UNIX PAM Installation

SECSIGN ID PAM FÜR ZWEI-FAKTOR AUTHENTIFIZIERUNG


Erfahren Sie, warum unsere Zwei-Faktor Authentifizierung die Beste ist und Sie die Sicherheit Ihres Unternehmens upgraden sollten. Für Entwickler haben wirhier Informationen zusammengetragen.

Erfahren Sie mehr über Inhouse-Installationen und Ihre individuelle Firmen-App mit Ihrem Corporate Design.

Downloaden Sie das Plugin kostenlos in der Cloud für bequemen und sicheren Schutz.


Die Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle für Authentifizierungsdienste zur Verfügung stellt. Statt die Einzelheiten der Authentifizierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an.

In einer Konfigurationsdatei können die Module einzelnen Diensten zugeordnet werden, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, Mac OS X und DragonFly BSD zur Verfügung.

Inhaltsverzeichnis

    Fragen?

    Kontaktieren Sie uns, wenn Sie Hilfe beim Setup des SecSign ID Plugins brauchen oder Ihnen ein Plugin für eine andere Programmierumgebung fehlt.

    CONTACT US

    1. Anwendungsgebiete

    Das SecSignID Pluggable Authentication Module kann vielfältig genutzt werden um eine sichere Zwei-Faktor Authentifizierung bereit zu stellen.

    • SSH
    • FTP
    • Apache HTTP Auth
    • Desktop Logins

    Sollen Dienste über einen RADIUS Server und Active Directory Authentifiziert werden, so stellen wir den SecSignID RADIUS Proxy bereit, welcher sich dann um die Zwei-Faktor Authentifizierung kümmert. Die SecSignIDs werden dann nicht mehr aus einer Konfigurationsdatei gezogen, sondern am Active Directory angefragt.

    2. Ablauf der Authentifizierung

    Der Nutzer gibt, am Beispiel einer SSH Verbindung, ganz normal seinen Nutzernamen und sein Passwort an. Einen Augenblick später erhält er eine Push-Notification auf sein Smartphone, wo er den Service-Namen und die Adresse sehen kann. Bestätigt er die Anfrage, wird die SSH Verbindung sofort aufgebaut.

    So einfach läuft die 2-Step Zwei-Faktor Authentifizierung für den Nutzer ab und verhindert, dass unbefugte in das System eindringen können, selbst wenn das Passwort bekannt ist.

    So funktioniert die Authentifizierung am SSH Beispiel:

    pam-sequence-1

    1. Ein SSH Client öffnet eine SSH Verbindung zum Server
    2. Die Anwendung SSHd nimmt die Anfrage entgegen und stellt eine Authentifizierungsanfrage an die PAM Bibliothek
    3. In der entsprechenden Konfigurationsdatei wird geprüft, welche PAMs genutzt werden sollen. In dem Fall wird, wie normalerweise bei einer SSH Verbindung, zuerst nach dem Passwort des Nutzers gefragt
    4. Im zweiten Schritt wird das SecSignID PAM aufgerufen.
    5. Das SecSignID PAM lädt die Konfigurationsdatei und sucht die SecSignID des Nutzers, welcher sich gerade authentifizieren möchte
    6. Anschließend wird der SecSignID Server benachrichtigt, dass sich eine SecSignID authentifizieren möchte
    7. Der SecSignID Server sendet eine Push-Notification an das Smartphone des Nutzers
    8. Der Nutzer kann den Login nun auf seinem Smartphone bestätigen
    9. Das PAM fragt den SecSignID Server nach dem Status der Authentifizierung. Hat der Nutzer den Login bestätigt, wird dies dem PAM mitgeteilt.
    10. Das SecSignID PAM wertet die Antwort des Servers aus und entscheidet ob die Authentifizierung gültig ist. Ist dies der Fall, sendet das PAM den Status an die PAM-Bibliothek
    11. Die PAM-Bibliothek überprüft, ob es noch weitere Authentifizierungsroutinen gibt und sendet die Authentifizierungsbestätigung an die Anwendung, in dem Fall SSHd
    12. SSHd erhält von der PAM Bibliothek die Bestätigung, dass der Nutzer sich korrekt authentifiziert hat und baut nun die SSH Verbindung auf

    3. Vorbereitungen

    Laden Sie das SecSignID PAM Archiv herunter und entpacken Sie es. Die Bibliothek besteht aus vier Dateien:

