OPNsense Forum
International Forums => German - Deutsch => Topic started by: GOCE on October 21, 2017, 07:15:11 am
-
Wie ist eigentlich die Nutzung des TOTP Servers gedacht?
Welche Use-Cases sollen damit abgedeckt werden oder ist es eindach nur eine Spielerei?
-
Gedacht ist es für VPN-Verbindungen damit das Passwort alleine nicht reicht (falls wer das Passwort kennt).
-
OK, aber irgend wie ist das seltsam implementiert.
1. der TOTP Server kann nur fuer die lokale Benutzerdatenbank verwendet werden
2. um den TOTP Server ueberhaupt verwenden zu koennen, also lokaler Account + (PW+OTP) muss der Fallback zur lokalen Benutzerdatenbank deaktiviert werden
Wenn es also nur um die lokale Benuterdatenbank geht, warum ist die Aktivierung des TOTP Servers keine Konfigurationsoption der "Local Database" unter System: Access: Servers?
-
Finde ich nicht seltsam, weil der Server explizit "Local + TOTP" heisst.
Der Fallback war (oder ist vielleicht noch so) implizit in pfSense auf Local. Da wir in OPNsense dann TOTP eingebaut haben, haben wir das herausgefunden und immerhin einstellbar gemacht, weil wie du sagst die Kombi eher weniger praktikabel ist.
Der Fallback hart auf Local kam daher, dass wenn man LDAP oder RADIUS angibt und dieser nicht erreichbar ist, dann hat man sich erfolgreich ausgesperrt. ;)
Grüsse
Franco
-
Hallo Franco,
hatte viel um die Ohren, aber jetzt komme ich wieder zu dem Thema :-). Nach meiner Erfahrung in den letzten Tagen kann man sich auch mit dem TOTP Server aussperren, wenn der Service aus irgend einem Grund nicht richtig startet. Hatte zum Glueck SSH mit pubkey Auth aktiv und konnte so alle Services neustarten lassen.
Wie waere es mit der Moeglichkeit das auth Backend pro Service konfigurieren zu koennen? So moechte ich vielleicht den TOTP Server fuer Web Logins oder VPN, jedoch nicht fuer serielle oder lokale logins.
Wie waere es uebrigens auch System: Access: Tester nach System: Access: Settings zu packen? Das ist besonders interessant wenn auch der Fallback mitgetestet werden wuerde, falls er aktiv ist. Fand es verwirrend das der Test mit System: Access: Tester fuer den TOTP Server funktionierte, es jedoch keine Auswirkung (OTP war optional) bei der Anmeldung hatte. In der Doku hab ich dann gesehen, dass der Fallback ausgeschaltet werden muss.
Gruss,
GOCE
-
Hi GOCE,
hatte viel um die Ohren, aber jetzt komme ich wieder zu dem Thema :-). Nach meiner Erfahrung in den letzten Tagen kann man sich auch mit dem TOTP Server aussperren, wenn der Service aus irgend einem Grund nicht richtig startet. Hatte zum Glueck SSH mit pubkey Auth aktiv und konnte so alle Services neustarten lassen.
Der einzige Weg sich auszusperren ist dass NTP nicht mehr läuft oder synchronisiert (kein Netz). Es gibt keinen Service, weil es nur eine mathematische Formel ist. Das hat seine eigenen Vorteile und Nachteile.
Wie waere es mit der Moeglichkeit das auth Backend pro Service konfigurieren zu koennen? So moechte ich vielleicht den TOTP Server fuer Web Logins oder VPN, jedoch nicht fuer serielle oder lokale logins.
Ist doch schon so: pro OpenVPN server, Captive Portal Zone, IPsec Mobile Clients, Web Proxy. Die Auth-Server im System Setup sind für Funktionen aus dem System selbst: GUI, Login, SSH, Sudo, VMware. Man kann aber auch alles abschalten ausser GUI: System: Settings: Administration, dann "[ x ] Disable integrated authentication" und hat das alte pfSense Verhalten von *nur* GUI und der Rest des Systems läuft wieder mit Standard-UNIX-Passwort.
Wie waere es uebrigens auch System: Access: Tester nach System: Access: Settings zu packen? Das ist besonders interessant wenn auch der Fallback mitgetestet werden wuerde, falls er aktiv ist. Fand es verwirrend das der Test mit System: Access: Tester fuer den TOTP Server funktionierte, es jedoch keine Auswirkung (OTP war optional) bei der Anmeldung hatte. In der Doku hab ich dann gesehen, dass der Fallback ausgeschaltet werden muss.
Der Tester ist für einzelne Methoden. Für einen integrierten Test gibt es diesen Konsolen-Tester:
# opnsense-auth-test -u foobar
Password:
User foobar successfully authenticated for service opnsense-auth-test
Dafür gibt es keine GUI, aber wer Lust hat diese zu bauen nur zu, auch dafür wurde das Tool konzipiert. :)
Grüsse
Franco