Ihr eigener ID Server
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!
Mehr ErfahrenDie Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle für Authentifizierungsdienste zur Verfügung stellt. Statt die Einzelheiten der Authentifizierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an. In einer Konfigurationsdatei können die Module einzelnen Diensten zugeordnet werden, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, Mac OS X und DragonFly BSD zur Verfügung.
Das SecSignID Pluggable Authentication Module kann vielfältig genutzt werden um eine sichere Zwei-Faktor Authentifizierung bereit zu stellen.
Sollen Dienste über einen RADIUS Server und Active Directory Authentifiziert werden, so stellen wir den SecSignID RADIUS Proxy bereit, welcher sich dann um die Zwei-Faktor Authentifizierung kümmert. Die SecSignIDs werden dann nicht mehr aus einer Konfigurationsdatei gezogen, sondern am Active Directory angefragt.
Der Nutzer gibt, am Beispiel einer SSH Verbindung, ganz normal seinen Nutzernamen und sein Passwort an. Einen Augenblick später erhält er eine Push-Notification auf sein Smartphone, wo er den Service-Namen und die Adresse sehen kann. Bestätigt er die Anfrage, wird die SSH Verbindung sofort aufgebaut.
So einfach läuft die 2-Step Zwei-Faktor Authentifizierung für den Nutzer ab und verhindert, dass unbefugte in das System eindringen können, selbst wenn das Passwort bekannt ist.
Laden Sie das SecSignID PAM Archiv herunter und entpacken Sie es. Die Bibliothek besteht aus vier Dateien:
Damit das Programm kompiliert werden kann und fehlerfrei ausgeführt werden kann, müssen folgende Vorraussetzungen erfüllt sein:
Der gcc Kompiler und libcurl können zum Beispiel unter Debian wie folgt installiert werden:
1 2 3 4 |
su apt-get update apt-get install build-essential apt-get install curl |
oder mit Ubuntu:
1 2 3 |
sudo apt-get install libpam0g-dev sudo apt-get install libcurl4-gnutls-dev sudo make |
Beim Mac kann der Kompiler gcc und libcurl am einfachsten via Homebrew installiert werden.
In der Datei secsignid.c gibt es ein paar Konfigurationsmöglichkeiten des Moduls. So können Pfade zur Konfigurationsdatei und den Log- & Debug Dateien angepasst werden.
Wenn ein On-Premise SecSignID Server genutzt wird, dann muss in der Datei libsecsignid.c die URL entspechend angepasst werden:
1 2 3 4 5 |
// The primary SecSign ID Cloud Server // If you have an on-premise ID Server, change the URL to your endpoint char *secSignIDServer = "https://httpapi.secsign.com"; char *secSignIDServerFallback = "https://httpapi2.secsign.com"; |
Die Konfigurationsdatei secsignid.config fasst die Nutzernamen und die dazugehörigen SecSignIDs zusammen. Die Datei sollte an einem Ort aufbewahrt werden, wo Root- oder Administrator Zugangsrechte erforderlich sind. Der Pfad zur Konfigurationsdatei wird in der Datei secsignid.c in der Konstante CONFIGFILE gesetzt.
1 |
#define CONFIGFILE "/etc/secsignid/secsignid.config" |
Die Konfigurationsdatei hat folgendes Schema:
1 2 3 |
# Kommentar linuxuserX=secsignidforlinuxuserX linuxuserY=secsignidforlinuxuserY |
Die SecSignID sendet mehrere Informationen an das Smartphone, wie zum Beispiel den Service-Namen und die dazugehörige IP Adresse oder URL.
Wenn es keine Möglichkeit gibt, dem Client ein Bild anzuzeigen (zum Beispiel bei einer 2-Step Zwei-Faktor Absicherung einer SSH Verbindung), sollte der Accesspass weggelassen werden. Der Nutzer bekommt dann eine Anfrage auf sein Smartphone gesendet, welche bestätigt oder abgelehnt werden kann – ein Accesspass wird nicht präsentiert. Dieser Fall sollte allerdings nur für 2-Step Authentifizierungsprozesse verwendet werden.
1 2 3 |
char *serviceName = "PAMsecsignidTest"; char *serviceAddress = "localhost"; int showAccessPass = 0; |
Die Bibliothek hat einen debug Modus, welcher jegliche Schnittstellenkommunikation ausgibt. So kann sicher gestellt werden, ob die Anfragen korrekt gesendet werden und wann nach dem Sitzungsstatus gefragt wird. Um den Debug Modus zu aktivieren, können Sie folgende Konstanten anpassen:
DEBUGTYPE gibt dabei an, was mit der Debug-Ausgabe geschehen soll:
DEBUGFILEPATH beschreibt den Pfad, wo die Debug-Datei abgelegt werden soll. Die Datei muss vom Programm beschreibbar sein. Wenn keine Debug-Datei existiert, wird eine angelegt.
1 2 |
#define DEBUGTYPE FILEDEBUG #define DEBUGFILEPATH "/etc/secsignid/secsignid.debug" |
Logging ist für Schnittstellenfehler gedacht. Es werden technische Fehler (zum Beispiel falsche Syntax der Parameter) und API Fehler (zum Beispiel nicht gefundener Nutzer) geloggt. Es kann eingestellt werden, ob alle Fehler ins Syslog oder in eine separate Datei geschrieben werden:
1 2 |
#define LOGTYPE FILELOG #define LOGFILEPATH "/etc/secsignid/secsignid.log" |
Um das PAM zu kompilieren, öffnen Sie eine Shell, bzw. das Terminal, wechseln Sie in das entpackte Verzeichnis in dem das C-Script liegt und geben Sie make ein. Das Programm pam_secsignid.so wird erzeugt.
Das Programm kann manuell wie folgt kompiliert werden:
1 |
gcc -fPIC -DPIC -shared -rdynamic -o pam_secsignid.so secsignid.c libsecsignid.c -lcurl |
Nach dem kompilieren muss die Datei in das PAM Verzeichnis gelegt werden. Dies ist üblicherweise /lib/security oder /lib/x86_64-linux-gnu/security:
1 |
cp pam_secsignid.so /lib/security/pam_secsignid.so |
[/box][/col][/section]
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!
Mehr ErfahrenInhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...
Mehr LesenDas SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...
Mehr LesenDie einfachste mobile Zwei-Faktor Authentifizierung mit der Apple Watch Die SecSign Technologies AG bietet eine neue Generation von Authentifizierungslösungen und Schutzvorrichtungen für die digitale Identität an. Diese Lös ...
Mehr LesenWürden Sie gerne mehr über unsere innovativen und hochsicheren Lösungen zum Schutz von Nutzerkonten und empfindlichen Daten erfahren?
Nutzen Sie unser Kontaktformular und ein SecSign Kundenbetreuer wird innerhalb eines Arbeitstages Kontakt mit Ihnen aufnehmen.
Benötigen Sie Hilfe mit einem existierenden SecSign Account oder einer Produktinstallation? Die häufigsten Fragen haben wir in unseren FAQs zusammengefasst. Sie finden keine Lösung zu Ihrem Problem? Kontaktieren Sie den
Kundensupport
Ich Interessiere mich für