    • Makefile: Wird zum kompilieren der Quelldateien genutzt
    • libsecsinid.c: C Bibliothek für die SecSignID Zwei-Faktor Authentifizierung
    • libsecsinid.h: Zugehörige Header-Datei mit Typdefinitionen und Funktionsprototypen
    • secsignid.c: PAM zur Nutzung der SecSignID
    • secsignid.config: Konfigurationsdatei, welche Nutzernamen und dazugehörige SecSignID zusammenfasst

    Damit das Programm kompiliert werden kann und fehlerfrei ausgeführt werden kann, müssen folgende Vorraussetzungen erfüllt sein:

    • Unix Plattform oder Mac
    • gcc Kompiler
    • libcurl installiert
    • Internetverbindung  (der SecSignID Server kommuniziert auf Port 443)

    Der gcc Kompiler und libcurl können zum Beispiel unter Debian wie folgt installiert werden:

    oder mit Ubuntu:

    Beim Mac kann der Kompiler gcc und libcurl am einfachsten via Homebrew installiert werden.

    4. Konfiguration des PAM

    In der Datei secsignid.c gibt es ein paar Konfigurationsmöglichkeiten des Moduls. So können Pfade zur Konfigurationsdatei und den Log- & Debug Dateien angepasst werden.

    Konfigurationsdatei

    Die Konfigurationsdatei secsignid.config fasst die Nutzernamen und die dazugehörigen SecSignIDs zusammen. Die Datei sollte an einem Ort aufbewahrt werden, wo Root- oder Administrator Zugangsrechte erforderlich sind. Der Pfad zur Konfigurationsdatei wird in der Datei secsignid.c in der Konstante CONFIGFILE gesetzt.

    Die Konfigurationsdatei hat folgendes Schema:

    SecSign ID

    Die SecSignID sendet mehrere Informationen an das Smartphone, wie zum Beispiel den Service-Namen und die dazugehörige IP Adresse oder URL.

    Wenn es keine Möglichkeit gibt, dem Client ein Bild anzuzeigen (zum Beispiel bei einer 2-Step Zwei-Faktor Absicherung einer SSH Verbindung), sollte der Accesspass weggelassen werden. Der Nutzer bekommt dann eine Anfrage auf sein Smartphone gesendet, welche bestätigt oder abgelehnt werden kann – ein Accesspass wird nicht präsentiert. Dieser Fall sollte allerdings nur für 2-Step Authentifizierungsprozesse verwendet werden.

    Debugging

    Die Bibliothek hat einen debug Modus, welcher jegliche Schnittstellenkommunikation ausgibt. So kann sicher gestellt werden, ob die Anfragen korrekt gesendet werden und wann nach dem Sitzungsstatus gefragt wird. Um den Debug Modus zu aktivieren, können Sie folgende Konstanten anpassen:

    DEBUGTYPE gibt dabei an, was mit der Debug-Ausgabe geschehen soll:

    • NO = Kein Debugging
    • YES = Ausgabe auf StdOut
    • FILEDEBUG = Ausgabe in Datei

    DEBUGFILEPATH beschreibt den Pfad, wo die Debug-Datei abgelegt werden soll. Die Datei muss vom Programm beschreibbar sein. Wenn keine Debug-Datei existiert, wird eine angelegt.

    Logging

    Logging ist für Schnittstellenfehler gedacht. Es werden technische Fehler (zum Beispiel falsche Syntax der Parameter) und API Fehler (zum Beispiel nicht gefundener Nutzer) geloggt. Es kann eingestellt werden, ob alle Fehler ins Syslog oder in eine separate Datei geschrieben werden:

    • FILELOG = Fehler werden in eine Datei geschrieben, der 2. Parameter ist der Dateiname der Logdatei
    • SYSLOG = Fehler werden ins Syslog geschrieben, 2. Parameter wird ignoriert, muss aber vorhanden sein
    • NO = es wird kein Log geschrieben, 2. Parameter wird ignoriert, muss aber vorhanden sein

    5. Kompilieren und Installation


    Um das PAM zu kompilieren, öffnen Sie eine Shell, bzw. das Terminal, wechseln Sie in das entpackte Verzeichnis in dem das C-Script liegt und geben Sie make ein. Das Programm pam_secsignid.so wird erzeugt.

