SecSign ID 2FA: Radius Proxy

05.10.2018 11 Minuten Lesedauer
Inhaltsverzeichnis

Zwei-Faktor-Authentifizierung für Radius

Das folgende Tutorial beschreibt die Installation und Konfiguration zur Nutzung der SecSign ID Zwei-Faktor Authentifizierung mit RADIUS.

Anmeldeprozess

System Überblick & Anmeldeprozess

Überblick der SecSignID 2FA Authentifizierung mit RADIUS:

  1. Der Nutzer meldet sich bei einem Service an, welcher durch einen RADIUS Server gesichert ist (zum Beispiel VPN, Cisco ASA usw.)
  2. Normalerweise sendet der VPN server nun eine RADIUS Anfrage zum RADIUS Server um den Nutzer zu authentifizieren. Da wir hier aber die SecSignID 2FA nutzen, werden alle Anfragen zum SecSignID RADIUS Proxy geleitet
  3. Der SecSignID RADIUS Proxy leitet die RADIUS Anfragen dann einfach an den eigentlichen RADIUS Server weiter
  4. Der RADIUS Server nutzt die primäre Authentifizierung mit dem Benutzernamen und Passwort (zum Beispiel am Active Directory) um den Nutzer zu verifizieren. Die primäre Authentifizierung gibt das Ergebnis dann an den RADIUS Server zurück
  5. Der RADIUS Server erstellt eine RADIUS Antwort und sendet diese an den Proxy zurück
  6. Der SecSignID RADIUS Proxy erfragt die SecSignID des Nutzers mit Hilfe des Nutzernamens am Active Directory an. Wenn dem Nutzer eine SecSignID zugewiesen ist,wird diese dem SecSign ID RADIUS Proxy übergeben. Falls sie nicht ihr AD Schema erweitern wollen, kann für diesen Schritt ein Inhouse ID Server genutzt werden. Für Testzwecke kann auch eine einfache Textdatei mit Nutzerzuordnungen genutzt werden.
  7. Der SecSign ID RADIUS Proxy kontaktiert den ID Server und sendet unter Anderem die zuvor ermittelte SecSignID um die sekundäre Authentifizierung einzuleiten. Der Proxy fragt nun konstant am ID Server nach, ob der Nutzer sich bereits mit seiner SecSignID authentifiziert hat.
  8. Der Benutzer wird auf seinem Smartphone per Push Notification darüber informiert, dass eine neue Authentifizierung wartet. Der Nutzer authentifiziert sich in der SecSignID App mittels PIN, Fingerabdruck oder Gesichtserkennung und kann den Login bestätigen.
  9. Der SecSign ID RADIUS Proxy bekommt nun die Antwort vom ID Server, dass sich der Nutzer erfolgreich mit dem zweiten Faktor authentifiziert hat. Eine RADIUS Bestätigung wird zurück an den VPN server gesendet
  10. Der VPN Server gewährt dem Nutzer Zugriff.
ID Mapping

SecSignID Mapping

Normalerweise authentifizieren sich ihre Nutzer zuerst mit Nutzername und Passwort. Anschliessend wird der zweite Faktor erfragt. Wie funktioniert die Verknüpfung von Nutzername und SecSignID?

Sie haben folgende Möglichkeiten, die SecSignID einem Nutzer zuzuweisen:

  • Die einfachste Lösung ist es einen Inhouse ID Server zu betreiben, welcher sich um die Zuweisungen kümmert. Er sichert die Nutzernamen in einer internen Datenbank und kümmert sich um die Zwei-Faktor Authentifizierung. Sie haben absolute Kontrolle über sämtliche Nutzerdaten, Methoden zur Registrierung neuer IDs, sowie ID Namensregeln.
  • Falls sie nicht an den zusätzlichen Funktionen interessiert sind, kann ein zusätzliches Attribut recht einfach den Active Directory Nutzer Profilen hinzugefügt werden, um die SecSignID aufzunehmen. Dies macht es den Administratoren einfach, Nutzerkontos zu verwalten. Weitere Informationen
  • Eine einfache Textdatei kann ebenfalls genutzt werden um die ID Zuordnungen zu erfassen. Diese Methode ist allerdngs nur zu Testzwecken zu empfehlen, da sie fehleranfällig ist und keine Alternative zur manuellen Registrierung bietet

Bitte kontaktieren sie uns, falls sie nicht ihr Active Directory Schema ändern möchten.

Installation

Installation

1. Java VM

Da der SecSign ID Radius Proxy in Java ist, kann er auf jedem Betriebssystem laufen, das Java unterstützt, zum Beispiel Windows oder Linux. Der erste Schritt der Installation ist die Installation einer Java virtual machine, bestenfalls mit 64 Bit. Die kann man zum Beispiel auf Oracles Website herunterladen.

2. SecSign ID RADIUS Proxy Dateien

Das Verzeichnis SecSignIDRadiusProxy beinhaltet den Anwendungscode in der JAR Datei und in der Konfigurationsdatei. Dieses Verzeichnis muss in das System kopiert werden, das den SecSign ID RADIUS Proxy ausführen soll.

