Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
2FA für einige User (oder eine Gruppe) ausschließen
« previous
next »
Print
Pages: [
1
]
Author
Topic: 2FA für einige User (oder eine Gruppe) ausschließen (Read 574 times)
H_Maier
Newbie
Posts: 3
Karma: 0
2FA für einige User (oder eine Gruppe) ausschließen
«
on:
May 23, 2024, 02:55:57 pm »
Hallo,
habe gerade ein wenig mit 2FA gespielt und funktioniert an für sich wunderbar.
ABER: ich habe auf der FW einige Nutzer für die ich aus legacy Gründen kein 2FA aktivieren kann, d.h. die benötigen zwigend noch user + pass. Die sind alle in einer extra Gruppe, d.h. sind leicht identifzierbar. Die Anmeldung führen sie gegen die lokale DB von OPNsense durch. Gibt es einen Trick, 2FA für alle Gruppen/User zu erzwingen, dabei aber eine Gruppe oder notfalls auch einzelne User auszuschließen?
Konnte leider nur entweder 2FA UND lokale DB auswählen, ODER nur 2FA. Mit der "nur 2FA" Auswahl deaktiviere ich de facto alle legacy Nutzer, mit "2FA UND lokale DB" hebel ich letzlich 2FA aus und alle können weiterhin user + pass nutzen...
Gibt es einen einfachen Trick das granularer einzustellen? Habe ein paar ältere Foreneinträge gefunden (z.B:
https://forum.opnsense.org/index.php?topic=17741.0
), die waren aber ohne Antwort.
Notlösung die mir einfallen würde: alle User (außer dem Admin) Richtung LDAP/Radius ziehen?
Gruß, Hans
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1614
Karma: 176
Re: 2FA für einige User (oder eine Gruppe) ausschließen
«
Reply #1 on:
May 23, 2024, 03:11:43 pm »
Wenn es IPsec oder SSLVPN ist kann man 2FA auch noch anders realisieren, z.B. Client Zertifikat (etwas das ich habe) + Passwort (etwas das ich weiß).
Logged
Hardware:
DEC740
H_Maier
Newbie
Posts: 3
Karma: 0
Re: 2FA für einige User (oder eine Gruppe) ausschließen
«
Reply #2 on:
May 23, 2024, 05:37:07 pm »
Ja, per Zertifkat geht sicher auch, aber einige (alte) Clients bieten das bei mir leider erst gar nicht an. Von daher hatte ich gehofft, dass sich an der Stelle etwas getan hat.
Wenn nein, ist es aber auch nicht schlimm: habe keinen Zwang zu 2FA.
Logged
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: 2FA für einige User (oder eine Gruppe) ausschließen
«
Reply #3 on:
May 23, 2024, 05:41:02 pm »
Wir standen vor demselben Dilemma. Wollten alle Admin-Logins mit 2FA haben und einen root-User ohne, das 30stellige Passwort im Tresor.
Falls die 2FA mal ausfällt, z.B. weil Datum und Uhrzeit spinnen.
Haben uns dann gegen 2FA entschieden und den Zugriff zusätzlich zu guten Passwörtern noch auf IP-Adressen eingeschränkt.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
2FA für einige User (oder eine Gruppe) ausschließen