SecSign ID 2FA: Radius Proxy

05.10.2018 11 Minuten Lesedauer
Inhaltsverzeichnis

Zwei-Faktor-Authentifizierung für Radius

Das folgende Tutorial beschreibt die Installation und Konfiguration zur Nutzung der SecSign ID Zwei-Faktor Authentifizierung mit RADIUS.

Anmeldeprozess

System Überblick & Anmeldeprozess

Überblick der SecSignID 2FA Authentifizierung mit RADIUS:

SecSign ID Integration

Please configure your desired integration of the SecSign ID Two Factor Authentication

Choose a system, where you want to add the secure login

Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you

The location to save the assigned SecSign IDs to a user account or the IDM alltogether

System to protect
?
The System you want to protect - Choose a system, where you want to add the secure login
SecSign ID Server location
?
Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you
User account location
?
The system to save the assigned SecSign IDs to a user account or the IDM alltogether
edit the settings to change the integration
Authentication
2FA
2FA blind
2FA no AP
2SA
2SA no AP
2SA blind
OTP
Enrollment
Custom ID
Pattern
IDP Custom Website
Enrollment initiated by SP
Enrollment with IDM
Show Network
Hide Network
Fullscreen
Request Solution
x
The authentication was successful
ID Mapping

SecSignID Mapping

Normalerweise authentifizieren sich ihre Nutzer zuerst mit Nutzername und Passwort. Anschliessend wird der zweite Faktor erfragt. Wie funktioniert die Verknüpfung von Nutzername und SecSignID?

Sie haben folgende Möglichkeiten, die SecSignID einem Nutzer zuzuweisen:

  • Die einfachste Lösung ist es einen Inhouse ID Server zu betreiben, welcher sich um die Zuweisungen kümmert. Er sichert die Nutzernamen in einer internen Datenbank und kümmert sich um die Zwei-Faktor Authentifizierung. Sie haben absolute Kontrolle über sämtliche Nutzerdaten, Methoden zur Registrierung neuer IDs, sowie ID Namensregeln.
  • Falls sie nicht an den zusätzlichen Funktionen interessiert sind, kann ein zusätzliches Attribut recht einfach den Active Directory Nutzer Profilen hinzugefügt werden, um die SecSignID aufzunehmen. Dies macht es den Administratoren einfach, Nutzerkontos zu verwalten. Weitere Informationen
  • Eine einfache Textdatei kann ebenfalls genutzt werden um die ID Zuordnungen zu erfassen. Diese Methode ist allerdngs nur zu Testzwecken zu empfehlen, da sie fehleranfällig ist und keine Alternative zur manuellen Registrierung bietet

Bitte kontaktieren sie uns, falls sie nicht ihr Active Directory Schema ändern möchten.

Installation

Installation

1. Java VM

Da der SecSign ID Radius Proxy in Java ist, kann er auf jedem Betriebssystem laufen, das Java unterstützt, zum Beispiel Windows oder Linux. Der erste Schritt der Installation ist die Installation einer Java virtual machine, bestenfalls mit 64 Bit. Die kann man zum Beispiel auf Oracles Website herunterladen.

2. SecSign ID RADIUS Proxy Dateien

Das Verzeichnis SecSignIDRadiusProxy beinhaltet den Anwendungscode in der JAR Datei und in der Konfigurationsdatei. Dieses Verzeichnis muss in das System kopiert werden, das den SecSign ID RADIUS Proxy ausführen soll.

3. Umgebung

Wir gehen im Folgenden davon aus, dass bereits ein VPN Server (oder anderer Service) eingerichtet ist, welcher einen RADIUS Server um Nutzer gegen das Active Directory zu authentifizieren.

Die Endpunkte müssen nun geändert werden, um den SecSignID RADIUS Proxy integrieren zu können. Der VPN Server hat schon die RADIUS Server Addresse vorliegen, welche nun zur RADUS Proxy Addresse geändert werden muss.

Der RADIUS Server hat den VPN Server bereits als RADIUS Client eingerichtet. Dieser kann gelöscht werden. Der einzige RADIUS CLIENT ist der RADUS Proxy.

VPN und RADIUS Server müssen nichts voneinander wissen, beide kennen aber den SecSignID Proxy.

Konfiguration des SecSign ID RADIUS Proxy

Die Konfigurationsdatei secradiusproxy.properties muss angepasst werden.

