delpiero
Goto Top

Netscaler OTP

Hallo zusammen

Ich würde gerne beim Netscaler Gateway zusätzlich zur Username/PW abfrage ein OTP (One-Time-Password) per E-Mail versenden.
Ich habe nur Anleitungen gefunden, bei der man SMS-Versenden kann über einen Radius.

Gibt es eine Möglichkeit OTP per E-Mail zu versenden am liebsten ohne Einsatz von einem Radius-Server? Notfalls geht auch mit.

Besten Dank

Gruss Del Piero

Content-ID: 288420

Url: https://administrator.de/contentid/288420

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

Dani
Dani 14.11.2015 um 18:57:43 Uhr
Goto Top
Moin,
soweit ich weiß bietet Netscaler Gateway keinerlei OTP out of the box. Sprich du greifst eigentlich auf OTP-Produkte wie Safent oder Vasco zurück. Dies impliziert auch automatisch einen Radius-Server. Ob das OTP via E-Mail verschickt werden kann, hängt somit von der Software ab. Ich würde aber jeden Fall schauen, dass du entweder auf Smartphone Apps oder Hardware-Tokens zurückgreifst. E-Mail halte ich persönlich eher für unsicher, da viele User in Kontakten oder Notizen sogar Kennwörter ablegen und somit ein Angreifer nur das Postfach brauch, um sich Zuritt zu verschaffen.


Gruß,
Dani
DelPiero
DelPiero 14.11.2015 um 19:43:43 Uhr
Goto Top
Hallo

Danke für die schnelle Antwort.
Kannst du mir eins von den genannten Produkten empfehlen?
cornelinux
cornelinux 15.11.2015 um 08:02:27 Uhr
Goto Top
Hallo,

ich habe in der Vergangenheit sehr viele Jahre viele Installationen mit dem Produkt von SafeNet (SafeNet Authentication Manager) hochgezogen.
Bisweilen ist es etwas hakelig, es zu installieren und zu konfigurieren. Es hat aber viele Möglichkeiten und wenn es läuft, ist es prima.
Wenn Du nicht nur OTP sondern auch Smartcards machen möchtest, wäre es Stand heute meine erste Wahl.
Allerdings werden nur noch bugs gefixt und es sieht so aus, dass es in einigen Jahren zugunsten anderer Produkte in dem Bauchladen Gemalto wohl abgekündigt werden wird.

Vasco würde ich nicht nehmen, da die auf einen proprietären Algorithmus setzen.

Sowohl Vasco und SafeNet wollen natürlich ihre Token verkaufen. D.h. Du kannst leicht deren eigene Token nutzen. Fremdtoken nicht. Wenn Du also irgendwann mal keinen eToken Pass mehr für 30 Euro kaufen möchtest, sondern einen billigen Feitian Token für 10 - dann musst Du tricksen.
Außerdem ist von der Lizenzierung her alles ein Token. Auch eine SMS oder eine Email.

Ich lade Dich ein, Dir auch nochmal mein Projekt privacyIDEA anzuschauen, in das alle Erfahrungen eingeflossen sind. Es läuft auf Linux. Doch es lässt sich aber über einen AD-Connector und das RADIUS-Protokoll problemlos in die Windows-Welt integrieren. (Es gibt bei Bedarf auch einen Credential Provider)
Man kann es mit den Hardware-Token beliebiger Hersteller verwenden. D.h. man kann auch später leicht auf andere Token-Typen schwenken oder sofort Parallel-Betrieb fahren. Es ist Open Source. Wenn man dafür Enterprise-Support benötigt, so bekommt man den auch unabhängig von der Anzahl der verwendeten Token.

Schönen Gruß
Cornelius