3. Umgebung

Wir gehen im Folgenden davon aus, dass bereits ein VPN Server (oder anderer Service) eingerichtet ist, welcher einen RADIUS Server um Nutzer gegen das Active Directory zu authentifizieren.

Die Endpunkte müssen nun geändert werden, um den SecSignID RADIUS Proxy integrieren zu können. Der VPN Server hat schon die RADIUS Server Addresse vorliegen, welche nun zur RADUS Proxy Addresse geändert werden muss.

Der RADIUS Server hat den VPN Server bereits als RADIUS Client eingerichtet. Dieser kann gelöscht werden. Der einzige RADIUS CLIENT ist der RADUS Proxy.

VPN und RADIUS Server müssen nichts voneinander wissen, beide kennen aber den SecSignID Proxy.

Konfiguration des SecSign ID RADIUS Proxy

Die Konfigurationsdatei secradiusproxy.properties muss angepasst werden.

Die vorgegebene RADIUS Port Nummer ist 1812. Falls benötigt, kann der Wert hier angepasst werden:

Wenn der SecSign ID RADIUS Proxy nur an eine bestimmte IP Adresse gebunden sein soll, kann das hier angepasst werden. Mit der Standardeinstellung werden sämtliche IP Adressen eingebunden, die der Computer besitzt:

Für jeden RADIUS Client (zum Beispiel Microsoft Windows Server) muss der Proxy die IP Adresse und das shared secret kennen. Die Liste der RADIUS Clients startet mit dem Index 0 und kann eine unendliche Anzahl an fortlaufenden Einträgen vorweisen:

Der Proxy muss darüber hinaus auch wissen, wohin die RADIUS Zugangsanfrage für die Validierung der primären AuthentifizierungsInformationen (Benutzername und Passwort) weitergeleitet werden sollen. Dieser RADIUS Server kann zum Beispiel ein anderer Microsoft Windows Server oder sogar der gleiche Server wie der RADIUS Client sein:

Das Active Directory muss für jeden Windows Benutzer, dessen Login über die SecSign ID gesichert sein soll, ein Attribut beinhalten, das den SecSign ID Benutzernamen des Benutzers kennt. Der Proxy verwendet eine LDAP Verbindung um den SecSign ID Benutzername im Active Directory anzufragen. Für diese LDAP Verbindung braucht es den Namen und das Passwort eines technischen Benutzers mit Leseberechtigung für die Benutzerliste im Active Directory. Die base DN leitet den Proxy auf den entsprechenden Users Branch im LDAP Tree. Es wird empfohlen, dem Nutzer den Namen SecSign ID Radius Proxy und die Beschreibung Technical user to allow AD LDAP queries for the SecSign ID RADIUS proxy zuzuweisen:

Eine Kopie jedes RADIUS Pakets wird über einen bestimmten Zeitraum gespeichert, um doppelte Pakete zu erkennen. Darüber hinaus werden die Windows Benutzernamen der Benutzer gespeichert, die den SecSign ID Login vervollständigen müssen. Für diese Benutzer wird keine neue Login Sitzung gestartet, wenn der RADIUS Client diese anfordert. Die Zeitsperre für beide Einträgen kann hier eingetragen werden:

Um einen SecSign ID Login zum SecSign ID RADIUS Proxy auszuführen werden der Host Name des SecSign ID Servers und eines optionalen SecSign ID Ausweichservers benötigt:

Die Verbindung zum SecSign ID Server ist TLS verschlüsselt. Daher wird ein DER verschlüsseltes trusted certificate des SecSign ID Servers konfiguriert. Wenn der Server bereits ein Zertifikat verwendet, dass auf seinem offiziellen DNS Namen von einem regular trustcenter ausgestellt wurde, ist dieser Konfigurationseintrag nicht notwendig:

Nach einer definierten Zeitspanne versucht der Proxy, die Anfrage an den SecSign ID Ausweichserver senden:

Für Anfragen des SecSign ID RADIUS Proxy an den SecSign ID Server kann ein HTTP Proxy verwendet werden. Der HTTP Proxy hat folgenden Einstellungen:

Falls bestimmte Hosts ohne den HTTP Proxy erreicht werden können, können diese hier benannt werden:

Der SecSign ID RADIUS Proxy kann eine log Datei schreiben. Diese beinhaltet alle Nachrichten, die gleich oder größer eines bestimmten Wertes liegen:

Die Werte sind:

  • 0: Error
  • 10: Warning
  • 20: Standard
  • 30: Usage
  • 40: Event
  • 50: Debug
  • 60: Verbose

Der Proxy kann jeden Tag eine neue log Datei beginnen:

Proxy start

SecSign ID RADIUS Proxy Start

Der Proxy kann mit folgendem Befehl gestartet werden:

Der Proxy wird folgende Meldungen ausgeben:

Mit der Eingabe von ^C in der Konsole wird der Proxy beendet.

