Beim Anlegen eines neuen Benutzers haben Sie nun die Möglichkeit, neben einem Passwort-basierten Login ebenfalls OTP oder Radius auszuwählen. In diesem Beispiel stellen wir das native OTP vor. An dieser Stelle ist darauf zu achten, dass der Administrator der Umgebung lediglich die OTP-Checkbox auswählt, soll der Benutzer ausschließlich die 2FA-basierte Anmeldung benutzen. Das initial gesetzte Passwort dient nur dazu, dass sich der Nutzer einmalig am Framework anmelden kann, um sich so ein Token zu generieren. Danach ist das Login mit einem Passwort nicht mehr möglich. Meldet sich ein Benutzer schließlich zum ersten Mal an, so ist in der linken oberen Ecke des Web-Interfaces der Punkt "OTP Tokens" auszuwählen, um ein neues Token zu erstellen. Auf dem Bildschirm erscheint nun ein QR-Code.
Mit einer Software wie beispielsweise dem Google Authenticator lässt sich der QR-Code, der soeben von FreeIPA erzeugt wurde, scannen. Der Google Authenticator oder eine ähnliche Software sollte den Code unmittelbar erkennen und im Anschluss ein neues Softtoken anlegen. Vor dem ersten Zugriff müssen Sie dieses Token dann noch synchronisieren. Melden Sie sich hierzu von FreeIPA ab und klicken Sie in der Login-Maske auf "Sync OTP Token". Danach geben Sie Ihr Passwort sowie zwei OTP-Folgen des Google Authenticators ein. Nun ist Ihr Token synchronisiert und ein Login mit Ihrem Passwort gefolgt von dem jeweils aktuellen OTP ist von nun an möglich.
Es ist schön zu sehen, wie einfach die Free-IPA-Entwickler es Administratoren machen, einen Benutzer mit OTP-Authentifizierung einzurichten. Das Setup gestaltet sich einfach und auch das Einbinden des QR-Codes funktioniert ohne Schwierigkeiten. An dieser Stelle sei allerdings auch noch darauf hingewiesen, dass die Token-ID beim Anlegen eines neuen Tokens eindeutig sein muss. Dem Benutzer wird es jedoch freigestellt, die ID selbst zu wählen. Schöner wäre es, wenn diese automatisch durch das Framework vorgegeben würde. So lassen sich Fehler vermeiden, wenn Benutzer mehrfach die gleiche ID auswählen. Das Problem ist jedoch bekannt und es wird bereits an einer Lösung gearbeitet.
(jp)
Link-Codes
[1] FreeOTP Softtoken: https://fedorahosted.org/freeotp/
[2] Google Authenticator Softtoken: https://code.google.com/p/google-authenticator/