Admin: Die Seite wurde neu angelegt: „=CRANIX-2FA Zwei-Faktor-Authentifizierung= Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen wel…“

2025-02-27T19:12:53Z

Die Seite wurde neu angelegt: „=CRANIX-2FA Zwei-Faktor-Authentifizierung= Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen wel…“

Neue Seite

=CRANIX-2FA Zwei-Faktor-Authentifizierung=

Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen welche Benutzer 2FA verwenden müssen. Das kann persönlich oder Gruppenweise erfolgen. Um den Umgang mit CRANIX-2FA den Benutzern zu erleichtern haben wir ein kleines [https://repo.cephalix.eu/Downloads/Cranix-2FA-howto.pdf Handout] erstellt. Nach Erwerb des CRANIX-2FA-Zusatzmoduls müssen auf dem Server folgend Schritte ausgeführt werden um CRANIX-2FA zu aktivieren:

==Administration von CRANIX-2FA==
# Repository für CRANIX-2FA einbinden. Führen Sie dazu als Benutzer ''root'' folgenden Befehl aus:<br> <code>/usr/share/cranix/tools/register.sh</code>
# Modul installieren: <code>zypper -n install cranix-2fa</code>
# Backend neu starten: <code>systemctl restart cranix-api</code>
# Melden Sie sich als Administrator an die Administrationsoberfläche an. Unter '''System''' -> '''Acls''' müssen Sie den Benutzern bzw. Benutzergruppen deren Mitglieder Zwei-Faktor-Authentifizierung verwenden müssen, die ACL <code>crx2fa.use</code> zuweisen. Weiterhin können Sie die ACL <code>crx2fa.manage</code> Benutzern bzw. Benutzergruppen zuweisen, die die CRANIX-2FA Konfigurationen von anderen Benutzer löschen und zurücksetzten dürfen.
# Nach der Installation des CRANIX-2FA-Zusatzmoduls haben Sie unter '''Benutzer''' einen zusätzlichen Tab '''CRX2fa'''. Hier können Sie die erstellten CRX2fa Konfigurationen löschen bzw. zurücksetzten.
## Löschen ist erforderlich, wenn jemand zB. sein Mobiles-Endgerät verloren hat.
## Mit jedem TOTP kann man maximal 10 falsche Anmeldeversuche machen. Danach ist der TOTP gesperrt, solange man es nicht zurücksetzt.

<gallery heights=250px widths=325px>
Cocpit-System-Acls-add-2fa.jpeg|ACL zuweisen
Cocpit-Benutzer-CRX2fa-bearbeiten.jpeg|CRX2FA-Konfigurationen verwalten
</gallery>

==Verwendung von CRANIX-2FA==
Hat ein Administrator die ''crx2fa.use'' ACL einem Benutzer zugewiesen, wird dieser bei der nächsten Anmeldung dazu aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.
# Nach erfolgreicher Anmeldung wird man zur Verwaltung von CRX-2FA geleitet und keine anderen Funktionen sind erreichbar.
# Man kann 2 Typen von 2FA-Konfiugrationen anlegen: TOTP und MAIL.
# Es wird empfohlen beide Zwei-Faktor-Authentifizierungsmöglichkeiten einzurichten.
# Folgende Parameter können gesetzt werden:
## Typ von zwei-Faktor Autorisierung: '''TOTP''' oder '''MAIL'''
## Pin Gültigkeit in Sekunden: Wie lange ist ein PIN gültig.
### Bei TOTP-2FA liegt der gültige Bereich zwischen 30 und 60 Sekunden und kann nach der Erstellung nicht geändert werden.
### Bei MAIL-2FA liegt der gültige Bereich zwischen 120 und 600 Sekunden und kann nach der Erstellung geändert werden.
## Gültigkeit einer 2FA Anmeldung: Wie lange müssen Sie sich am selben Gerät nicht noch mal per 2FA anmelden. Gültiger Bereich 1-12 Stunden. Empfohlen wird 12 Stunden. Diese Einstellung kann auch später geändert werden.
## Bei MAIL-2FA müssen Sie noch eine gültige E-Mailadresse eintragen, auf die Sie immer Zugriff haben. Diese Adresse können Sie später auch ändern.
## Bei TOTP-2FA wird ein QRCode generiert, welchen Sie in eine Authenticator-App importieren müssen. Folgende Apps wurden getestet:<br>[[https://apps.apple.com/app/id1445401301 privacyIDEA für iOS]][[https://apps.apple.com/app/id388497605 Google Authenticator für iOS]][[https://play.google.com/store/apps/details?id=it.netknights.piauthenticator privacyIDEA für Android]][[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Google Authenticator für Android]]

<gallery caption="CRANIX 2FA konfigurieren" heights=250px widths=325px>
Cocpit-Profil-CRX2fa-TOTP.jpeg|TOTP CRX2FA
Cocpit-Profil-CRX2fa-QRCode.jpeg|QRCode
Cocpit-Profil-CRX2fa-Mail.jpeg|Mail CRX2FA
</gallery>

Nachdem man mindestens eine CRX2FA konfiguriert hat, muss man sich abmelden. Nach erneuter Anmeldung wird man aufgefordert einen PIN anzugeben. Ggf muss man einen CRX2FA Typ auswählen. Bei MAIL-Typ muss erst ein Pin gesendet werden.
<gallery caption="Anmeldung mit CRANIX 2FA" heights=250px widths=325px>
CRX-2FA-Anmeldung-Select-Type.jpeg|2FA Typ wählen
CRX-2FA-Anmelden-MAIL-Sendpin.jpeg|Pin senden
CRX-2FA-Anmeldung-Enter-TOTP.jpeg|Pin eintragen
</gallery>

CRANIX-2FA Zwei-Faktor-Authentifizierung - Versionsgeschichte