2 Factor Auth (privacyIDEA) schlägt fehl

german

#1

Hallo!

Ich versuche, die 2 Factor Auth mittels PrivacyIDEA zu konfigurieren, komme aber nicht weiter.

Was ich gemacht habe, wie in netknights.it/zwei-faktor-authe … t-console/ (was ich lange gesucht habe :slight_smile: beschrieben

  • privacyIDEA auf dem momentan einen Server installiert
  • Als Administrator@admin an server/privacyidea/ angemeldet
  • einen Token für Administrator im Realm subdomain.domain.de erstellt
  • mit dem Google Authenticator den Barcode gescannt, “Token testen” meldet bei Eingabe der Pin+des OTP auch “Erfolgreich authentisiert”
  • eine Richtlinie mit “passthru” erstellt
  • privayIDEA PAM installiert und mittels

ucr set privacyidea/pam/url=https://FQDN/privacyidea ucr set auth/umc/addon/privacyidea=true
aktiviert

Nach der Eingabe von Username (“Administrator”) und LDAP Passwort folgt nun auch ein Screen zur EIngabe des OTP (hier wäre hilfreich wenn der Focus auf dem Eingabefeld läge).
Nach Eingabe des vom Authenticator generierten OTP lande ich allerdings wieder auf dem ersten Loginscreen mit der Meldung “Authentifizierungsfehler”.

Die Logs geben aus meiner Sicht nicht viel her:

[2016-01-26 17:26:50,883][7082][140459890407168][INFO][privacyidea.lib.user:188] user u'Administrator' found in resolver u'users' [2016-01-26 17:26:50,883][7082][140459890407168][INFO][privacyidea.lib.user:189] userid resolved to 'uid=Administrator,cn=users,dc=subdomain,dc=domain,dc=de'

Für jeden Tip dankbar,
Christian


#2

Hallo Christian,

ich empfehle einen Blick ins Audit Log.

…im WebUI ist das der Tab ganz rechts.
Mal nach action “validate/check” suchen. Dort gibt es mehr Infos.

Schönen Gruß
Cornelius


#3

Hallo Cornelius,
danke für die Antwort.

Habe nun “entdeckt” dass ich im Audit Log Fenster nach rechts scrollen muss um vollständige Einträge zu sehen, das hatte ich bisher übersehen :slight_smile:

Leider hilft mir dies auch nicht weiter, es wird dort vermeldet “wrong otp pin”.

Ein Token Test hatte aber ja funktioniert?!

Muss ich im Einmalpasswortfenster beim Loginvorgang den Pin dem OTP voranstellen? Bin davon ausgegangen, dass das automatisch passiert.

Danke,
Christian


#4

Das was im “OTP”-Fenster bei der Anmeldung am UCS eingegeben wird, wird in der Form ans privacyIDEA geschickt. Wenn der OTP-Token eine OTP PIN gesetzt hat, dann muss in das “OTP”-Fenster tatsächlich OTP-PIN + OTP-Wert eingegeben werden.

Es gibt diverse Möglichkeit mittels der Richtlinien das Verhalten anzupassen.
Da muss man sich mal überlegen, welches Verhalten man will.

Es gibt bspw. policies im scope=authentication mit der action: otppin.

Schönen Gruß
Cornelius