    Das Programm kann manuell wie folgt kompiliert werden:

    Nach dem kompilieren muss die Datei in das PAM Verzeichnis gelegt werden. Dies ist üblicherweise /lib/security oder /lib/x86_64-linux-gnu/security:

    6. Unsere APIS

    Wir haben eine stetig wachsende Liste an APIs und Plugins um die SecSign ID Zwei-Faktor Authentifizierung einfach und schnell in jedes Projekt zu integrieren.
    Wir bieten nicht nur APIs in zahlreichen Programmiersprachen, sondern auch Plugins für CMS, Server und VPN Umgebungen, oAuth2 und zahlreiche mehr. Die Plugins nutzen unsere APIs und bieten zusätzliche Funktionen, zum Beispiel Nutzer Management, einfache und native Installation, Logging oder die Integration in Firewalls oder Active Directories.

    Das JIRA Plugin beispielsweise nutzt die JAVA-API. Die PHP-API und JS-API wird von WordPress, Joomla, Drupal, Typo3 und vielen anderen genutzt. Die ASP.net/C#-API wird für die Windows und Cisco VPN genutzt und die C-API findet Verwendung um Unix SSH Services zu schützen. Die Objective-C API wird für unsere AppleTV und iPhone und iPad Apps genutzt.

    available_apis

    7. Erfahren Sie mehr

    Sie können die SecSign ID Zwei-Faktor Authentifizierung und den Zwei-Faktor Login durch eine einfach Integration des Plugins in Ihre Website oder Ihre Testumgebung kennenlernen. Oder testen Sie den Login auf unserer Website, ohne sich vorher zu registrieren. Sie haben bereits eine SecSign ID oder hätten gerne eine? Loggen Sie sich jetzt ein und nutzen Sie das Portal oder registrieren Sie sich ganz unkompliziert.

    Erfahren Sie selbst, wie schnell und unkompliziert der Login Prozess mit der Challenge-Response Authentifizierung mit 2048-bit Schlüsselpaaren ist. Sie brauchen keine Passwörter, und es werden keine vertraulichen Logindaten übertragen. Einfache Integration und unkomplizierte Nutzung.

    Für mehr Informationen zum patentierten SafeKey Verfahren finden Sie hier.

    Falls Sie eine API für eine Programmiersprache vermissen kontaktieren Sie uns unverbindlich. Falls Sie Hilfe mit der Integration in ein existierendes System brauchen oder kein passendes Plugin für Ihr Content Management System finden, kontaktieren Sie unser Support Team und wir helfen Ihnen gerne weiter.

    Ihr eigener ID-Server

    Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, sich mit Ihren bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSign ID Ihrer Unternehmensmarke an!

    your_own_id

    Warum sollte ich SecSign nutzen?

    Inhouse oder Cloud Lösungen

    Unsere Lösungen lassen sich leicht anpassen: Wählen Sie zwischen der durch uns betriebenen SecSign Cloud oder betreiben Sie selber den SecSign Authentifizierungsserver Inhouse oder in einem Rechenzentrum Ihrer Wahl. Mehr zum Inhouse Zwei-Faktor Authentifizierungsserver

    Einfache Anpassung an Ihre Bedürfnisse

    Wir passen die App an ihre Unternehmens Look-and-Feel an. Zwei-Faktor Authentifizierung angepasst an Ihre Bedürfnisse, für Ihre Kunden.

    Anwendungsfertiges SDK

    Integrieren Sie die SecSign Zwei-Faktor Authentifizierung in existierende Apps mit unserem SDK. Es könnte nicht einfacher gehen.

    Unkompliziertes Nutzer-Management

    Nutzen sie den Zwei-Faktor Authentifizierungsserver zum Schutz Ihres Active Directory/LDAP. Ihr individuelles Identity and Access Management System, beispielsweise mit verpflichtenden Updates und zahlreichen Sicherheitseinstellungen.

    Schützen Sie ALLE Logins

    Integration in sämtliche Login-Umgebungen: Web, Local, VPN, Remote Desktop, Mobile Logins und viele mehr.

    Plugins für alle Anwendungsgebiete

    Komplexe Integrationen gehören der Vergangenheit an: SecSign bietet Ihnen Plugins für nahezu alle Umgebungen.

    Letzte Blog Einträge, Neuigkeiten & Funktionen

    Crowd SSO

    21.09.2017

    Read More
    Do NOT follow this link or you will be banned from the site!