SecSignID 2FA: Radius Proxy

05.10.2018 11 Minuten Lesedauer
Inhaltsverzeichnis

SecSignID 2-Faktor-Authentifizierung für Radius

Das folgende Tutorial beschreibt die Installation und Konfiguration zur Nutzung der SecSign ID Zwei-Faktor Authentifizierung mit RADIUS.

Anmeldeprozess

System Überblick & Anmeldeprozess

Überblick der SecSignID 2FA Authentifizierung mit RADIUS:

  1. Der Nutzer meldet sich bei einem Service an, welcher durch einen RADIUS Server gesichert ist (zum Beispiel VPN, Cisco ASA usw.)
  2. Normalerweise sendet der VPN server nun eine RADIUS ANfrage zum RADIUS Server um den Nutzer zu authentifizieren. Da wir hier aber die SecSignID 2FA nutzen, werden alle Anfragen zum SecSignID RADIUS Proxy geleitet
  3. Der SecSignID RADIUS Proxy leitet die RADIUS Anfragen dann einfach an den eigentlichen RADIUS Server weiter
  4. Der RADIUS Server nutzt die primäre Authentifizierung mit dem Benutzernamen und Passwort (zum Beispiel am Active Directory) um den Nutzer zu verifizieren. Die primäre Authentifizierung gibt das Ergebnis dann an den RADIUS Server zurück
  5. Der RADIUS Server erstellt eine RADIUS Antwort und sendet diese an den Proxy zurück
  6. Der SecSignID RADIUS Proxy erfragt die SecSignID des Nutzers mit Hilfe des Nutzernamens am Active Directory an. Wenn dem Nutzer eine SecSignID zugewiesen ist,wird diese dem SecSign ID RADIUS Proxy übergeben. Falls sie nicht ihr AD Schema erweitern wollen, kann für diesen Schritt ein Inhouse ID Server genutzt werden. Für Testzwecke kann auch eine einfache Textdatei mit Nutzerzuordnungen genutzt werden.
  7. Der SecSign ID RADIUS Proxy kontaktiert den ID Server und sendet unter Anderem die zuvor ermittelte SecSignID um die sekundäre Authentifizierung einzuleiten. Der Proxy fragt nun konstant am ID Server nach, ob der Nutzer sich bereits mit seiner SecSignID authentifiziert hat.
  8. Der Benutzer wird auf seinem Smartphone per Push Notification darüber informiert, dass eine neue Authentifizierung wartet. Der Nutzer authentifiziert sich in der SecSignID App mittels PIN, Fingerabdruck oder Gesichtserkennung und kann den Login bestätigen.
  9. Der SecSign ID RADIUS Proxy bekommt nun die Antwort vom ID Server, dass sich der Nutzer erfolgreich mit dem zweiten Faktor authentifiziert hat. Eine RADIUS Bestätigung wird zurück an den VPN server gesendet
  10. Der VPN Server gewährt dem Nutzer Zugriff.
ID Mapping

SecSignID Mapping

Normalerweise authentifizieren sich ihre Nutzer zuerst mit Nutzername und Passwort. Anschliessend wird der zweite Faktor erfragt. Wie funktioniert die Verknüpfung von Nutzername und SecSignID?

Sie haben folgende Möglichkeiten, die SecSignID einem Nutzer zuzuweisen:

  • Die einfachste Lösung ist es einen Inhouse ID Server zu betreiben, welcher sich um die Zuweisungen kümmert. Er sichert die Nutzernamen in einer internen Datenbank und kümmert sich um die Zwei-Faktor Authentifizierung. Sie haben absolute Kontrolle über sämtliche Nutzerdaten, Methoden zur Registrierung neuer IDs, sowie ID Namensregeln.
  • Falls sie nicht an den zusätzlichen Funktionen interessiert sind, kann ein zusätzliches Attribut recht einfach den Active Directory Nutzer Profilen hinzugefügt werden, um die SecSignID aufzunehmen. Dies macht es den Administratoren einfach, Nutzerkontos zu verwalten. Weitere Informationen
  • Eine einfache Textdatei kann ebenfalls genutzt werden um die ID Zuordnungen zu erfassen. Diese Methode ist allerdngs nur zu Testzwecken zu empfehlen, da sie fehleranfällig ist und keine Alternative zur manuellen Registrierung bietet

Bitte kontaktieren sie uns, falls sie nicht ihr Active Directory Schema ändern möchten.

Installation

Installation

1. Java VM

Da der SecSign ID Radius Proxy in Java ist, kann er auf jedem Betriebssystem laufen, das Java unterstützt, zum Beispiel Windows oder Linux. Der erste Schritt der Installation ist die Installation einer Java virtual machine, bestenfalls mit 64 Bit. Die kann man zum Beispiel auf Oracles Website herunterladen.

2. SecSign ID RADIUS Proxy Dateien

Das Verzeichnis SecSignIDRadiusProxy beinhaltet den Anwendungscode in der JAR Datei und in der Konfigurationsdatei. Dieses Verzeichnis muss in das System kopiert werden, das den SecSign ID RADIUS Proxy ausführen soll.

