TOTP Fragen - 2 Faktor Auth wird nicht abgefragt

Started by lenny, November 21, 2019, 07:50:52 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 21, 2019, 07:50:52 AM Last Edit: December 06, 2019, 09:21:35 PM by lenny
Guten Morgen,
ich habe gestern erfolgreich meine Test VM betrieben, um den Umstieg von IPF vorzubereiten.
VPN etc funtkionierte.

Jedoch habe ich sowohl bei der Webanwendung und bei der VPN Verbindung erwartet, dass ich nach dem 2. Facttor gefragt werde.
Dies hat nicht stattgefunden.
Ich habe für den User ein Secret erstellt und auch den "Server" TOTP hinzugefügt.

Gefragt wurde ich dennoch an keiner Stelle.
Habe ich eas vergessen oder muss noch etwas speziell eingerichtet werden?
Die Doku im Wiki habe ich gefunden und konnte keine Abweichung feststellen.

(OPN war hinter einer Fritzbox, Portweiterleitung udp/1194 auf die Sense war erlaubt)
November 21, 2019, 06:14:40 PM #1
2 Faktor Authentifizierung mit LDAP anbindung oder Lokal?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
November 21, 2019, 07:05:15 PM #2
Lokal.
LDAP steht nicht zur Verfügung
November 26, 2019, 08:03:32 AM #3
In welchem Log wird das ggf. angezeigt?
Merkwürdig ist, dass nicht mal ein auth. Fehler erscheint, sondern einfach gar nicht danach gefragt wird.
December 06, 2019, 09:20:58 PM #4
Hat niemand die 2FA laufen?
:(
December 07, 2019, 09:06:57 AM #5
Verstehe die Frage leider nicht. Die Doku ist hier:

https://docs.opnsense.org/manual/how-tos/two_factor.html#step-5-test-the-token

Nach dem 2F wird nicht separat gefragt, dieser wird -- je nach Konfiguration -- vor oder nach dem Passwort angegeben im Passwort-Feld.


Grüsse
Franco
December 07, 2019, 12:04:37 PM #6
Der Server muss auch noch unter System- Settings-Administration: Authentication
aktiv geschalten werden. Ansonsten zieht nur die local database. Steht in der Doku leider nicht.

Gesendet von meinem MI 9 mit Tapatalk

December 11, 2019, 09:46:18 AM #7
Dort habe ich den TOTP und die lokale Database eingetragen, funktioniert dennoch leider nicht.
In welchem Log könnte man auf die Suche gehen?
December 11, 2019, 12:07:05 PM #8 Last Edit: December 11, 2019, 12:10:15 PM by Quetschwalze
Quote from: lenny on December 11, 2019, 09:46:18 AM
Dort habe ich den TOTP und die lokale Database eingetragen, funktioniert dennoch leider nicht.
In welchem Log könnte man auf die Suche gehen?

Die lokale Datenbank würde ich da rausnehmen, sonst kann sich jeder user auch ohne den zweiten Faktor einloggen. EDIT: Teste erst ob alles richtig funktioniert, nicht dass du dich selbst aussperrst: System->Access->Tester   
Grundsätzlich wird der Token nicht explizit angefragt - es erscheint also kein zweites Passwordfeld oder ähnliches. Vielmehr muss der Login mit dem Usernamen und "Password+TOTP" erfolgen. Also bspw. "password123456"
Fehlversuche werden im System->Log Files->General angezeigt.

Um auch OpenVPN mit 2 Faktor zu versehen, muss der entsprechende Authentifizierungsserver im OpenVPN Server hinterlegt sein. Beispiel ist im Screenshot
December 11, 2019, 02:27:09 PM #9
Bitte die Reihenfolge in der Dokumentation einhalten. Geht der Tester in Punkt 5 nicht sollte man den Auth-Server noch nicht verwenden und den Fehler suchen damit der Tester funktioniert.

Prinzipiell wird in der Dokumentation die Verwendung des TOTP ausgespart, da er optional ist -- nicht nur für die GUI, sondern auch OpenVPN, IPsec, Captive Portal und den Web Proxy.


Grüsse
Franco
February 02, 2023, 01:05:35 AM #10
Moin, ich habe mich leider ausgesperrt.. der Prüfer hat noch einen Fehler ausgespuckt aber er will ihn jetzt verwenden. Ich komme weder über die LAN IP auf das Web GUI noch über die WAN Andresse noch über DDNS.. muss ich jetzt alles neu aufsetzen und meine letzte Sicherung einspielen oder komme ich da noch irgendwie rein?

Gruß
Print
Go Up Pages1
User actions