wir verwenden für User-to-Site-VPN derzeit IKEv1 im Aggressive Mode mit XAuth, wobei die Authentifizierung gegen einen RADIUS-Server (WebADM OpenOTP) erfolgt. Als Token dienen YubiKeys (HOTP) oder alternativ Mobiltelefone (TOTP) mit einer Token-App (Google Authenticator, Microsoft Authenticator o.ä.).
Um das Login komfortabler zu gestalten, würden wir gerne auf ein Verfahren umstellen, bei dem der OTP-Server per Push-Nachricht eine Anforderung an das Mobiltelefon des Users schickt, wo dieser dann das Login autorisiert. Das wird z.B. von Duo Security oder auch von OpenOTP ("One-Tap Push Login") unterstützt.
Damit das funktionieren kann, muss der LANCOM aber etwas länger als üblich auf die erfolgreiche Authentifizierung warten, damit der User Zeit hat, die Anmeldung an seinem Gerät zu bestätigen. Ein Timeout von 60 Sekunden wäre ca. nötig. Hier der Passus aus der Doku von Duo:
(https://duo.com/docs/radius)If your clients allow you to configure the RADIUS timeout and/or retry count, set them to values such that the clients will not give up for at least 60 seconds. This is necessary if your users choose to use Duo's out-of-band factors (phone callback, push) to log in, as the authentication proxy will not be able to respond to a RADIUS authentication request until the user responds to the authentication challenge. If your clients do not allow you to configure the RADIUS timeout and/or retry behavior, then your users may be unable to use Duo's out-of-band factors to login.
Im LANCONFIG-GUI (Kommunikation > RADIUS) scheint es keine Möglichkeit zu geben, einen Timeout zu konfigurieren. Weiß jemand, ob das möglich ist?
Danke & Gruß
Jan