Zwei-Faktor-Authentifizierung mit PAM

Um die Sicherheit beim Zugriff auf einen Webdienst zu erhöhen, bieten die meisten Betreiber mittlerweile eine Zwei-Faktor-Authentifizierung (2FA) an. Diese basiert zumeist auf sogenannten One-Time-Passwords (OTP), die entweder mit Hilfe eines Software- oder Hardware-Tokens erzeugt werden. Um den Einsatz von OTPs zu vereinfachen, bieten die meisten Dienste einen QR-Code an, mit dessen Hilfe Anwender ein individuelles Softtoken in ein entsprechendes Programm, wie beispielsweise FreeOTP [1], laden können. Mit diesem Token findet dann die Erzeugung der eigentlichen Einmal-Passwörter statt. Mehr hierzu finden Sie in den IT-Administrator-Ausgaben Januar und Februar 2019.

Anders als bei Webdiensten kommt für die Authentifizierung von Benutzern auf Systemebene jedoch zumeist das Framework "Pluggable Authentication Modules" (PAM) zum Einsatz. Dieses regelt im Detail, wie die Authentifizierung und Autorisierung eines Benutzers ablaufen soll. Auch für das Passwort- und Session-Management stehen entsprechende PAM-Bibliotheken zur Verfügung. Zur Authentifizierung von lokalen Benutzern kommt beispielsweise die Bibliothek "pam_unix" zum Einsatz. Sind die Benutzerdaten stattdessen zentral in einem LDAP oder einem Active Directory hinterlegt, erfolgt die Authentifizierung mit Hilfe von "pam_sss" oder eines der vielen anderen PAM-Module, die hierfür zur Auswahl stehen. Soll die Anmeldung eines Benutzers mit Hilfe von X.509-Zertifikaten erfolgen, ist der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.