SecSign ID Plugin: Linux Login

01.08.2017 5 Minuten Lesedauer
Inhaltsverzeichnis

Zwei-Faktor Authentifizierung für das Linux Login

Die Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle für Authentifizierungsdienste zur Verfügung stellt. Statt die Einzelheiten der Authentifizierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an. In einer Konfigurationsdatei können die Module einzelnen Diensten zugeordnet werden, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, Mac OS X und DragonFly BSD zur Verfügung.

PAM Überblick
Integration

Integration des Plugins in Ihr Setup

SecSign ID Integration

Please configure your desired integration of the SecSign ID Two Factor Authentication

Choose a system, where you want to add the secure login

Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you

The location to save the assigned SecSign IDs to a user account or the IDM alltogether

System to protect
?
The System you want to protect - Choose a system, where you want to add the secure login
SecSign ID Server location
?
Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you
User account location
?
The system to save the assigned SecSign IDs to a user account or the IDM alltogether
edit the settings to change the integration
Authentication
2FA
2FA blind
2FA no AP
2SA
2SA no AP
2SA blind
OTP
Enrollment
Custom ID
Pattern
IDP Custom Website
Enrollment initiated by SP
Enrollment with IDM
Show Network
Hide Network
Fullscreen
Request Solution
x
The authentication was successful
Installation

Installation des Plugins

Bevor Sie damit beginnen das SecSignID PAM als Authentifizierung für den Linux Login zu nutzen, lesen Sie sich bitte das SecSign ID PAM Tutorial durch und befolgen die Schritte 3-5 um das PAM korrekt zu konfigurieren und installieren.

Konfiguration

Konfiguration des Plugins

In diesem Beispiel nutzen wir Ubuntu. Um eine Zwei-Faktor Authentifizierung zum grafischen Desktop Login hinzufügen zu können, muss die Datei /etc/pam.d/lightdm angepasste werden. Folgende Zeile muss hinzugefügt werden:

auth required pam_secsignid.so nullok

Speichern Sie die Datei und starten Sie den SSH Server erneut mit

sudo service ssh restart

Melden Sie sich ab und probieren Sie die SecSign ID Zwei-Faktor Authentifizierung aus.

linux login 2fa with secsignid

Fehlerquellen

Fehlerquellen

Fehler beim Kompilieren

Die Bibliothek libcurl muss im Standart Pfad installiert sein, ansonsten schlägt make fehl. Befindet sich libcurl außerhalb der Standart Pfade, muss manuell kompiliert werden.

Fehler bei der Authentifizierung

Gibt es Fehler bei der Authentifizierung sollte immer der Debug- sowie der Logmodus aktiviert werden (siehe PAM Debug- & Logmodus) und die Ausgaben in eine Datei geschrieben werden, da das PAM normalerweise still ist und keine Ausgaben zulässt (sicherheitsrelevant). Werden trotzdem keine Log- oder Debug Dateien erstellt, sind die in secsignid.c angegebenen Pfade fehlerhaft bzw. es besteht kein Lese- & Schreibrecht.

Es wird dann eine Log-Datei erstellt, wo generelle Fehler aufgezeichnet werden. Arbeitet libcurl korrekt und ist der SecSignID Server erreichbar? Ist Port 443 verfügbar um mit dem Server zu kommunizieren? Wird die Konfigurationsdatei gefunden und hat das PAM Lesezugriff darauf?

Es wird eine Debug-Datei erstellt, wo die Schnittstellen Kommunikation aufgezeichnet ist. Gibt es Fehler bei der Kommunikation, weil keine SecSignID zu dem Nutzer gefunden werden kann oder gibt es Fehler bei einem der Parameter, wie serviceName?

Deaktivierung

Weil wir nur 2FA für die grafischen Logins aktiviert haben, ist es ein Leichtes dies zu deaktivieren, falls es zu Problemen kommen sollte. Drücken Sie eine Tastenkombination wie Ctrl + Alt + F2 um eine Virtuelle Konsole zu öffnen und melden Sie sich mit Ihrem Benutzernamen und Passwort an. Nutzen Sie zum Beispiel

sudo nano /etc/pam.d/lightdm 

um die Datei editieren zu können und löschen Sie die zuvor eingefügte Zeile oder kommentieren Sie diese aus. Sichern Sie die Datei und melden Sie sich normal mit Nutzername und Passwort an.

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

SecSign Portal Neuerungen

Die neuesten SecSign Portal Updates ermöglichen unseren Nutzern eine noch einfacherere und sicherere Bedienung. History Notiznotifikationen Dateien markieren Softkey Dateien beim Upload signieren Hochgeladene Da ...

Mehr Lesen

Zwei-Faktor Authentifizierung (2FA) vs. Zwei-Schritt Authentifizierung (2SA)

Zwei-Faktor Authentifizierung und Zwei-Schritt Authentifizierung sind zwei Möglichkeiten, den Login Ihrer Nutzer abzusichern. Beide Optionen können, abhängig von Ihren Anforderungen und Bedingungen, Ihren Nutzern eine sichere A ...

Mehr Lesen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen
SecSign 2FA