Das User-Setup für den Authenticator

Die Systemkonfiguration ist damit abgeschlossen. Im nächsten Schritt folgt die benutzerspezifische Authenticator-Konfiguration. Diese ist als der Benutzer auszuführen, der später tatsächlich auch die Zwei-Phasen-Anmeldung verwenden soll und nicht etwa als der Benutzer »root« .

Der Aufruf von »google-authenticator« legt ein benutzerspezifisches Profil an und generiert den Schlüssel, mit dessen Hilfe später Hashes für den Login erstellt werden.

Das Programm gibt zunächst eine URL aus, die es zu notieren gilt. Dann verrät es die Authenticator-Benutzerkennung, einen Verifizierungscode und fünf Notfallcodes. Diese Codes sind notwendig, um einen neuen Schlüssel erstellen zu können, sollte das Smartphone mit dem originalen Key einmal abhanden kommen. Sie sind also ebenfalls unbedingt zu notieren und an einer sicheren Stelle aufzubewahren – im Idealfall allerdings nicht gerade auf dem jeweiligen System selbst.

Im Anschluss stellt das Programm noch einige Fragen, mit denen sich die Sicherheit der generierten Einmal-PINs weiter erhöhen lässt. Ob die damit verbundenen Funktionen aktiviert oder deaktiviert sein sollen, obliegt dem persönlichen Wunsch des Admins.

Die von »google-authenticator« ausgegebene URL führt zu einem QR-Code ( Abbildung 3 ), der sich mit der Kamera des Android-Telefons scannen lässt. Wenn das passiert ist, ist das Smartphone entsprechend des erstellten Accounts konfiguriert. Dann kann es losgehen: Ein »sudo username « sollte den Beutzer erst zur regulären Password-Abfrage führen und danach zu einer PIN-Abfrage, die sich mit einem in der »Google Authenticator« -Android-App generierten PIN beantworten lässt. Hat dieser Vorgang geklappt, ist das Setup ok.

Abbildung 3: Der Link, den

Fazit

Die in diesem Beitrag vorgestellte Lösung funktioniert für alle PAM-fähigen Dienste, jedoch gibt es ein paar Pferdefüße zu beachten: Wer SSH mit SSL-Schlüsseln verwendet, der wickelt die gesamte Authentifizierung anders ab und umgeht den Authenticator-Teil von vornherein. Eine genaue Anleitung für Zwei-Wege-Authentifizierung findet sich in [3] . Admins sollten sich allerdings überlegen, ob die Zwei-Wege-Authentifizierung nicht eine sinnvolle Alternative zu SSL-Schlüsseln darstellt. Denn während ein Account, der mit einem guten Passwort und der Authenticator-Methode geschützt ist, wegen der zwei Ebenen nur sehr schwer zu knacken sein dürfte, bieten SSL-Schlüssel nur eine einzelne Sicherheitsebene. Ein weiches Passwort und der Verlust des Private Keys sind weitere erhebliche Gefahren. Zudem wäre zu bedenken, dass längst nicht jeder seinen privaten SSL-Schlüssel mit der notwendigen Sorgfalt behandelt. ( jcb )