|
|
| Zeile 1: |
Zeile 1: |
| =CRANIX-2FA Zwei-Faktor-Authentifizierung=
| |
|
| |
|
| Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen welche Benutzer 2FA verwenden müssen. Das kann persönlich oder Gruppenweise erfolgen. Um den Umgang mit CRANIX-2FA den Benutzern zu erleichtern haben wir ein kleines [https://repo.cephalix.eu/Downloads/Cranix-2FA-howto.pdf Handout] erstellt. Nach Erwerb des CRANIX-2FA-Zusatzmoduls müssen auf dem Server folgend Schritte ausgeführt werden um CRANIX-2FA zu aktivieren:
| | * navigation |
| | | ** mainpage|mainpage-description |
| ==Administration von CRANIX-2FA==
| | ** recentchanges-url|recentchanges |
| # Repository für CRANIX-2FA einbinden. Führen Sie dazu als Benutzer ''root'' folgenden Befehl aus:<br> <code>/usr/share/cranix/tools/register.sh</code>
| | ** randompage-url|randompage |
| # Modul installieren: <code>zypper -n install cranix-2fa</code>
| | ** helppage|help-mediawiki |
| # Backend neu starten: <code>systemctl restart cranix-api</code>
| | * SEARCH |
| # Melden Sie sich als Administrator an die Administrationsoberfläche an. Unter '''System''' -> '''Acls''' müssen Sie den Benutzern bzw. Benutzergruppen deren Mitglieder Zwei-Faktor-Authentifizierung verwenden müssen, die ACL <code>crx2fa.use</code> zuweisen. Weiterhin können Sie die ACL <code>crx2fa.manage</code> Benutzern bzw. Benutzergruppen zuweisen, die die CRANIX-2FA Konfigurationen von anderen Benutzer löschen und zurücksetzten dürfen.
| | * TOOLBOX |
| # Nach der Installation des CRANIX-2FA-Zusatzmoduls haben Sie unter '''Benutzer''' einen zusätzlichen Tab '''CRX2fa'''. Hier können Sie die erstellten CRX2fa Konfigurationen löschen bzw. zurücksetzten.
| | * LANGUAGES |
| ## Löschen ist erforderlich, wenn jemand zB. sein Mobiles-Endgerät verloren hat.
| |
| ## Mit jedem TOTP kann man maximal 10 falsche Anmeldeversuche machen. Danach ist der TOTP gesperrt, solange man es nicht zurücksetzt.
| |
| | |
| | |
| <gallery heights=250px widths=325px>
| |
| Cocpit-System-Acls-add-2fa.jpeg|ACL zuweisen
| |
| Cocpit-Benutzer-CRX2fa-bearbeiten.jpeg|CRX2FA-Konfigurationen verwalten
| |
| </gallery>
| |
| | |
| ==Verwendung von CRANIX-2FA==
| |
| Hat ein Administrator die ''crx2fa.use'' ACL einem Benutzer zugewiesen, wird dieser bei der nächsten Anmeldung dazu aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.
| |
| # Nach erfolgreicher Anmeldung wird man zur Verwaltung von CRX-2FA geleitet und keine anderen Funktionen sind erreichbar.
| |
| # Man kann 2 Typen von 2FA-Konfiugrationen anlegen: TOTP und MAIL.
| |
| # Es wird empfohlen beide Zwei-Faktor-Authentifizierungsmöglichkeiten einzurichten.
| |
| # Folgende Parameter können gesetzt werden:
| |
| ## Typ von zwei-Faktor Autorisierung: '''TOTP''' oder '''MAIL'''
| |
| ## Pin Gültigkeit in Sekunden: Wie lange ist ein PIN gültig.
| |
| ### Bei TOTP-2FA liegt der gültige Bereich zwischen 30 und 60 Sekunden und kann nach der Erstellung nicht geändert werden.
| |
| ### Bei MAIL-2FA liegt der gültige Bereich zwischen 120 und 600 Sekunden und kann nach der Erstellung geändert werden.
| |
| ## Gültigkeit einer 2FA Anmeldung: Wie lange müssen Sie sich am selben Gerät nicht noch mal per 2FA anmelden. Gültiger Bereich 1-12 Stunden. Empfohlen wird 12 Stunden. Diese Einstellung kann auch später geändert werden.
| |
| ## Bei MAIL-2FA müssen Sie noch eine gültige E-Mailadresse eintragen, auf die Sie immer Zugriff haben. Diese Adresse können Sie später auch ändern.
| |
| ## Bei TOTP-2FA wird ein QRCode generiert, welchen Sie in eine Authenticator-App importieren müssen. Folgende Apps wurden getestet:<br>[[https://apps.apple.com/app/id1445401301 privacyIDEA für iOS]][[https://apps.apple.com/app/id388497605 Google Authenticator für iOS]][[https://play.google.com/store/apps/details?id=it.netknights.piauthenticator privacyIDEA für Android]][[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Google Authenticator für Android]]
| |
| | |
| <gallery caption="CRANIX 2FA konfigurieren" heights=250px widths=325px>
| |
| Cocpit-Profil-CRX2fa-TOTP.jpeg|TOTP CRX2FA
| |
| Cocpit-Profil-CRX2fa-QRCode.jpeg|QRCode
| |
| Cocpit-Profil-CRX2fa-Mail.jpeg|Mail CRX2FA
| |
| </gallery>
| |
| | |
| Nachdem man mindestens eine CRX2FA konfiguriert hat, muss man sich abmelden. Nach erneuter Anmeldung wird man aufgefordert einen PIN anzugeben. Ggf muss man einen CRX2FA Typ auswählen. Bei MAIL-Typ muss erst ein Pin gesendet werden.
| |
| <gallery caption="Anmeldung mit CRANIX 2FA" heights=250px widths=325px>
| |
| CRX-2FA-Anmeldung-Select-Type.jpeg|2FA Typ wählen
| |
| CRX-2FA-Anmelden-MAIL-Sendpin.jpeg|Pin senden
| |
| CRX-2FA-Anmeldung-Enter-TOTP.jpeg|Pin eintragen
| |
| </gallery>
| |