privacyIDEA 2.22 ermöglicht flexiblere Zwei-Faktor-Authentifizierung an Firewalls und VPNs

Die neue Version 2.22 von privacyIDEA bietet Anwendern einige Neuerungen: So können Informationen nun künftig flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückgeliefert werden. Administratoren erhalten außerdem die Möglichkeit, spezifische Rückgabe-Werte zu definieren. Darüber hinaus wurden unter anderem die Unterstützung für proprietäre VASCO Token, eine Versandmöglichkeit von SMS-Token über das SMPP-Protokoll, ein Counter Handler und die Möglichkeit zur Bestimmung von Tokenarten integriert.

Vor allem die Definition von Rückgabewerten schafft deutlich mehr Flexibilität für Administratoren. Die Informationen für die Definition dieser Werte können dabei etwa aus Attributen des Benutzers im Active Directory stammen. Über Regular Expressions können diese Attribute nochmals umgeformt werden, bevor sie über das RADIUS-Protokoll an die Firewall oder das VPN zurückgegeben werden. Solche personenbezogenen Attribute werden von VPN-Systemen wie Cisco ASA oder Citrix Netscaler oft verwendet, um den Benutzern gezielt Zugriff auf bestimmte Subnetze oder Netzwerkressourcen zu gewähren.

Das Event Handler Framework, das bereits über Token-Handler, Benachrichtigungs-Handler, Federation-Handler und Script-Handler verfügt, wurde in Version 2.22 um einen Counter-Handler ergänzt. Dieser speichert beliebige Zähler in der Datenbank, die flexibel konfigurierte Ereignisse erfassen. So kann zum Beispiel ein Zähler fehlgeschlagene Authentifizierungsanfragen mit HOTP Tokentypen zählen. Diese Zähler können nun für jede beliebige Statistik und Auswertungen herangezogen werden.

Zudem wurde privacyIDEA 2.22 eine Möglichkeit eingeführt, die Art eines Tokens zu spezifizieren, um festzulegen, ob es sich um ein Hardware-Token, ein Software-Token oder ein virtuelles Token handelt. Diese Tokenart kann dann später für weitere Logiken herangezogen werden. So ist zum Beispiel vorstellbar, dass lediglich verwaiste Software-Token aber keine Hardware-Token automatisiert aus der Datenbank gelöscht werden.

privacyIDEA 2.22 kommt mit zahlreichen anderen Erweiterungen wie verbesserten Import und Export via PSKC, der Möglichkeit SMS und Email-Adressen zur Authentifizierung dynamisch aus dem Active Directory zu lesen. Die Migration von LinOTP nach privacyIDEA wurde verbessert, sodass mit dem Migrationskript nun leicht mehrere zehntausend Token migriert werden können. Ebenfalls kann diese Migration genutzt werden, um die verschlüsselten Daten in der Datenbank umzuschlüsseln. Email-Token können den Email-Text aus einem HTML-Template lesen und der LDAP-Resolver unterstützt beliebige Multvalue-Attribute.

Das komplette Changelog ist wie immer bei Github einzusehen.