Addons/Zusatzmodule und CRANIX-2FA Zwei-Faktor-Authentifizierung: Unterschied zwischen den Seiten

Aus CEPHALIX/CRANIX
(Unterschied zwischen Seiten)
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
Die Seite wurde neu angelegt: „=CRANIX-2FA Zwei-Faktor-Authentifizierung= Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen wel…“
 
Zeile 1: Zeile 1:
=Addons/Zusatzmodule=
=CRANIX-2FA Zwei-Faktor-Authentifizierung=


#[[Elternsprechtag]]
Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen welche Benutzer 2FA verwenden müssen. Das kann persönlich oder Gruppenweise erfolgen. Um den Umgang mit CRANIX-2FA den Benutzern zu erleichtern haben wir ein kleines  [https://repo.cephalix.eu/Downloads/Cranix-2FA-howto.pdf Handout] erstellt. Nach Erwerb des CRANIX-2FA-Zusatzmoduls müssen auf dem Server folgend Schritte ausgeführt werden um CRANIX-2FA zu aktivieren:
#[[CRANIX-2FA Zwei-Faktor-Authentifizierung]]
 
#[[CRANIX-Cloud-Server]]
==Administration von CRANIX-2FA==
#[[CRANIX-VPN-Modul]]
# Repository für CRANIX-2FA einbinden. Führen Sie dazu als Benutzer ''root'' folgenden Befehl aus:<br> <code>/usr/share/cranix/tools/register.sh</code>
#[[CRANIX-Logon]]
# Modul installieren: <code>zypper -n install cranix-2fa</code>
#[[Microsoft/Office 365]]
# Backend neu starten: <code>systemctl restart cranix-api</code>
# Melden Sie sich als Administrator an die Administrationsoberfläche an. Unter '''System''' -> '''Acls''' müssen Sie den Benutzern bzw. Benutzergruppen deren Mitglieder Zwei-Faktor-Authentifizierung verwenden müssen, die ACL <code>crx2fa.use</code> zuweisen. Weiterhin können Sie die ACL <code>crx2fa.manage</code> Benutzern bzw. Benutzergruppen zuweisen, die die CRANIX-2FA Konfigurationen von anderen Benutzer löschen und zurücksetzten dürfen.
# Nach der Installation des CRANIX-2FA-Zusatzmoduls haben Sie unter '''Benutzer''' einen zusätzlichen Tab '''CRX2fa'''. Hier können Sie die erstellten CRX2fa Konfigurationen löschen bzw. zurücksetzten.
## Löschen ist erforderlich, wenn jemand zB. sein Mobiles-Endgerät verloren hat.
## Mit jedem TOTP kann man maximal 10 falsche Anmeldeversuche machen. Danach ist der TOTP gesperrt, solange man es nicht zurücksetzt.
 
 
<gallery  heights=250px widths=325px>
Cocpit-System-Acls-add-2fa.jpeg|ACL zuweisen
Cocpit-Benutzer-CRX2fa-bearbeiten.jpeg|CRX2FA-Konfigurationen verwalten
</gallery>
 
==Verwendung von CRANIX-2FA==
Hat ein Administrator die ''crx2fa.use'' ACL einem Benutzer zugewiesen, wird dieser bei der nächsten Anmeldung dazu aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.
# Nach erfolgreicher Anmeldung wird man zur Verwaltung von CRX-2FA geleitet und keine anderen Funktionen sind erreichbar.
# Man kann 2 Typen von 2FA-Konfiugrationen anlegen: TOTP und MAIL.
# Es wird empfohlen beide Zwei-Faktor-Authentifizierungsmöglichkeiten einzurichten.
# Folgende Parameter können gesetzt werden:
## Typ von zwei-Faktor Autorisierung: '''TOTP''' oder '''MAIL'''
## Pin Gültigkeit in Sekunden: Wie lange ist ein PIN gültig.
### Bei TOTP-2FA liegt der gültige Bereich zwischen 30 und 60 Sekunden und kann nach der Erstellung nicht geändert werden.
### Bei MAIL-2FA liegt der gültige Bereich zwischen 120 und 600 Sekunden und kann nach der Erstellung geändert werden.
## Gültigkeit einer 2FA Anmeldung: Wie lange müssen Sie sich am selben Gerät nicht noch mal per 2FA anmelden. Gültiger Bereich 1-12 Stunden. Empfohlen wird 12 Stunden. Diese Einstellung kann auch später geändert werden.
## Bei MAIL-2FA müssen Sie noch eine gültige E-Mailadresse eintragen, auf die Sie immer Zugriff haben. Diese Adresse können Sie später auch ändern.
## Bei TOTP-2FA wird ein QRCode generiert, welchen Sie in eine Authenticator-App importieren müssen. Folgende Apps wurden getestet:<br>[[https://apps.apple.com/app/id1445401301 privacyIDEA für iOS]][[https://apps.apple.com/app/id388497605 Google Authenticator für iOS]][[https://play.google.com/store/apps/details?id=it.netknights.piauthenticator privacyIDEA für Android]][[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Google Authenticator für Android]]
 
<gallery  caption="CRANIX 2FA konfigurieren" heights=250px widths=325px>
Cocpit-Profil-CRX2fa-TOTP.jpeg|TOTP CRX2FA
Cocpit-Profil-CRX2fa-QRCode.jpeg|QRCode
Cocpit-Profil-CRX2fa-Mail.jpeg|Mail CRX2FA
</gallery>
 
