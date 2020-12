Der IT-Security-Anbieter Netknights hat seine freie Multi-Faktor-Authentifizierungs-Software aktualisiert und privacyIDEA 3.5 freigegeben. Mit dieser Version können Anwender erstmals auch PIV-Smart-Cards (Personal Identity Verification) ausrollen und von privacyIDEA attestieren lassen. Benutzer können die Smartcards anschließend zum Anmelden oder für digitale Signaturen einsetzen.

PIV-Devices beherrschen das in NIST SP 800-73 definierte Personal Identity Verification Interface (FIPS 201 [PDF]). So bieten beispielsweise die aktuellen Yubikey-Token YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C und YubiKey 5C ihre Smartcard-Funktionen über dieses Interface an.

Neue Methoden zum Authentifizieren und für Admins

Weitere Neuerungen von privacyIDEA 3.5 sind das komplett überarbeitete Vier-Augen-Token. Bei diesem können Administratoren einstellen, wie viele Benutzer aus definierten Gruppen sich nur gemeinsam als ein besonders schützenswerter Account anmelden können. Technisch kommt dafür die in privacyIDEA 3.4 eingeführte Multi-Challenge-Response zum Einsatz. Den Workflow haben die Entwickler dabei komplett überarbeitet, sodass die Software mit immer neuen Challenges weitere Benutzer zur Anmeldung auffordert. Das Verfahren arbeitet transparent über das RADIUS-Protokoll und sollte daher auch in Szenarien wie der Anmeldung an einem Citrix Netscaler oder anderen VPN-Lösungen funktionieren.

Müssen sich für besonders schützenswerte Accounts mehrere Nutzer anmelden, fordert privacyIDEA die zusätzlichen Daten durch weitere Challenges an. (Bild: Netknights)

Beim Ausrollen von x509-Zertifikaten kann privacyIDEA nun das Mitschicken eines Attestation-Zertifikats vorschreiben. Das stellt sicher, dass die Zertifikatsanforderung auf einer Smartcard erzeugt wurde und ist eine Vorraussetzung für das Management der Smartcards per privacyIDEA. Netknights hat die Funktion wurde erfolgreich mit dem Yubikey getestet. privacyIDEA 3.5 beherrscht nun dessen relevanten Authentifizierungsmechanismen: OTP, U2F, FIDO2 und x509.

Das ebenfalls in Version 3.4 eingeführte Dashboard zeigt jetzt auch die Namen von erfolglosen Anmeldeversuchen an und verlinkt diese mit den zum Benutzer hinterlegten Daten. Damit können Servicedesk-Mitarbeiter zur Problemlösung schneller auf die auf die Details zugreifen. Adminis können dabei im Vorfeld detailliert festlegen, welche Datenfelder die Service-Crew angezeigt bekommt.

privacyIDEA 3.5 steht unter der AGPLv3. Die Software gibt es ab sofort über den Python Package Index sowie in den Community-Repositories für Ubuntu 16.04, 18.04 und neuerdings auch 20.04. Zusätzlich bietet NetKnights eine Enterprise Edition mit Support für Ubuntu LTS und RHEL/CentOS an und führt Auftragsentwicklungen für spezielle Anforderung durch.

(avr)