Heute wurde privacyIDEA* 2.22 veröffentlicht. Die aktuelle Version beinhaltet einige wesentliche Neuerungen: So können Informationen nun künftig flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückgeliefert werden. Administratoren erhalten außerdem die Möglichkeit, spezifische Rückgabe-Werte zu definieren. Darüber hinaus wurden unter anderem die Unterstützung für proprietäre VASCO Token, eine Versandmöglichkeit von SMS-Token über das SMPP-Protokoll, ein Counter Handler und die Möglichkeit zur Bestimmung von Tokenarten integriert.

Vor allem die Definition von Rückgabewerten schafft deutlich mehr Flexibilität für Administratoren. Die Informationen für die Definition dieser Werte können dabei z.B. aus Attributen des Benutzers im Active Directory stammen. Über reguläre Ausdrücke können diese Attribute nochmals umgeformt werden, bevor sie über das RADIUS-Protokoll an die Firewall oder das VPN zurückgegeben werden. Solche personenbezogenen Attribute werden von VPN-Systemen wie Cisco ASA oder Citrix Netscaler oft verwendet, um den Benutzern gezielt Zugriff auf bestimmte Subnetze oder Netzwerkressourcen zu gewähren.

 Unterstützung von VASCO Token

Auch wenn privacyIDEA vollständig Open Source ist, besteht in einzelnen Fällen die Notwendigkeit, mit proprietären Komponenten zu kommunizieren. Aus diesem Grund wurde in Version 2.22 die Unterstützung für proprietäre VASCO Token integriert. Auf diese Weise ist es einfacher, proprietäre VASCO Token und HOTP- bzw. TOTP-Token oder Yubikeys parallel zu betreiben, bevor langfristig eine Loslösung von proprietären Geräten erfolgen kann.

 SMS via SMPP

SMPP (Short Message Peer-to-Peer) ist ein Protokoll, dass vor allem von Carriern und Mobilfunk-Providern genutzt wird. In privacyIDEA ist nun ein Modul enthalten, das SMS über SMPP versenden kann. Diese Versandart kann sowohl für SMS Token zur Authentifizierung als auch vom Event Handler für Benachrichtigungen verwendet werden.

Counter Handler zum flexiblen Monitoring

Das bereits sehr flexibile Event Handler Framework mit Token-Handler, Benachrichtigungs-Handler, Federation-Handler und Script-Handler wurde in Version 2.22 um einen Counter-Handler ergänzt. Dieser speichert beliebige Zähler in der Datenbank, die flexibel konfigurierte Ereignisse erfassen. So kann zum Beispiel ein Zähler fehlgeschlagene Authentifizierungsanfragen mit HOTP Tokentypen zählen. Diese Zähler können nun für jede beliebige Statistik und Auswertungen herangezogen werden.

Einführung von Tokenarten

privacyIDEA unterstützt viele verschiedene Tokentypen wie HOTP, TOTP, SMS, Email, Yubikey. Doch gerade bei HOTP fällt auf, dass hier manchmal die Unterscheidung schwer fällt zwischen einem HOTP-Token auf einem Smartphone und einem Hardware-Token am Schlüsselanhänger. Daher wurde mit privacyIDEA 2.22 die Tokenart eingeführt, die genau definiert, ob es sich um einen Hardware-Token, einen Software-Token oder einen virtuellen Token handelt.

Diese Tokenart kann dann später für weitere Logiken herangezogen werden. So ist zum Beispiel vorstellbar, dass lediglich verwaiste Software-Token aber keine Hardware-Token automatisiert aus der Datenbank gelöscht werden.

Tokeninfo in Autorisierungs-Richtlinien verwenden

Der Token-Handler kann im Event-Handler-Framework beliebige Tokeninformationen eines Tokens lesen oder in den Token schreiben. Diese beliebigen Tokeninformationen können nun auch zur Autorisierung herangezogen werden, um einem Benutzer, der sich erfolgreich authentisiert hat, den Zugriff zu gewähren oder eben doch zu verweigern.

Viele Erweiterungen

privacyIDEA 2.22 kommt mit zahlreichen anderen Erweiterungen wie verbesserten Import und Export via PSKC, der Möglichkeit SMS und Email-Adressen zur Authentifizierung dynamisch aus dem Active Directory zu lesen.

Die Migration von LinOTP nach privacyIDEA wurde verbessert, so dass mit dem Migrationskript nun leicht mehrere zehntausend Token migriert werden können. Ebenfalls kann diese Migration genutzt werden, um die verschlüsselten Daten in der Datenbank umzuschlüsseln.

Email-Token können den Email-Text aus einem HTML-Template lesen und der LDAP-Resolver unterstützt beliebige Multvalue-Attribute.

Das komplette Changelog ist wie immer bei Github einzusehen.
Die privacyIDEA Enterprise-Edition wird wie immer wenige Wochen nach der Veröffentlichung der privacyIDEA Community Edition erscheinen. Im April ist mit der Version 2.22.1 zu rechnen, die als stabile Version dann auch in den Repositories für die Support-Kunden zur Verfügung steht.
Die Pakete sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

_______________
*Über privacyIdea
privacyIDEA ist ein modularer Authentifizierungsserver, mit dem Sie die Sicherheit Ihrer bestehenden Anwendungen wie lokaler Login, VPN, Remote Access, SSH-Verbindungen, Zugriff auf Websites oder Web-Portale mit Zwei-Faktor-Authentifizierung erhöhen können. Ursprünglich wurde privacyIDEA als OTP-Server (One Time Password) entwickelt und funktioniert mit Authentifizierungsgeräten wie Challenge Response, U2F, Yubikeys, SSH-Schlüssel und x509-Zertifikate. Die Software ist Linux-basiert und komplett Open Source (AGPLv3-Lizenz).