Nachdem man mindestens eine CRX2FA konfiguriert hat, muss man sich abmelden. Nach erneuter Anmeldung wird man aufgefordert einen PIN anzugeben. Ggf muss man einen CRX2FA Typ auswählen. Bei MAIL-Typ muss erst ein Pin gesendet werden.
<gallery  caption="Anmeldung mit CRANIX 2FA" heights=250px widths=325px>
CRX-2FA-Anmeldung-Select-Type.jpeg|2FA Typ wählen
CRX-2FA-Anmelden-MAIL-Sendpin.jpeg|Pin senden
CRX-2FA-Anmeldung-Enter-TOTP.jpeg|Pin eintragen
</gallery>

Aktuelle Version vom 27. Februar 2025, 19:12 Uhr

CRANIX-2FA Zwei-Faktor-Authentifizierung

Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen welche Benutzer 2FA verwenden müssen. Das kann persönlich oder Gruppenweise erfolgen. Um den Umgang mit CRANIX-2FA den Benutzern zu erleichtern haben wir ein kleines Handout erstellt. Nach Erwerb des CRANIX-2FA-Zusatzmoduls müssen auf dem Server folgend Schritte ausgeführt werden um CRANIX-2FA zu aktivieren:

Administration von CRANIX-2FA

  1. Repository für CRANIX-2FA einbinden. Führen Sie dazu als Benutzer root folgenden Befehl aus:
    /usr/share/cranix/tools/register.sh
  2. Modul installieren: zypper -n install cranix-2fa
  3. Backend neu starten: systemctl restart cranix-api
  4. Melden Sie sich als Administrator an die Administrationsoberfläche an. Unter System -> Acls müssen Sie den Benutzern bzw. Benutzergruppen deren Mitglieder Zwei-Faktor-Authentifizierung verwenden müssen, die ACL crx2fa.use zuweisen. Weiterhin können Sie die ACL crx2fa.manage Benutzern bzw. Benutzergruppen zuweisen, die die CRANIX-2FA Konfigurationen von anderen Benutzer löschen und zurücksetzten dürfen.
  5. Nach der Installation des CRANIX-2FA-Zusatzmoduls haben Sie unter Benutzer einen zusätzlichen Tab CRX2fa. Hier können Sie die erstellten CRX2fa Konfigurationen löschen bzw. zurücksetzten.
    1. Löschen ist erforderlich, wenn jemand zB. sein Mobiles-Endgerät verloren hat.
    2. Mit jedem TOTP kann man maximal 10 falsche Anmeldeversuche machen. Danach ist der TOTP gesperrt, solange man es nicht zurücksetzt.


  • ACL zuweisen
    ACL zuweisen
  • CRX2FA-Konfigurationen verwalten
    CRX2FA-Konfigurationen verwalten

Verwendung von CRANIX-2FA

Hat ein Administrator die crx2fa.use ACL einem Benutzer zugewiesen, wird dieser bei der nächsten Anmeldung dazu aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.

  1. Nach erfolgreicher Anmeldung wird man zur Verwaltung von CRX-2FA geleitet und keine anderen Funktionen sind erreichbar.
  2. Man kann 2 Typen von 2FA-Konfiugrationen anlegen: TOTP und MAIL.
  3. Es wird empfohlen beide Zwei-Faktor-Authentifizierungsmöglichkeiten einzurichten.
  4. Folgende Parameter können gesetzt werden:
    1. Typ von zwei-Faktor Autorisierung: TOTP oder MAIL
    2. Pin Gültigkeit in Sekunden: Wie lange ist ein PIN gültig.
      1. Bei TOTP-2FA liegt der gültige Bereich zwischen 30 und 60 Sekunden und kann nach der Erstellung nicht geändert werden.
      2. Bei MAIL-2FA liegt der gültige Bereich zwischen 120 und 600 Sekunden und kann nach der Erstellung geändert werden.
    3. Gültigkeit einer 2FA Anmeldung: Wie lange müssen Sie sich am selben Gerät nicht noch mal per 2FA anmelden. Gültiger Bereich 1-12 Stunden. Empfohlen wird 12 Stunden. Diese Einstellung kann auch später geändert werden.
    4. Bei MAIL-2FA müssen Sie noch eine gültige E-Mailadresse eintragen, auf die Sie immer Zugriff haben. Diese Adresse können Sie später auch ändern.
    5. Bei TOTP-2FA wird ein QRCode generiert, welchen Sie in eine Authenticator-App importieren müssen. Folgende Apps wurden getestet:
      [privacyIDEA für iOS][Google Authenticator für iOS][privacyIDEA für Android][Google Authenticator für Android]
  • CRANIX 2FA konfigurieren
  • TOTP CRX2FA
    TOTP CRX2FA
  • QRCode
    QRCode
  • Mail CRX2FA
    Mail CRX2FA

Nachdem man mindestens eine CRX2FA konfiguriert hat, muss man sich abmelden. Nach erneuter Anmeldung wird man aufgefordert einen PIN anzugeben. Ggf muss man einen CRX2FA Typ auswählen. Bei MAIL-Typ muss erst ein Pin gesendet werden.

  • Anmeldung mit CRANIX 2FA
  • 2FA Typ wählen
    2FA Typ wählen
  • Pin senden
    Pin senden
  • Pin eintragen
    Pin eintragen
Abgerufen von „https://wiki.cephalix.eu/index.php?title=Addons/Zusatzmodule&oldid=161