Einrichten eines Benutzers

Um die Zwei-Faktor-Authentifizierung einzurichten, befolgen Sie bitte die folgenden Schritte:

1. Führen Sie die Datei "google-authenticator" aus, um einen neuen geheimen Schlüssel in Ihrem Home-Verzeichnis zu erstellen. Alle getätigten Einstellungen werden in der Datei ~/.google_authenticator gespeichert.

2. Nach Abschluss der Einrichtung sollte ein QR-Code angezeigt werden. Dieser QR-Code kann von den meisten Multi-Faktor-Authentifizierungs-Apps gescannt werden.

   1. Falls der QR-Code nicht angezeigt wird, haben Sie immer noch die Möglichkeit, den geheimen Schlüssel direkt in der App einzugeben

   2. Damit der QR-Code auch in der MT9750 angezeigt werden kann, müssen dort folgende Einstellungen vorgenommen werden:
      1. Konfiguration > Datensichtstation (DSS)... > DSS-Modus: Unicode, DSS-Typ: 9763
      2. Einstellungen >Schriftgröße > Schriftart mit "unterstützt String.Latin+ 1.2" wählen (z. B. 13x26)
      Nach dem Speichern der Einstellungen muss eine neue Verbindung zu BS2000 aufgebaut und folgendes Kommando eingegeben werden:
      /MODIFY-TERMINAL-OPTIONS CODED-CHARACTER-SET=UTFE
3. Es werden auch Backup-Codes generiert, welche unbedingt aufgeschrieben oder anderweitig gespeichert werden sollten. Diese sind nützlich, wenn Sie keinen Zugriff auf Ihre Authenticator-App haben.
4. Der "google-authenticator" fragt im Abschluss nach einem Token, um das Setup zu verifizieren.
5. Nach erfolgreichem Setup werden Sie beim SSH-Login aufgefordert, entweder Ihren TOTP-Code (zeitbasiertes Einmalpasswort) oder Ihren HOTP-Code (zählerbasiert) einzugeben.

Wenn Sie ein neues Gerät verbinden möchten, können Sie den bestehenden Schlüssel aus der Datei ~/.google_authenticator auslesen. Alternativ können Sie das Setup jederzeit erneut durchlaufen.

Ein Beispielaufruf kann wie folgt aussehen:

$ google-authenticator 

  
 Do you want authentication tokens to be time-based (y/n) y

 Your new secret key is: 3D3M4P3HI5D7FBUK6HKATSWVRQ
 Enter code from app (-1 to skip): 343720
 Code confirmed
 Your emergency scratch codes are:
   36875382
   56561142
   43213851
   70351999
   47162852
 
 Do you want me to update your "/home/USER/.google_authenticator" file? (y/n) y
 
 Do you want to disallow multiple uses of the same authentication
 token? This restricts you to one login about every 30s, but it increases
 your chances to notice or even prevent man-in-the-middle attacks (y/n) y
 
 By default, a new token is generated every 30 seconds by the mobile app.
 In order to compensate for possible time-skew between the client and the server,
 we allow an extra token before and after the current time. This allows for a
 time skew of up to 30 seconds between authentication server and client. If you
 experience problems with poor time synchronization, you can increase the window
 from its default size of 3 permitted codes (one previous code, the current
 code, the next code) to 17 permitted codes (the 8 previous codes, the current
 code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
 between client and server.
 Do you want to do so? (y/n) y
 
 If the computer that you are logging into isn't hardened against brute-force
 login attempts, you can enable rate-limiting for the authentication module.
 By default, this limits attackers to no more than 3 login attempts every 30s.
 Do you want to enable rate-limiting? (y/n) y

  

Die abgespeicherte ~/ .google_authenticator Datei beinhaltet dann folgende Optionen:

$ cat .google_authenticator 
3D3M4P3HI5D7FBUK6HKATSWVRQ
" RATE_LIMIT 3 30
" WINDOW_SIZE 17
" DISALLOW_REUSE
" TOTP_AUTH
36875382
56561142
43213851
70351999
47162852