Die vorgegebene RADIUS Port Nummer ist 1812. Falls benötigt, kann der Wert hier angepasst werden:

secradiusproxy.radius.port=1812

Wenn der SecSign ID RADIUS Proxy nur an eine bestimmte IP Adresse gebunden sein soll, kann das hier angepasst werden. Mit der Standardeinstellung werden sämtliche IP Adressen eingebunden, die der Computer besitzt:

secradiusproxy.radius.bind.address=10.4.0.1

Für jeden RADIUS Client (zum Beispiel Microsoft Windows Server) muss der Proxy die IP Adresse und das shared secret kennen. Die Liste der RADIUS Clients startet mit dem Index 0 und kann eine unendliche Anzahl an fortlaufenden Einträgen vorweisen:

secradiusproxy.radiusclient.0.host=10.3.0.1
secradiusproxy.radiusclient.0.sharedsecret=theSecretClientValue

Der Proxy muss darüber hinaus auch wissen, wohin die RADIUS Zugangsanfrage für die Validierung der primären AuthentifizierungsInformationen (Benutzername und Passwort) weitergeleitet werden sollen. Dieser RADIUS Server kann zum Beispiel ein anderer Microsoft Windows Server oder sogar der gleiche Server wie der RADIUS Client sein:

secradiusproxy.forwardradiusserver.host=10.5.0.1
secradiusproxy.forwardradiusserver.port=1812
secradiusproxy.forwardradiusserver.sharedsecret=theSecretServerValue

Das Active Directory muss für jeden Windows Benutzer, dessen Login über die SecSign ID gesichert sein soll, ein Attribut beinhalten, das den SecSign ID Benutzernamen des Benutzers kennt. Der Proxy verwendet eine LDAP Verbindung um den SecSign ID Benutzername im Active Directory anzufragen. Für diese LDAP Verbindung braucht es den Namen und das Passwort eines technischen Benutzers mit Leseberechtigung für die Benutzerliste im Active Directory. Die base DN leitet den Proxy auf den entsprechenden Users Branch im LDAP Tree. Es wird empfohlen, dem Nutzer den Namen SecSign ID Radius Proxy und die Beschreibung Technical user to allow AD LDAP queries for the SecSign ID RADIUS proxy zuzuweisen:

secradiusproxy.activedirectoryldapserver.host=10.6.0.1
secradiusproxy.activedirectoryldapserver.port=389
secradiusproxy.activedirectoryldapserver.username=DOMAIN\\radiusproxyuser
secradiusproxy.activedirectoryldapserver.password=123456
secradiusproxy.activedirectoryldapserver.usersbasedn=CN=Users,DC=domain,DC=com

Eine Kopie jedes RADIUS Pakets wird über einen bestimmten Zeitraum gespeichert, um doppelte Pakete zu erkennen. Darüber hinaus werden die Windows Benutzernamen der Benutzer gespeichert, die den SecSign ID Login vervollständigen müssen. Für diese Benutzer wird keine neue Login Sitzung gestartet, wenn der RADIUS Client diese anfordert. Die Zeitsperre für beide Einträgen kann hier eingetragen werden:

secradiusproxy.receivedpackets.cleanup.seconds=60
secradiusproxy.currentwindowsusers.cleanup.seconds=60

Um einen SecSign ID Login zum SecSign ID RADIUS Proxy auszuführen werden der Host Name des SecSign ID Servers und eines optionalen SecSign ID Ausweichservers benötigt:

seccommerce.secappserver.0=id1.secsign.com
seccommerce.secappserverport.0=443
#seccommerce.secappserver.1=localhost
#seccommerce.secappserverport.1=25200

Die Verbindung zum SecSign ID Server ist TLS verschlüsselt. Daher wird ein DER verschlüsseltes trusted certificate des SecSign ID Servers konfiguriert. Wenn der Server bereits ein Zertifikat verwendet, dass auf seinem offiziellen DNS Namen von einem regular trustcenter ausgestellt wurde, ist dieser Konfigurationseintrag nicht notwendig:

seccommerce.secappservertlscert.0=trustedServerCert.der

Nach einer definierten Zeitspanne versucht der Proxy, die Anfrage an den SecSign ID Ausweichserver senden:

seccommerce.secappserver.connecttimeout=5000

Für Anfragen des SecSign ID RADIUS Proxy an den SecSign ID Server kann ein HTTP Proxy verwendet werden. Der HTTP Proxy hat folgenden Einstellungen:

seccommerce.secappserver.proxy.server=proxy.sec.intern
seccommerce.secappserver.proxy.port=3128
seccommerce.secappserver.proxy.username=
seccommerce.secappserver.proxy.password=

