Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern ... (mehr)

Praktische Anwendungsbeispiele

Mit PAM und RADIUS lässt sich Lin­OTP bequem zwischen die Authentifizierung von Clients und Servern beziehungsweise Applikationen schalten. Während RADIUS (Remote Access Dial In User Service) eine Art Universalschnittstelle bereitstellt, die plattformübergreifend nutzbar ist, ist PAM (Pluggable Authentication Module) vor allem für Linux-Anwender interessant. Mit dem "LSE Radius Credential Provider" steht außerdem eine native Schnittstelle für Windows-Systeme zur Verfügung. Auf diese Weise lässt sich auch die Anmeldung von Windows-Clients beziehungsweise Terminalserver-Sitzungen mit der Zwei-Faktor Authentifizierung von LinOTP absichern.

SSH-Server absichern

Um den SSH-Dienst eines Linux-Systems mit LinOTP abzusichern, sind nur wenige Schritte erforderlich. Auf einem Ubuntu-System genügt beispielsweise die Installation des entsprechenden PAM-Moduls für die RADIUS-Authentifizierung und die Anpassung zweier Konfigurationsdateien, um die Authentifizierung von SSH-Logins gegen LinOTP durchzuführen:

sudo apt-get install libpam-radius-auth

In der Datei "/etc/pam.d/sshd" tragen Sie in der zweiten Zeile, direkt unter "# PAM configuration for the Secure Shell service", folgenden Wert ein:

auth  sufficient  pam_radius_auth.so

Nun müssen Sie noch den RADIUS-Server in der Datei »/etc/pam_radius_auth.conf« definieren. Tragen Sie dazu die IP-Adresse und das in der LinOTP-RADIUS-Client-Konfiguration gewählte Secret mit dem Timeout von "3" folgendermaßen ein:

# server[:port] shared_secret timeout (s)
#127.0.0.1 secret 1
192.168.1.190  radius 3

Anschließend ist ein Restart des SSH-Dienstes erforderlich. Nun können Sie sich mit dem in Lin­OTP hinterlegten Benutzer sowie dessen PIN und Einmalpasswort per SSH einloggen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022