privacyIDEA LDAP Proxy


privacyIDEA ist das Open Source System wenn es um die zentrale Verwaltung von Zwei-Faktor-Authentifizierung geht. Es können nicht nur klassische OTP-Token, SMS, OTP-Karten, Yubikeys und U2F-Geräte verwaltet werden, sondern auch SSH-Keys und Benutzerzertifikate.

Eine Applikation um die Anmeldung mit einem zweiten Faktor zu erweitern bedeutete stets, diese Applikation an das zentrale 2FA-Authentifizierungs-System privacyIDEA anzubinden. Im Falle von VPNs kann das über das Standard-Protokoll RADIUS erfolgen. Moderne Web-Applikationen lassen sich bspw. über SAML anbinden. Ansonsten waren jeweils Plugins nötig. Der privacyIDEA LDAP Proxy ermöglicht es nun, beliebige Applikationen, die die Benutzer über LDAP authentifizieren, um die Anmeldung mit einem zweiten Faktor zu erweitern. Hierzu agiert der privacyIDEA LDAP Proxy als Broker zwischen den Applikationen, privacyIDEA und dem eigentlichen LDAP Server. Für die Applikationen sieht er so aus, wie ein LDAP Server. Der privacyIDEA LDAP Proxy verifiziert die Bind-Requests mit den zwei Faktoren für die Applikation transparent gegen den privacyIDEA Authentication Server. Somit kann die Verwaltung der zweiten Faktoren und die Authentifizierung mit diesen zweiten Faktoren weiterhin zentral umgesetzt werden. Ein privacyIDEA Server und ein LDAP Proxy im eigenen Netzwerk erlauben so, nach und nach jegliche Applikationen mit einer 2-Faktor-Anmeldung abzusichern.

Am Freitag, 15.09. wird Cornelius Kölbel um 15 Uhr hierzu einen Vortrag halten und zeigen, was mit dem privacyIDEA LDAP Proxy alles möglich ist.

Weiterführende Links