Windows Server 2012 R2 als Radius Client

Der SecSign ID Radius Proxy kann mit verschiedenen Systemen verwendet werden, die RADIUS unterstützen. Im folgenden wird die Konfiguration beispielhaft anhand des Microsoft Windows Server 2012 beschrieben.
Im Server Manager kann unter der Option Network Policy Server im Tools Menü die Konfiguration des Network Policy Servers geöffnet werden. Unter NPS (Local) – RADIUS Clients and Servers – Remote RADIUS Server Groups kann ein neuer RADIUS Server hinzugefügt werden.
Im Kontextmenü unter der Option Neu wird der Dialog geöffnet, unter dem man eine RADIUS Server Gruppe mit einem Namen wie zum Beispiel SecSign ID RADIUS Proxy Group erstellen kann.

Die IP Adresse oder Host Name des SecSign ID RADIUS Proxy kann unter Add eingefügt werden.

Das shared secret muss im Authentification/Accounting Reiter eingefügt werden. Der Wert muss gleich dem Wert von secradiusproxy.radiusclient..sharedsecret in der Konfigurationsdatei sein.

Eine Anfrage gilt als gescheitert, wenn eine vordefinierte Zeitspanne ohne Antwort vergangen ist. Diese Zeitspanne wird unter dem Reiter Load Balancing definiert und muss mindestens 60 Sekunden betragen. In dieser Zeit kann der Nutzer die SecSign ID Authentifizierung auf seinem Smartphone ausführen. Der SecSign ID RADIUS proxy kann dem RADIUS client nicht antworten, bevor der SecSignID Login nicht vervollständigt wurde.

Im nächsten Schritt wird der Microsoft Network Policy Server so konfiguriert, dass er RADIUS Anfragen an den SecSign ID RADIUS Proxy sendet, zum Beispiel ein VPN Login. Wenn man den Reiter NPS(Local) – Policies – Connection Request Policies auswählt, sieht man folgenden Dialog:

Durch einen Doppelklick auf Microsoft Routing and Remote Access Service Policies gelangt man in den Dialog Settings. Unter Forward Connection Request – Authentication kann eingestellt werden, dass der RADIUS Request zum SecSign ID RADIUS Proxy weitergeleitet wird:

Windows Server 2012 R2 als Forward Radius Server

Der SecSign ID RADIUS Proxy kann RADIUS Anfragen an verschiedene Systeme weiterleiten, solange diese RADIUS unterstützen. Als Beispiel wird im folgenden gezeigt, wie der SecSign ID RADIUS Proxy als RADIUS Client in einem Microsoft Windows Server 2012 genutzt werden kann.
Im Server Manager wird unter der Option Network Policy Server im Tools Menü die Konfiguration des Network Policy Servers eingestellt. Ein neuer RADIUS Client kann unter NPS(Local) – RADIUS clients and Servers – RADIUS clients hinzugefügt werden. Mit der Menüoption New öffnet sich folgendes Dialogfeld, in dem ein RADIUS Client mit zum Beispiel dem Namen SecSign ID RADIUS Proxy erstellt werden kann:


Die IP Adresse oder DNS host name ist von dem Gerät, dass den SecSign ID RADIUS Proxy ausführt. Das shared secret ist identisch zu dem, das unter secradiusproxy.forwardradiusserver.sharedsecret in der Konfigurationsdatei des Proxy definiert wurde.

Windows VPN Login

Windows VPN Login

Nachdem der SecSignID RADIUS Proxy in die Microsoft Windows Infrastruktur eingefügt wurde, kann unter anderem für Windows 8.1 VPN Logins mit SecSign ID genutzt werden. Eine VPN Verbindung mit Microsoft Windows 8.1 kann im Windows Control Fenster unter Network and Sharing erstellt werden. Wählen Sie:

  • Erstellen Sie eine neue Verbindung oder Netzwerk
  • Verbinden Sie sich mit dem Arbeitsplatz
  • Meine Internetverbindung nutzen (VPN)

Die Internetadresse des VPN targets in diesem Beispiel ist win2012r2.secsignersde.com und das Ziel ist mit VPN with SecSign ID beschrieben.

Unter Create öffnet sich ein Windowsfenster mit allen Verbindungen. Wählen Sie VPN with SecSign ID aus und klicken sie auf Connect. Es öffnet sich ein Fenster um den Windows Nutzernamen und Passwort einzugeben.

Im nächsten Schritt fordert Windows die Verifikation der Credentials. Der Login wird auf dem Smartphone mit der SecSignApp authentifiziert.

Falls erforderlich, kann die Authentifizierungsmethoden für die VPN Verbindung unter der Netzwerk Adapter Einstellungen im Network and Sharing Center im Windows Kontrollfenster geändert werden. Der SecSign ID RADIUS Proxy unterstützt die Authentifizierungsmethoden MS-CHAP v2 und PAP.

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen

Was ermöglicht Crowd?

Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

Mehr Lesen

Zwei-Factor Authentifizierung mit der Smartwatch

Die einfachste mobile Zwei-Faktor Authentifizierung mit der Apple Watch Die SecSign Technologies AG bietet eine neue Generation von Authentifizierungslösungen und Schutzvorrichtungen für die digitale Identität an. Diese Lös ...

Mehr Lesen
Do NOT follow this link or you will be banned from the site!