OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • TOTP Server
« previous next »
  • Print
Pages: [1]

Author Topic: TOTP Server  (Read 4352 times)

GOCE

  • Newbie
  • *
  • Posts: 26
  • Karma: 1
    • View Profile
TOTP Server
« on: October 21, 2017, 07:15:11 am »
Wie ist eigentlich die Nutzung des TOTP Servers gedacht?

Welche Use-Cases sollen damit abgedeckt werden oder ist es eindach nur eine Spielerei?
Logged

fabian

  • Hero Member
  • *****
  • Posts: 2769
  • Karma: 200
  • OPNsense Contributor (Language, VPN, Proxy, etc.)
    • View Profile
    • Personal Homepage
Re: TOTP Server
« Reply #1 on: October 21, 2017, 07:23:56 am »
Gedacht ist es für VPN-Verbindungen damit das Passwort alleine nicht reicht (falls wer das Passwort kennt).
Logged

GOCE

  • Newbie
  • *
  • Posts: 26
  • Karma: 1
    • View Profile
Re: TOTP Server
« Reply #2 on: October 21, 2017, 08:06:35 am »
OK, aber irgend wie ist das seltsam implementiert.

1. der TOTP Server kann nur fuer die lokale Benutzerdatenbank verwendet werden
2. um den TOTP Server ueberhaupt verwenden zu koennen, also lokaler Account + (PW+OTP) muss der Fallback zur lokalen Benutzerdatenbank deaktiviert werden

Wenn es also nur um die lokale Benuterdatenbank geht, warum ist die Aktivierung des TOTP Servers keine Konfigurationsoption der "Local Database" unter System: Access: Servers?
Logged

franco

  • Administrator
  • Hero Member
  • *****
  • Posts: 17661
  • Karma: 1611
    • View Profile
Re: TOTP Server
« Reply #3 on: October 21, 2017, 12:01:08 pm »
Finde ich nicht seltsam, weil der Server explizit "Local + TOTP" heisst.

Der Fallback war (oder ist vielleicht noch so) implizit in pfSense auf Local. Da wir in OPNsense dann TOTP eingebaut haben, haben wir das herausgefunden und immerhin einstellbar gemacht, weil wie du sagst die Kombi eher weniger praktikabel ist.

Der Fallback hart auf Local kam daher, dass wenn man LDAP oder RADIUS angibt und dieser nicht erreichbar ist, dann hat man sich erfolgreich ausgesperrt. ;)


Grüsse
Franco
Logged

GOCE

  • Newbie
  • *
  • Posts: 26
  • Karma: 1
    • View Profile
Re: TOTP Server
« Reply #4 on: October 28, 2017, 11:54:59 am »
Hallo Franco,

hatte viel um die Ohren, aber jetzt komme ich wieder zu dem Thema :-). Nach meiner Erfahrung in den letzten Tagen kann man sich auch mit dem TOTP Server aussperren, wenn der Service aus irgend einem Grund nicht richtig startet. Hatte zum Glueck SSH mit pubkey Auth aktiv und konnte so alle Services neustarten lassen.

Wie waere es mit der Moeglichkeit das auth Backend pro Service konfigurieren zu koennen? So moechte ich vielleicht den TOTP Server fuer Web Logins oder VPN, jedoch nicht fuer serielle oder lokale logins.

Wie waere es uebrigens auch System: Access: Tester nach System: Access: Settings zu packen? Das ist besonders interessant wenn auch der Fallback mitgetestet werden wuerde, falls er aktiv ist. Fand es verwirrend das der Test mit System: Access: Tester fuer den TOTP Server funktionierte, es jedoch keine Auswirkung (OTP war optional) bei der Anmeldung hatte. In der Doku hab ich dann gesehen, dass der Fallback ausgeschaltet werden muss.

Gruss,
GOCE
Logged

franco

  • Administrator
  • Hero Member
  • *****
  • Posts: 17661
  • Karma: 1611
    • View Profile
Re: TOTP Server
« Reply #5 on: October 28, 2017, 03:38:37 pm »
Hi GOCE,

Quote from: GOCE on October 28, 2017, 11:54:59 am
hatte viel um die Ohren, aber jetzt komme ich wieder zu dem Thema :-). Nach meiner Erfahrung in den letzten Tagen kann man sich auch mit dem TOTP Server aussperren, wenn der Service aus irgend einem Grund nicht richtig startet. Hatte zum Glueck SSH mit pubkey Auth aktiv und konnte so alle Services neustarten lassen.

Der einzige Weg sich auszusperren ist dass NTP nicht mehr läuft oder synchronisiert (kein Netz). Es gibt keinen Service, weil es nur eine mathematische Formel ist. Das hat seine eigenen Vorteile und Nachteile.

Quote from: GOCE on October 28, 2017, 11:54:59 am
Wie waere es mit der Moeglichkeit das auth Backend pro Service konfigurieren zu koennen? So moechte ich vielleicht den TOTP Server fuer Web Logins oder VPN, jedoch nicht fuer serielle oder lokale logins.

Ist doch schon so: pro OpenVPN server, Captive Portal Zone, IPsec Mobile Clients, Web Proxy. Die Auth-Server im System Setup sind für Funktionen aus dem System selbst: GUI, Login, SSH, Sudo, VMware. Man kann aber auch alles abschalten ausser GUI: System: Settings: Administration, dann "[ x ] Disable integrated authentication" und hat das alte pfSense Verhalten von *nur* GUI und der Rest des Systems läuft wieder mit Standard-UNIX-Passwort.

Quote from: GOCE on October 28, 2017, 11:54:59 am
Wie waere es uebrigens auch System: Access: Tester nach System: Access: Settings zu packen? Das ist besonders interessant wenn auch der Fallback mitgetestet werden wuerde, falls er aktiv ist. Fand es verwirrend das der Test mit System: Access: Tester fuer den TOTP Server funktionierte, es jedoch keine Auswirkung (OTP war optional) bei der Anmeldung hatte. In der Doku hab ich dann gesehen, dass der Fallback ausgeschaltet werden muss.

Der Tester ist für einzelne Methoden. Für einen integrierten Test gibt es diesen Konsolen-Tester:

# opnsense-auth-test -u foobar
Password:
User foobar successfully authenticated for service opnsense-auth-test

Dafür gibt es keine GUI, aber wer Lust hat diese zu bauen nur zu, auch dafür wurde das Tool konzipiert. :)


Grüsse
Franco
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • TOTP Server
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2