Ich berichtete neulich über die Installation und erste Tests von Keycloak. Nun bin ich tiefer eingetaucht und habe die diversen Möglichkeiten untersucht, die Authentifizierung mittels zweiten Faktors sicherer zu machen.

OTP

Man kann den Nutzern beim ersten Login in Keycloak diverse Actions zuordnen, die sie durchführen müssen - dazu gehören so grundlegende Dinge, wie sich erst einmal ein sicheres Passwort zu geben (Keycloak unterstützt Password Policies) oder sein Profil zu vervollständigen.

Die Benutzung ist für Administrator wie Anwender gleichfalls einfach: Der Administrator muss nichts tun, als die entsprechende Aktion für das initiale Login festzulegen und der Anwender bekommt nach dem erstmaligen erfolgreichen Login eine Seite präsentiert, die einen QR-Code präsentiert, der mit einer passenden App auf einem Smartphone gescannt werden kann. Unter dem QR-Code wird beispielsweise Googles Authenticator-App genannt - es funktionieren aber zum Beispiel auch FreeOTP" oder die von Yubi angebotene Alternative, bei der man - sofern man im Besitz eines NFC-fähigen Yubi-Sticks ist - den Code mittels Berührung des sticks mit der Rückseite des Smartphones erzeugen kann. Prinzipiell ist jede App geeignet, die RFC 6238 implementiert.

Fido

Versucht ein Nutzer nach dem erstmaligen Login dann seinen Fido-Stick zu registrieren, erlebt er eine Überraschung - Es funktioniert nicht. Der Administrator muss nämlich eine weitere wichtige Konfiguration anpassen - ich gebe hier nur einen Screenshot meiner Installation wider - Menschen, die ebenfalls FIDO-Authentifizierung anbieten möchten, müssen ihre entsprechend anpassen:

Bildbeschreibung

Danach funktioniert die Registrierung von Keys und selbstverständlich auch die Anwendung wie sie von anderen Seiten, die FIDO unterstützten - wie zum Beispiel Github - bekannt ist. Ich habe meine Keycloak-Instanz inzwischen über HTTPS abgesichtert - die Terminierung übernimmt Traefik:

version: '3.1'

services:
  keycloakserver:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloakserver
    hostname: keycloakserver
#    ports:
#      - 18080:8080
    restart: unless-stopped
    env_file:
      - environment.env
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.keycloakserver.rule=Host(`keycloakserver.docker.lab`)"
      - "traefik.http.services.keycloakserver.loadbalancer.server.port=8080"
      - "traefik.docker.network=traefik_proxy"
      - "traefik.http.routers.keycloakserver.tls=true"
    depends_on:
      - keycloakpostgres
    networks:
      - traefik_proxy
      - default
  keycloakpostgres:
    image: postgres
    container_name: keycloakpostgres
    restart: unless-stopped
    volumes:
      - ./postgres-data:/var/lib/postgresql/data
    env_file:
      - postgres.env
    networks:
      - default

networks:
  traefik_proxy:
    external:
      name: traefik_proxy

Artikel, die hierher verlinken

Kommentar hinzufügen (via ) Kommentare ansehen (via )

Kommentar hinzufügen (via ) Kommentare ansehen (via )