kal10bach
Goto Top

2 faktor authentifizierung windows domäne nur bestimmte benutzer

hallo,

ein kunde von uns hat von seinen auftraggebern die 2 faktor authentifizierung als must-have vorgeschrieben bekommen.

da das aber aus organisatorisch-technisch-menschlichen gründen nicht bei allen benutzern sinnvoll realisierbar ist, suchen wir nach einer option, die 2fa nur für bestimmen user bzw. besser -> sicherheitsgruppen der domäne einzusetzen.

daß die NICHT davon erfaßten user natürlich keinen zugriff auf die relevanten daten ahben dürfen, versteht sich von selbst.

danke

georg

Content-Key: 312739

Url: https://administrator.de/contentid/312739

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Kraemer
Kraemer 16.08.2016 um 11:56:17 Uhr
Goto Top
Moin,

schöne Geschichte.

Hast du auch irgendeine Frage samt passenden Informationen?

Gruß Krämer
Mitglied: GuentherH
GuentherH 16.08.2016 um 12:02:44 Uhr
Goto Top
Schau dir dieses Produkt an - http://www.safenet-inc.de/

LG Günther
Mitglied: opalka
opalka 16.08.2016 um 12:04:37 Uhr
Goto Top
Hallo,

schau Dir mal Yubikey an (https://www.yubico.com). Da wird das ganze über Sicherheitsgruppen realisiert, so dass auch User ohne 2F sich anmelden können.

Gruß
Mitglied: Dani
Lösung Dani 16.08.2016 um 14:59:29 Uhr
Goto Top
Moin,
schau dir Authentication System privacyIDEA in Ruhe an. Nutzen wir bereits für 2FA für SSL-VPN.


Gruß,
Dani
Mitglied: cornelinux
Lösung cornelinux 16.08.2016 um 18:01:36 Uhr
Goto Top
Gleich mal Disclaimer: Ich habe meine Finger ganz tief im privacyIDEA stecken. Sprich - kommt zum großen Teil aus meiner Feder.

Das interessante an privacyIDEA gegenüber Yubikey (so super-geil ich Yubikey finde) und SafeNet (so geeignet das SAM für viele Szenarien ist) ist:
Es kommt eben nicht von einem Hersteller, der Dir versucht, Tokenhardware zu verkaufen. Ergo: Du kannst privacyIDEA mit allen möglichen Tokentypen verwenden. Und zwar parallel.

D.h. @kal10bach, wenn Du sagst, dass für manche Benutzer, 2FA zu kompliziert ist, kannst Du manchen Benutzer nur ein Passwort, anderen Benutzern eine Smartphone-App, den nächsten eine Smartdisplayer-OTP-Karte (die sind geil, passen als Check-Karte ins Portemonnaie) und den nächsten Yubikeys geben. Hier kannst Du Authentisierungsrichtlinien auch nach Tokentyp definieren. D.h. an machen IPs dürfen sich nur die Admins anmelden, wenn sie einen Yubikey haben - so als Beispiel...

Schönen Gruß
Cornelius
Mitglied: kal10bach
kal10bach 16.08.2016 um 18:07:52 Uhr
Goto Top
hallo cornelius,
danke (auch den anderen konstruktiven antwortern) für die info.

genau so etwas habe ich gesucht.
mal etwas reinvertiefen.

georg
Mitglied: cornelinux
cornelinux 16.08.2016 um 19:07:33 Uhr
Goto Top
Hallo Georg,

jenachdem wie Du drauf bist und wo Du wohnst:
Am Wochenende ist die FrOSCon (https://www.froscon.de/startseite/). Alles live und in Farbe.
Inklusive eines entsprechenden Vortrags face-wink
https://programm.froscon.de/2016/events/1749.html

Oder dem vom letzten Jahr face-wink
https://www.youtube.com/watch?v=OUScGpQtnno

Schönen Gruß
Cornelius