secsign.c anpassen
    4. Namen aller Nutzer und dazugehörige SecSignIDs in secsignid.config eintragen
    5. make
    6. Die kompilierte Datei pam_secsignid.so in die PAM Bibliothek kopieren (normalerweise /lib/security)

    2. Konfiguration mit PROFTPD

    Installieren Sie ProFTPd als Standalone Version über apt-get install proftpd openssl. Öffnen Sie die Konfigurationsdatei /etc/proftpd/proftpd.conf und treffen Sie alle umgebungsspezifischen Einstellungen für FTP wie zum Beispiel die Übertragung via TLS. Das Konfigurations-Script von ProFTPd schaut nach ob das System PAM unterstützt und lädt mod_auth_pam automatisch. Bei anderen FTP Servern wie zum Beispiel „vsftpd“ kann es sein, dass man in der Konfigurationsdatei explizit die Verwendung von PAM angeben muss.

    Um dem Nutzer etwas Zeit zu geben, den Login auch auf seinem Smartphone zu bestätigen, sollten die Werte TimeoutNoTransfer, TimeoutStalled und TimeoutIdle entsprechend verlängert werden, auf mindestens 2 Minuten.

    Öffnen Sie dann die Konfigurationsdatei für die ProFTPd PAM Einstellungen /etc/pam.d/proftpd und ändern Sie es wie folgt ab:

    Speichern Sie die Datei und starten Sie den FTP Server neu, in dem Fall mit service proftpd restart.

    Nun kann der FTP Server getestet werden. Dazu sollte im entsprechenden FTP Client-Programm wie zum Beispiel FileZilla die Timeout Zeit auf 2 Minuten hochgesetzt werden, damit der Nutzer ausreichend Zeit hat den Login auf seinem Smartphone zu bestätigen.v

    pam_ftp_filezilla_2fa-1

    3. Fehlerquellen

    Fehler beim Kompilieren

    Die Bibliothek libcurl muss im Standardpfad installiert sein, ansonsten schlägt make fehl. Befindet sich libcurl außerhalb der Standardpfade, muss manuell kompiliert werden.

    Fehler bei der Authentifizierung

    Gibt es Fehler bei der Authentifizierung sollte immer der Debug- sowie der Logmodus aktiviert werden (siehe PAM Debug- & Logmodus) und die Ausgaben in eine Datei geschrieben werden, da das PAM normalerweise still ist und keine Ausgaben zulässt (sicherheitsrelevant). Werden trotzdem keine Log- oder Debug Dateien erstellt, sind die in secsignid.c angegebenen Pfade fehlerhaft bzw. es besteht kein Lese- & Schreibrecht.

    Es wird dann eine Log-Datei erstellt, wo generelle Fehler aufgezeichnet werden. Arbeitet libcurl korrekt und ist der SecSignID Server erreichbar? Ist Port 443 verfügbar um mit dem Server zu kommunizieren? Wird die Konfigurationsdatei gefunden und hat das PAM Lesezugriff darauf?

    Es wird eine Debug-Datei erstellt, wo die Schnittstellen Kommunikation aufgezeichnet ist. Gibt es Fehler bei der Kommunikation, weil keine SecSignID zu dem Nutzer gefunden werden kann oder gibt es Fehler bei einem der Parameter, wie Servicename?

    4. Unsere APIS

    Wir haben eine stetig wachsende Liste an APIs und Plugins um die SecSign ID Zwei-Faktor Authentifizierung einfach und schnell in jedes Projekt zu integrieren.
    Wir bieten nicht nur APIs in zahlreichen Programmiersprachen, sondern auch Plugins für CMS, Server und VPN Umgebungen, oAuth2 und zahlreiche mehr. Die Plugins nutzen unsere APIs und bieten zusätzliche Funktionen, zum Beispiel Nutzer Management, einfache und native Installation, Logging oder die Integration in Firewalls oder Active Directories.

    Das JIRA Plugin beispielsweise nutzt die JAVA-API. Die PHP-API und JS-API wird von WordPress, Joomla, Drupal, Typo3 und vielen anderen genutzt. Die ASP.net/C#-API wird für die Windows und Cisco VPN genutzt und die C-API findet Verwendung um Unix SSH Services zu schützen. Die Objective-C API wird für unsere AppleTV und iPhone und iPad Apps genutzt.

    available_apis

    5. Erfahren Sie mehr

    Sie können die SecSign ID Zwei-Faktor Authentifizierung und den Zwei-Faktor Login durch eine einfach Integration des Plugins in Ihre Website oder Ihre Testumgebung kennenlernen. Oder testen Sie den Login auf unserer Website, ohne sich vorher zu registrieren. Sie haben bereits eine SecSign ID oder hätten gerne eine? Loggen Sie sich jetzt ein und nutzen Sie das Portal oder registrieren Sie sich ganz unkompliziert.

    Erfahren Sie selbst, wie schnell und unkompliziert der Login Prozess mit der Challenge-Response Authentifizierung mit 2048-bit Schlüsselpaaren ist. Sie brauchen keine Passwörter, und es werden keine vertraulichen Logindaten übertragen. Einfache Integration und unkomplizierte Nutzung.

    Für mehr Informationen zum patentierten SafeKey Verfahren finden Sie hier.

    Falls Sie eine API für eine Programmiersprache vermissen kontaktieren Sie uns unverbindlich. Falls Sie Hilfe mit der Integration in ein existierendes System brauchen oder kein passendes Plugin für Ihr Content Management System finden, kontaktieren Sie unser Support Team und wir helfen Ihnen gerne weiter.

    Ihr eigener ID-Server

    Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, sich mit Ihren bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSign ID Ihrer Unternehmensmarke an!

    your_own_id

    Warum sollte ich SecSign nutzen?

    Inhouse oder Cloud Lösungen

    Unsere Lösungen lassen sich leicht anpassen: Wählen Sie zwischen der durch uns betriebenen SecSign Cloud oder betreiben Sie selber den SecSign Authentifizierungsserver Inhouse oder in einem Rechenzentrum Ihrer Wahl. Mehr zum Inhouse Zwei-Faktor Authentifizierungsserver

    Einfache Anpassung an Ihre Bedürfnisse

    Wir passen die App an ihre Unternehmens Look-and-Feel an. Zwei-Faktor Authentifizierung angepasst an Ihre Bedürfnisse, für Ihre Kunden.

    Anwendungsfertiges SDK

    Integrieren Sie die SecSign Zwei-Faktor Authentifizierung in existierende Apps mit unserem SDK. Es könnte nicht einfacher gehen.

    Unkompliziertes Nutzer-Management

    Nutzen sie den Zwei-Faktor Authentifizierungsserver zum Schutz Ihres Active Directory/LDAP. Ihr individuelles Identity and Access Management System, beispielsweise mit verpflichtenden Updates und zahlreichen Sicherheitseinstellungen.

    Schützen Sie ALLE Logins

    Integration in sämtliche Login-Umgebungen: Web, Local, VPN, Remote Desktop, Mobile Logins und viele mehr.

    Plugins für alle Anwendungsgebiete

    Komplexe Integrationen gehören der Vergangenheit an: SecSign bietet Ihnen Plugins für nahezu alle Umgebungen.

    Letzte Blog Einträge, Neuigkeiten & Funktionen

    Crowd SSO

    21.09.2017

    Read More
    Do NOT follow this link or you will be banned from the site!