NRW:Arbeitsgruppe/Technik/Dokumentation/Benutzer/MobileToken

Aus Piratenwiki
Wechseln zu: Navigation, Suche
ACHTUNG: Die Informationen hier im Wiki sind momentan nicht vollständig aktualisiert.
AG Technik NRW
Verwaltung: Übersicht | Protokolle | Dokumentation | FAQ
Dienste: E-Mail | Lists | Webcache | Blogs | Wikimirror | Domains | RT | Mumble | LAN | Serverstatus


Authentifizierung per Telefon

Um administrative Zugänge bestmöglich abzusichern, verwenden wir eine Zwei-Wege Authentifizierung die neben eine Anmeldung mit Private/Public Schlüsselpaar auch eine Bestätigung des Logins an ein Handy schickt. Dabei wird der Dienst der Firma DuoSecurity verwendet. Es können entweder Push-Nachrichten an gängige Smartphones über eine App geschickt werden, oder traditionelle TAN-Listen für weniger moderne Telefone.

Benötigte Informationen

Jeder Administrator der einen Wartungszugang erhalten will, muss folgende Informationen an die Administratoren des Authentifizierungssystems schicken:

  • Gewünschter Benutzername
  • Vollständiger Realname
  • Telefonnummer (Handy)
  • Plattform/Betriebssystem des Handies
  • E-Mail Adresse
  • Öffentlicher Schlüssel (Public Key) im ssh-dss oder ssh-rsa Format

Vorgehen

Der öffentliche Schlüssel wird im Benutzerkonto des Administrator hinterlegt. Es wird dringend empfohlen, den privaten Schlüssel zusätzlich mit einem Passwort abzusichern. Der Administrator meldet sich per ssh an seinem Benutzerkonto an unserem Login-Server an: 

ssh paulpirat@access.piratenpartei-nrw.de

Enter passphrase for key '/home/paulpirat/.ssh/id_dsa': ********
Duo two-factor login for paulpirat

Enter a passcode or select one of the following options:

1. Duo Push to +XX XXXXXX1337
2. SMS passcodes to +XX XXXXXX1337

Passcode or option (1-2): 1

Pushed a login request to your phone...

An dieser Stelle erhält man eine Anfrage über die App (Option 1) oder eine SMS mit TAN-Liste (Option 2). Sobald man bestätigt bzw. eine gültige TAN eingibt, wird der Login zugelassen. Die TAN der Liste sind über eine längere Zeit gültig, man braucht also nicht bei jedem Login eine neue Liste generieren zu lassen sondern kann eine ungenutzte TAN "Passcode" direkt beim Login angeben. 

Success. Logging you in...

This is access.piratenpartei-nrw.de (192.168.42.108)
...

Auf dem Loginserver kann man nun als Benutzer root auf die einzelnen Maschinen verbinden zu denen man Zugriff erhalten hat. 

paulpirat@access:~$ ssh root@192.168.42.104
Von „http://wiki.piratenpartei.de/wiki/index.php?title=NRW:Arbeitsgruppe/Technik/Dokumentation/Benutzer/MobileToken&oldid=1563373