Falls bestimmte Hosts ohne den HTTP Proxy erreicht werden können, können diese hier benannt werden:

seccommerce.secappserver.proxy.bypass.0=www.available.direct
seccommerce.secappserver.proxy.bypass.1=need.no.proxy

Der SecSign ID RADIUS Proxy kann eine log Datei schreiben. Diese beinhaltet alle Nachrichten, die gleich oder größer eines bestimmten Wertes liegen:

log.fileactive=on
log.filename=secradiusproxy.log
log.dir=.
log.maxlogtype=50

Die Werte sind:

  • 0: Error
  • 10: Warning
  • 20: Standard
  • 30: Usage
  • 40: Event
  • 50: Debug
  • 60: Verbose

Der Proxy kann jeden Tag eine neue log Datei beginnen:

log.filenamealter=on
Proxy start

SecSign ID RADIUS Proxy Start

Der Proxy kann mit folgendem Befehl gestartet werden:

java -classpath SecSignIDRadiusProxy.jar seccommerce.radius.RadiusProxy secradiusproxy.properties

Der Proxy wird folgende Meldungen ausgeben:

30.07.2015 15:21:34:696 main: Log messages to '.' with level 50 according to radproxy.fz
open logfile /SecSignIDRadiusProxy/./secradiusproxy30.log
30.07.2015 15:21:34:774 main: SecPKI host 0 = id1.secsign.com:443
30.07.2015 15:21:34:774 main: seccommerce.secappserver.1 not set in properties file. Failover configuration finished with 1 SecPKI hosts.
30.07.2015 15:21:34:785 main: Data format to SecPKI = serialized Java objects
30.07.2015 15:21:34:786 main: TLS to SecPKI = true
30.07.2015 15:21:34:786 main: WARNING: No SecPKI server trusted TLS certificate configured.
30.07.2015 15:21:34:788 main: Init SecPKI API: First server id1.secsign.com:443, First trusted TLS certificate: null
30.07.2015 15:21:34:788 main: Set SecPKI connect timeout 5000 ms
30.07.2015 15:21:34:790 main: SecPKIApi version 6 Build 1
30.07.2015 15:21:34:790 main: java.version=1.6.0_65
30.07.2015 15:21:34:790 main: Number of servers configured = 1
30.07.2015 15:21:34:794 main: RADIUS proxy server listening at 0.0.0.0:1812

Mit der Eingabe von ^C in der Konsole wird der Proxy beendet.

Windows Server 2012 R2 als Radius Client

Der SecSign ID Radius Proxy kann mit verschiedenen Systemen verwendet werden, die RADIUS unterstützen. Im folgenden wird die Konfiguration beispielhaft anhand des Microsoft Windows Server 2012 beschrieben.
Im Server Manager kann unter der Option Network Policy Server im Tools Menü die Konfiguration des Network Policy Servers geöffnet werden. Unter NPS (Local) – RADIUS Clients and Servers – Remote RADIUS Server Groups kann ein neuer RADIUS Server hinzugefügt werden.
Im Kontextmenü unter der Option Neu wird der Dialog geöffnet, unter dem man eine RADIUS Server Gruppe mit einem Namen wie zum Beispiel SecSign ID RADIUS Proxy Group erstellen kann.

Die IP Adresse oder Host Name des SecSign ID RADIUS Proxy kann unter Add eingefügt werden.

Das shared secret muss im Authentification/Accounting Reiter eingefügt werden. Der Wert muss gleich dem Wert von secradiusproxy.radiusclient..sharedsecret in der Konfigurationsdatei sein.

Eine Anfrage gilt als gescheitert, wenn eine vordefinierte Zeitspanne ohne Antwort vergangen ist. Diese Zeitspanne wird unter dem Reiter Load Balancing definiert und muss mindestens 60 Sekunden betragen. In dieser Zeit kann der Nutzer die SecSign ID Authentifizierung auf seinem Smartphone ausführen. Der SecSign ID RADIUS proxy kann dem RADIUS client nicht antworten, bevor der SecSignID Login nicht vervollständigt wurde.

