Multi-Faktor-Authentifizierung für Linux-Systeme

Um den Zugriff auf Linux Systeme sicherer zu gestalten, wird der Login auf diesen Systemen durch eine Multi-Faktor-Authentifizierung abgesichert.

Mit der Server Suite von Centrify wird die Einführung einer Multi-Faktor-Authentifizierung vereinfacht.

Die von Centrify zur Verfügung gestellte Multi-Faktor-Authentifizierung kann nicht nur für den Login verwendet werden, sondern auch zur Erhöhung der Privilegien.

In wenigen Schritten zur MFA

Zuerst wird ein Authentication Profile erstellt. In diesem Profil wird festgelegt, welche Authentifizierungsmethoden genutzt werden sollen und ob ein oder zwei Faktoren abgefragt werden sollen.

Als Authentifizierungsmethoden stehen folgende Faktoren zur Verfügung:

  • Passwort
  • Mobile Authenticator (über Centrify Mobile App)
  • Anruf
  • SMS
  • Email
  • Benutzer definierte Sicherheitsfrage
  • OATH OTP Client
  • 3rd Party RADIUS Authentifizierung

Desweitern kann auch noch die Dauer der Gültigkeit der Authentifizierung festgelegt werden.

01

Je nach Bedarf können mehrere Profile angelegt werden. Dies kann zum Beispiel nötig sein, wenn unterschiedliche Authentifizierungsmethoden für den Login und die Erhöhung der Privilegien verlangt werden.
Im nächsten Schritt werden die Profile den jeweiligen Authentifizierungsprofilen zugewiesen.

zwei

Da in der Server Suite Zugriffe auf Systeme sehr granular geregelt werden können, kann man auch hier bei einzelnen Rollen angeben ob MFA genutzt werden soll.

In diesem Beispiel wird für die AD-Gruppe cfy_Linux_Access eine MFA für einen Server verlangt.

02

Der Benutzer faugenstein ist Mitglied dieser Gruppe und muss folglich eine Multi-Faktor-Authentifizierung durchführen. Dies stellt sich für den Benutzer wie in der folgenden Abbildung gezeigt dar:

03

Nach dem der Benutzer faugenstein das richtige Passwort angegeben hat, wird er aufgefordert den zweiten Faktor anzugeben. Hierbei hat er die Auswahl aus fünf Faktoren, die vorher im Profil eingestellt wurden. Wird auch der zweite Faktor richtig bestätigt, erfolgt der Login auf das System.

MFA zur Erhöhung der Privilegien

Das nächste Beispiel zeigt den Login sowie die Erhöhung der Privilegien des Benutzers lxadmin. Auch er benötigt eine Multi-Faktor-Authentifizierung für den Login und zusätzlich für die Erhöhung der Privilegien.
Zunächst erfolgt der Login, hierbei wird diesmal auf die Sicherheitsfrage geantwortet.

04

Danach ruft der Benutzer lxadmin den Befehl yast auf. Um die nötige Berechtigung zu erhalten benutzt er den Zusatz dzdo. Die Verwendung des Befehls dzdo wurde bereits im Blogeintrag „Rollenbasierter Zugriff auf Linux Systeme“ erklärt.

Da der Benutzer lxadmin durch den Zusatz dzdo anzeigt, dass er seine Privilegien erhöhen möchte, greift nun die Richtlinie, die ihm dies ermöglicht. In der Richtlinie wird eine weitere Authentifizierung verlangt, um den Befehl  yast ausführen zu können.

05

MFA aus einer Hand

Das Beispiel soll zeigen, wie einfach es ist, eine Multi-Faktor-Authentifizierung zu ermöglichen. Alle Komponenten, die eine Multi-Faktor-Authentifizierung für Linux System Login, Linux/Windows Privilegien Erhöhung, Login für SaaS Applikationen, sowie den Login zu Netzwerk Komponenten ermöglichen, kommen aus einer Hand. Mit Centrify können sie all diese Systeme und Applikationen mit Multi-Faktor-Authentifizierung schützen. Da alles auf der gleichen Technologie basiert, wird die Konfiguration und die Administration vereinfacht. Aus diesem Grund entsteht kein zusätzlicher Schulungsaufwand für die einzelnen Komponenten.