flashover
Goto Top

TwoFactor Auth via TOTP (Google Auth z.B.) für RDP oder IIS Zugriff

Hallo zusammen.
Eine Zwei-Faktor Authentifizierung gehört heute zum Standard, ich denke da sind wir uns einig. In Linux nutzten wir vermehrt einfach Google Auth was lokal auf dem jeweiligen Server laufen kann und als PAM Modul bereitsteht. Kostet nix und tut was es soll.

Nun suche ich nach einer Möglichkeit, mehr oder weniger das Gleiche für Windows Server (RDP Zugriff, FTP via IIS, WebDav) zu ermöglichen, ohne den Overhead über einen RSA SecurID oder ähnliche größere kommerzielle Lösungen. Es sollte direkt auf dem Server laufen und den Login um einen weiteren Faktor erweitern (Bevorzugt TOTP). Kann jemand eine Lösung empfehlen welche sich vernünftig in Windows integriert (2012er und 2016er Server)?

Wie gesagt wäre TOTP bevorzugt da es sich um einzelne Server handelt in einer Umgebung, die keine PKI oder Ähnliches bereitstellt.
Die Lösungen von RSA, CA, Gemalto und Co. kenne ich, aber das ist zu viel Overhead.

Freue mich auf Anregungen und Erfahrungen.

Content-ID: 350553

Url: https://administrator.de/contentid/350553

Ausgedruckt am: 25.11.2024 um 23:11 Uhr

StefanKittel
StefanKittel 30.09.2017 um 20:53:36 Uhr
Goto Top
Hallo,

ich hatte gerade für 2-3 sehr kleine Kunden (<10MA) gesucht.
Ich bin bei saaspass und duo hängen geblieben.

Stefan
agowa338
agowa338 01.10.2017 aktualisiert um 07:33:15 Uhr
Goto Top
Dani
Dani 01.10.2017 um 10:54:28 Uhr
Goto Top
Moin,
Für MFA brauchst du einen AD FS Server.
mit einem ADFS-Server ist es nicht getan. Je nachdem ist ein weiterer Server mit der Rolle "Web Application Proxy" und ein Server mit dem Active Directory erforderlich. Je nachdem noch diverse SSL-Zertifikate für eine sichere Kommunikation.


Gruß,
Dani
Tezzla
Lösung Tezzla 01.10.2017 um 17:28:56 Uhr
Goto Top
Moin,

wir haben ESET Secure Authentification im Einsatz, ist aber nicht kostenlos.

Läuft bei uns über eine AD Integration mit App oder SMS Versand. Kann flexibel nicht nur für RDP eingesetzt werden. Funktioniert auch, wenn die Workstation offline ist, falls notwendig.

Viele Grüße
T
FlashOver
FlashOver 02.10.2017 um 19:37:22 Uhr
Goto Top
DUO kannte ich, saaspass noch nicht. Daß ESET sowas bietet ist mir auch neu. Wichtig daß das auch funktioniert, ohne daß der Server Zugriff zum Internet hat. Da muß ich bei saaspass und DUO mal genauer kucken oder mal anrufen. Bei ESET soll es gehen.

Die Microsoft eigene Lösung über ADFS etc sieht gut aus, ist in der Umgebung aber leider zu viel Overhead. Ist wirklich nur ein einzelner Server in der Zone der so weit wie möglich von Allem getrennt ist. Da ist kein AD und nichts.
StefanKittel
Lösung StefanKittel 02.10.2017 um 23:16:21 Uhr
Goto Top
Hallo,

ESET
https://www.eset.com/de/business/endpoint-security/two-factor-authentica ...

Das mit saaspass funktioniert ganz gut.
Sowohl mit als auch ohne AD und für den ganzen Zugriff oder nur RDP.
Die Anmeldung funktioniert auch ohne Online-Anbindung auf dem PC.

Stefan
FlashOver
FlashOver 03.10.2017 um 10:41:11 Uhr
Goto Top
Prima. Dann werde ich das mal in Ruhe ausprobieren.
Vielen dank für den Erfahrungsaustausch.