Im nächsten Schritt wird der Microsoft Network Policy Server so konfiguriert, dass er RADIUS Anfragen an den SecSign ID RADIUS Proxy sendet, zum Beispiel ein VPN Login. Wenn man den Reiter NPS(Local) – Policies – Connection Request Policies auswählt, sieht man folgenden Dialog:

Durch einen Doppelklick auf Microsoft Routing and Remote Access Service Policies gelangt man in den Dialog Settings. Unter Forward Connection Request – Authentication kann eingestellt werden, dass der RADIUS Request zum SecSign ID RADIUS Proxy weitergeleitet wird:

Windows Server 2012 R2 als Forward Radius Server

Der SecSign ID RADIUS Proxy kann RADIUS Anfragen an verschiedene Systeme weiterleiten, solange diese RADIUS unterstützen. Als Beispiel wird im folgenden gezeigt, wie der SecSign ID RADIUS Proxy als RADIUS Client in einem Microsoft Windows Server 2012 genutzt werden kann.
Im Server Manager wird unter der Option Network Policy Server im Tools Menü die Konfiguration des Network Policy Servers eingestellt. Ein neuer RADIUS Client kann unter NPS(Local) – RADIUS clients and Servers – RADIUS clients hinzugefügt werden. Mit der Menüoption New öffnet sich folgendes Dialogfeld, in dem ein RADIUS Client mit zum Beispiel dem Namen SecSign ID RADIUS Proxy erstellt werden kann:


Die IP Adresse oder DNS host name ist von dem Gerät, dass den SecSign ID RADIUS Proxy ausführt. Das shared secret ist identisch zu dem, das unter secradiusproxy.forwardradiusserver.sharedsecret in der Konfigurationsdatei des Proxy definiert wurde.

Windows VPN Login

Windows VPN Login

Nachdem der SecSignID RADIUS Proxy in die Microsoft Windows Infrastruktur eingefügt wurde, kann unter anderem für Windows 8.1 VPN Logins mit SecSign ID genutzt werden. Eine VPN Verbindung mit Microsoft Windows 8.1 kann im Windows Control Fenster unter Network and Sharing erstellt werden. Wählen Sie:

  • Erstellen Sie eine neue Verbindung oder Netzwerk
  • Verbinden Sie sich mit dem Arbeitsplatz
  • Meine Internetverbindung nutzen (VPN)

Die Internetadresse des VPN targets in diesem Beispiel ist win2012r2.secsignersde.com und das Ziel ist mit VPN with SecSign ID beschrieben.

Unter Create öffnet sich ein Windowsfenster mit allen Verbindungen. Wählen Sie VPN with SecSign ID aus und klicken sie auf Connect. Es öffnet sich ein Fenster um den Windows Nutzernamen und Passwort einzugeben.

Im nächsten Schritt fordert Windows die Verifikation der Credentials. Der Login wird auf dem Smartphone mit der SecSignApp authentifiziert.

Falls erforderlich, kann die Authentifizierungsmethoden für die VPN Verbindung unter der Netzwerk Adapter Einstellungen im Network and Sharing Center im Windows Kontrollfenster geändert werden. Der SecSign ID RADIUS Proxy unterstützt die Authentifizierungsmethoden MS-CHAP v2 und PAP.

Windows Absichern

Sichern Sie alle Windows Zugangspunkte mit der SecSign 2FA ab

Wählen Sie das entsprechende Plugin aus, um mehr Informationen über die Absicherung mit 2FA zu erhalten



AD/LDAPTutorial


Windows Login Tutorial


Office 365 Tutorial


Remote Desktop Tutorial


RD Gateway Tutorial


VPN/Radius Proxy Tutorial

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

SecSign Portal Neuerungen

Die neuesten SecSign Portal Updates ermöglichen unseren Nutzern eine noch einfacherere und sicherere Bedienung. History Notiznotifikationen Dateien markieren Softkey Dateien beim Upload signieren Hochgeladene Da ...

Mehr Lesen

Zwei-Faktor Authentifizierung (2FA) vs. Zwei-Schritt Authentifizierung (2SA)

Zwei-Faktor Authentifizierung und Zwei-Schritt Authentifizierung sind zwei Möglichkeiten, den Login Ihrer Nutzer abzusichern. Beide Optionen können, abhängig von Ihren Anforderungen und Bedingungen, Ihren Nutzern eine sichere A ...

Mehr Lesen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen
SecSign 2FA