Centrify Server Suite: Smart Card Logon mit dem Yubikey

Die Konfiguration einer Yubikey Smartcard-Authentifizierung auf Systemen, die mit Hilfe von Centrify Direct Manage Agents an eine Windows Domäne angehängt wurden, ist recht einfach und soll hier exemplarisch an einem Mac OS X und einem CentOS Linux System vorgeführt werden.

Ist bereits eine funktionierende Smartcard-Authentifizierung auf den Windows Systemen der Domäne möglich, so sollte die Authentifizierung mit ein paar wenigen Konfigurationsschritten auch auf der CentOS Linux und der Mac OS X Maschine gelingen.

Besteht noch keine Smartcard Umgebung auf den Windows Systemen, so ruft man – vorausgesetzt, man möchte die Microsoft CA verwenden – diese auf dem Domain Controller auf. Dann dupliziert man in der Certificate Templates Console zunächst das Smartcard User Template, benennt es bspw. „Yubikey“ und stellt im Security Tab in den Properties des neuen Templates ein, dass entweder bestimmte AD Nutzer darauf zugreifen dürfen oder – besser – wählt hier eine vorab erstellte AD Gruppe aus (bspw. Smartcard User). Danach wird das neue Zertifikat publiziert („Certificate Template to issue“).

Es steht nun nicht nur den Windows Systemen der Domäne, sondern auch den der Domäne beigetretenen Nicht-Windows Systemen zur Verfügung, da es über die Centrify Agenten auf diese Systeme übertragen wird.

Für den Mac müssen nun folgende Einstellungen vorgenommen werden – zunächst die auf dem Mac selbst. In der Centrify Agent Configuration (in den System Preferences) muss der Smartcard Support auf „enabled“ gestellt werden. Der Yubikey wird automatisch erkannt.

1

Nun müssen noch ein paar Einstellungen in den Group Policies für den Mac vorgenommen werden. Zunächst in der Computer Configuration die Policy „Enable smart card support“ auf „Enabled“ stellen und das Häkchen für „Enable YubiKey as a smart card“ setzen.

2

Die Policies „Require smart card login“ und „Enable smart card support for sudo” sind optional. „Require smart card login” legt fest, dass es keinen anderen Zugang zur Maschine gibt als die Smartcard. Es können aber Gruppen von Nutzern definiert werden, für die Ausnahmen gelten.

3

„Enable smart card support for sudo“ hat eine Auswirkung auf die Sudoer auf dem System. Verwendet ein Benutzer einen sudo command, so fragt das System nicht sein AD-Passwort ab, sondern die PIN der Smartcard.

4

In der User Configuration lässt sich in den Centrify Settings noch einstellen, ob der Bildschirm gesperrt werden soll, wenn der Benutzer die Smartcard aus dem Reader oder USB Slot zieht („Lock smart card screen“) und ob die PIN eingegeben werden muss, um den gesperrten Bildschirm wieder zu entsperren („Require password to wake this computer from sleep“).

Damit die geänderten Group Policies Wirkung zeigen, muss entweder das automatische Group Policy Enforcement abgewartet werden (Windows Group Policy) oder auf dem Mac in einem Terminal der Command „adgpupdate“ ausgeführt werden.

Steckt nun ein Benutzer seinen Yubikey in den USB Slot seines Mac, so ändert sich der Logon Screen wie folgt:

5

6

Der Benutzer gibt seine PIN ein und wird gegen das AD authentifiziert. Danach werden die Group Policies ausgewertet und sein Bildschirm entsprechend konfiguriert. Zieht er während einer Session die Smartcard aus dem Slot, so erscheint der Sperrbildschirm, der sich nur durch eine erneute PIN Eingabe entsperren lässt.

Für die mit der Windows Domäne via DirectManage Agent verbundenen Linux Systeme (hier CentOS) sieht die Konfiguration wie folgt aus: Zunächst wird wieder im Group Policy Management Editor die Group Policy „Enable smart card support“ aktiviert (unter Computer Configuration – Centrify Settings – Linux settings – Security). Hier muss der richtige Pfad zum PKCS #11 Modul eingetragen werden. Optional kann auch die Policy „Require smart card login“ aktiviert werden.

Nachdem entweder das automatische Windows Group Policy Update Interval abgewartet wurde oder auf dem Linux System in einem Terminalfenster der Command „adgpupdate“ ausgeführt wurde, ändert sich der Logon Screen auf dem CentOS System wie folgt, wenn die Smartcard aktiv ist:

7

8

Selbstverständlich funktioniert das auch ohne grafisches Login.

Somit kann ein Benutzer systemübergreifend über eine Smartcard authentifiziert werden, wenn er die entsprechende Berechtigung für das Login auf diesen Systemen hat.