3. Umgebung

Wir gehen im Folgenden davon aus, dass bereits ein VPN Server (oder anderer Service) eingerichtet ist, welcher einen RADIUS Server um Nutzer gegen das Active Directory zu authentifizieren.

Die Endpunkte müssen nun geändert werden, um den SecSignID RADIUS Proxy integrieren zu können. Der VPN Server hat schon die RADIUS Server Addresse vorliegen, welche nun zur RADUS Proxy Addresse geändert werden muss.

Der RADIUS Server hat den VPN Server bereits als RADIUS Client eingerichtet. Dieser kann gelöscht werden. Der einzige RADIUS CLIENT ist der RADUS Proxy.

VPN und RADIUS Server müssen nichts voneinander wissen, beide kennen aber den SecSignID Proxy.

Konfiguration des SecSign ID RADIUS Proxy

Die Konfigurationsdatei secradiusproxy.properties muss angepasst werden.

Die vorgegebene RADIUS Port Nummer ist 1812. Falls benötigt, kann der Wert hier angepasst werden:

Wenn der SecSign ID RADIUS Proxy nur an eine bestimmte IP Adresse gebunden sein soll, kann das hier angepasst werden. Mit der Standardeinstellung werden sämtliche IP Adressen eingebunden, die der Computer besitzt:

Für jeden RADIUS Client (zum Beispiel Microsoft Windows Server) muss der Proxy die IP Adresse und das shared secret kennen. Die Liste der RADIUS Clients startet mit dem Index 0 und kann eine unendliche Anzahl an fortlaufenden Einträgen vorweisen:

Der Proxy muss darüber hinaus auch wissen, wohin die RADIUS Zugangsanfrage für die Validierung der primären AuthentifizierungsInformationen (Benutzername und Passwort) weitergeleitet werden sollen. Dieser RADIUS Server kann zum Beispiel ein anderer Microsoft Windows Server oder sogar der gleiche Server wie der RADIUS Client sein:

Das Active Directory muss für jeden Windows Benutzer, dessen Login über die SecSign ID gesichert sein soll, ein Attribut beinhalten, das den SecSign ID Benutzernamen des Benutzers kennt. Der Proxy verwendet eine LDAP Verbindung um den SecSign ID Benutzername im Active Directory anzufragen. Für diese LDAP Verbindung braucht es den Namen und das Passwort eines technischen Benutzers mit Leseberechtigung für die Benutzerliste im Active Directory. Die base DN leitet den Proxy auf den entsprechenden Users Branch im LDAP Tree. Es wird empfohlen, dem Nutzer den Namen SecSign ID Radius Proxy und die Beschreibung Technical user to allow AD LDAP queries for the SecSign ID RADIUS proxy zuzuweisen:

Eine Kopie jedes RADIUS Pakets wird über einen bestimmten Zeitraum gespeichert, um doppelte Pakete zu erkennen. Darüber hinaus werden die Windows Benutzernamen der Benutzer gespeichert, die den SecSign ID Login vervollständigen müssen. Für diese Benutzer wird keine neue Login Sitzung gestartet, wenn der RADIUS Client diese anfordert. Die Zeitsperre für beide Einträgen kann hier eingetragen werden:

Um einen SecSign ID Login zum SecSign ID RADIUS Proxy auszuführen werden der Host Name des SecSign ID Servers und eines optionalen SecSign ID Ausweichservers benötigt:

Die Verbindung zum SecSign ID Server ist TLS verschlüsselt. Daher wird ein DER verschlüsseltes trusted certificate des SecSign ID Servers konfiguriert. Wenn der Server bereits ein Zertifikat verwendet, dass auf seinem offiziellen DNS Namen von einem regular trustcenter ausgestellt wurde, ist dieser Konfigurationseintrag nicht notwendig:

Nach einer definierten Zeitspanne versucht der Proxy, die Anfrage an den SecSign ID Ausweichserver senden:

Für Anfragen des SecSign ID RADIUS Proxy an den SecSign ID Server kann ein HTTP Proxy verwendet werden. Der HTTP Proxy hat folgenden Einstellungen:

Falls bestimmte Hosts ohne den HTTP Proxy erreicht werden können, können diese hier benannt werden:

Der SecSign ID RADIUS Proxy kann eine log Datei schreiben. Diese beinhaltet alle Nachrichten, die gleich oder größer eines bestimmten Wertes liegen:

Die Werte sind:

  • 0: Error
  • 10: Warning
  • 20: Standard
  • 30: Usage
  • 40: Event
  • 50: Debug
  • 60: Verbose

Der Proxy kann jeden Tag eine neue log Datei beginnen:

Proxy start

SecSign ID RADIUS Proxy Start

Der Proxy kann mit folgendem Befehl gestartet werden:

Der Proxy wird folgende Meldungen ausgeben:

Mit der Eingabe von ^C in der Konsole wird der Proxy beendet.

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen

Was ermöglicht Crowd?

Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

Mehr Lesen

Zwei-Factor Authentifizierung mit der Smartwatch

Die einfachste mobile Zwei-Faktor Authentifizierung mit der Apple Watch Die SecSign Technologies AG bietet eine neue Generation von Authentifizierungslösungen und Schutzvorrichtungen für die digitale Identität an. Diese Lös ...

Mehr Lesen