7
2 faktor authentifizierung windows domäne nur bestimmte benutzer
hallo,
ein kunde von uns hat von seinen auftraggebern die 2 faktor authentifizierung als must-have vorgeschrieben bekommen.
da das aber aus organisatorisch-technisch-menschlichen gründen nicht bei allen benutzern sinnvoll realisierbar ist, suchen wir nach einer option, die 2fa nur für bestimmen user bzw. besser -> sicherheitsgruppen der domäne einzusetzen.
daß die NICHT davon erfaßten user natürlich keinen zugriff auf die relevanten daten ahben dürfen, versteht sich von selbst.
danke
georg
ein kunde von uns hat von seinen auftraggebern die 2 faktor authentifizierung als must-have vorgeschrieben bekommen.
da das aber aus organisatorisch-technisch-menschlichen gründen nicht bei allen benutzern sinnvoll realisierbar ist, suchen wir nach einer option, die 2fa nur für bestimmen user bzw. besser -> sicherheitsgruppen der domäne einzusetzen.
daß die NICHT davon erfaßten user natürlich keinen zugriff auf die relevanten daten ahben dürfen, versteht sich von selbst.
danke
georg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312739
Url: https://administrator.de/contentid/312739
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
schöne Geschichte.
Hast du auch irgendeine Frage samt passenden Informationen?
Gruß Krämer
schöne Geschichte.
Hast du auch irgendeine Frage samt passenden Informationen?
Gruß Krämer
Hallo,
schau Dir mal Yubikey an (https://www.yubico.com). Da wird das ganze über Sicherheitsgruppen realisiert, so dass auch User ohne 2F sich anmelden können.
Gruß
schau Dir mal Yubikey an (https://www.yubico.com). Da wird das ganze über Sicherheitsgruppen realisiert, so dass auch User ohne 2F sich anmelden können.
Gruß
Moin,
schau dir Authentication System privacyIDEA in Ruhe an. Nutzen wir bereits für 2FA für SSL-VPN.
Gruß,
Dani
schau dir Authentication System privacyIDEA in Ruhe an. Nutzen wir bereits für 2FA für SSL-VPN.
Gruß,
Dani
Gleich mal Disclaimer: Ich habe meine Finger ganz tief im privacyIDEA stecken. Sprich - kommt zum großen Teil aus meiner Feder.
Das interessante an privacyIDEA gegenüber Yubikey (so super-geil ich Yubikey finde) und SafeNet (so geeignet das SAM für viele Szenarien ist) ist:
Es kommt eben nicht von einem Hersteller, der Dir versucht, Tokenhardware zu verkaufen. Ergo: Du kannst privacyIDEA mit allen möglichen Tokentypen verwenden. Und zwar parallel.
D.h. @kal10bach, wenn Du sagst, dass für manche Benutzer, 2FA zu kompliziert ist, kannst Du manchen Benutzer nur ein Passwort, anderen Benutzern eine Smartphone-App, den nächsten eine Smartdisplayer-OTP-Karte (die sind geil, passen als Check-Karte ins Portemonnaie) und den nächsten Yubikeys geben. Hier kannst Du Authentisierungsrichtlinien auch nach Tokentyp definieren. D.h. an machen IPs dürfen sich nur die Admins anmelden, wenn sie einen Yubikey haben - so als Beispiel...
Schönen Gruß
Cornelius
Das interessante an privacyIDEA gegenüber Yubikey (so super-geil ich Yubikey finde) und SafeNet (so geeignet das SAM für viele Szenarien ist) ist:
Es kommt eben nicht von einem Hersteller, der Dir versucht, Tokenhardware zu verkaufen. Ergo: Du kannst privacyIDEA mit allen möglichen Tokentypen verwenden. Und zwar parallel.
D.h. @kal10bach, wenn Du sagst, dass für manche Benutzer, 2FA zu kompliziert ist, kannst Du manchen Benutzer nur ein Passwort, anderen Benutzern eine Smartphone-App, den nächsten eine Smartdisplayer-OTP-Karte (die sind geil, passen als Check-Karte ins Portemonnaie) und den nächsten Yubikeys geben. Hier kannst Du Authentisierungsrichtlinien auch nach Tokentyp definieren. D.h. an machen IPs dürfen sich nur die Admins anmelden, wenn sie einen Yubikey haben - so als Beispiel...
Schönen Gruß
Cornelius
hallo cornelius,
danke (auch den anderen konstruktiven antwortern) für die info.
genau so etwas habe ich gesucht.
mal etwas reinvertiefen.
georg
danke (auch den anderen konstruktiven antwortern) für die info.
genau so etwas habe ich gesucht.
mal etwas reinvertiefen.
georg
Hallo Georg,
jenachdem wie Du drauf bist und wo Du wohnst:
Am Wochenende ist die FrOSCon (https://www.froscon.de/startseite/). Alles live und in Farbe.
Inklusive eines entsprechenden Vortrags
https://programm.froscon.de/2016/events/1749.html
Oder dem vom letzten Jahr
https://www.youtube.com/watch?v=OUScGpQtnno
Schönen Gruß
Cornelius
jenachdem wie Du drauf bist und wo Du wohnst:
Am Wochenende ist die FrOSCon (https://www.froscon.de/startseite/). Alles live und in Farbe.
Inklusive eines entsprechenden Vortrags
https://programm.froscon.de/2016/events/1749.html
Oder dem vom letzten Jahr
https://www.youtube.com/watch?v=OUScGpQtnno
Schönen Gruß
Cornelius
