Ich suche Ansätze um 2FA auf unseren Lancoms einzuführen.
Laut Lancom-Engineer gibt es die Möglichkeit mit OTP/RSA Tokens zu arbeiten, aber nur unter Verwendung von externen Radius Server.
z.b. https://www.rsa.com/en-us/products/rsa- ... rid-access
Jemand weitere Ansätze zu dem Thema?
Danke und Gruß
Sascha
2FA (2-Factor-Authentication)
Moderator: Lancom-Systems Moderatoren
Re: 2FA (2-Factor-Authentication)
Schau mal hier
https://developers.yubico.com/yubico-pa ... a_PAM.html
wäre doch eine Idee mit:
https://www.lancom-systems.de/docs/LCOS ... 63046.html
https://developers.yubico.com/yubico-pa ... a_PAM.html
wäre doch eine Idee mit:
https://www.lancom-systems.de/docs/LCOS ... 63046.html
Re: 2FA (2-Factor-Authentication)
Hallo Sascha,
entweder per Zertifikat, welches auf einem Hardwaretoken installiert (da brauchst Du keine externen Server), mit Hardwaretoken (Zeit- oder Ereignisbasiert) oder mit Freeradius und einer App.
Für einen schnellen Versuch kannst Du dir PFSense installieren, dort Freeradius aktivieren (gibt es als Paket) und mit einer App die Tokens generieren.
Die Geschichte mit der PFsense habe ich für mein privates Spielnetz am Laufen. Ob Du das produktiv nutzen möchtest ist ne andere Frage. Kommt halt darauf an, was Du erreichen möchtest. XAuth ist bei den Lancomern übrigens nicht ganz unumstritten was den Sicherheitsgewinn anbelangt.
VG
Andreas
P.S.: Kobil wäre noch einer der Anbieter, die Tokens haben und nicht so teuer sind wie RSA.
entweder per Zertifikat, welches auf einem Hardwaretoken installiert (da brauchst Du keine externen Server), mit Hardwaretoken (Zeit- oder Ereignisbasiert) oder mit Freeradius und einer App.
Für einen schnellen Versuch kannst Du dir PFSense installieren, dort Freeradius aktivieren (gibt es als Paket) und mit einer App die Tokens generieren.
Die Geschichte mit der PFsense habe ich für mein privates Spielnetz am Laufen. Ob Du das produktiv nutzen möchtest ist ne andere Frage. Kommt halt darauf an, was Du erreichen möchtest. XAuth ist bei den Lancomern übrigens nicht ganz unumstritten was den Sicherheitsgewinn anbelangt.
VG
Andreas
P.S.: Kobil wäre noch einer der Anbieter, die Tokens haben und nicht so teuer sind wie RSA.
-
steveurkel
- Beiträge: 67
- Registriert: 03 Mai 2012, 18:25
Re: 2FA (2-Factor-Authentication)
Schau dir einfach mal "Privacyidea" an (https://www.privacyidea.org/). Das kann verschiedene Token verwalten. Beliebt sind Ereignisbasierte bzw Zeitbasierende Token. Für letztere muss der Zeitdrift in den Token auch nachgeführt werden. Smartphone-Apps ala Google-Authenticator funktionieren-aber hier kann man beim ausrollen nur schwer kontrollieren wer den QR-Code noch nutzt bzw sich für später als Foto "konserviert".
Hardwaretoken: Wenn das Geheimnis schon drin ist kann keiner sagen wer das Geheimnis ebenfalls kennt. Am besten -so finde ich- sind personalisierbare Hardware-Token. PrivacyIdea konnte auch schon mal Safenet Etoken NG-OTP personalisieren.
Hardwaretoken: Wenn das Geheimnis schon drin ist kann keiner sagen wer das Geheimnis ebenfalls kennt. Am besten -so finde ich- sind personalisierbare Hardware-Token. PrivacyIdea konnte auch schon mal Safenet Etoken NG-OTP personalisieren.