Vor allem die Definition von Rückgabewerten schafft deutlich mehr Flexibilität für Administratoren. Die Informationen für die Definition dieser Werte können dabei z.B. aus Attributen des Benutzers im Active Directory stammen. Über reguläre Ausdrücke können diese Attribute nochmals umgeformt werden, bevor sie über das RADIUS-Protokoll an die Firewall oder das VPN zurückgegeben werden. Solche personenbezogenen Attribute werden von VPN-Systemen wie Cisco ASA oder Citrix Netscaler oft verwendet, um den Benutzern gezielt Zugriff auf bestimmte Subnetze oder Netzwerkressourcen zu gewähren.
Unterstützung von VASCO Token
Auch wenn privacyIDEA vollständig Open Source ist, besteht in einzelnen Fällen die Notwendigkeit, mit proprietären Komponenten zu kommunizieren. Aus diesem Grund wurde in Version 2.22 die Unterstützung für proprietäre VASCO Token integriert. Auf diese Weise ist es einfacher, proprietäre VASCO Token und HOTP- bzw. TOTP-Token oder Yubikeys parallel zu betreiben, bevor langfristig eine Loslösung von proprietären Geräten erfolgen
kann.
SMS via SMPP
SMPP (Short Message Peer-to-Peer) ist ein Protokoll, das vor allem von Carriern und Mobilfunk-Providern genutzt wird. In privacyIDEA ist nun ein Modul enthalten, das SMS über SMPP versenden kann. Diese Versandart kann sowohl für SMS Token zur Authentifizierung als auch vom Event Handler für Benachrichtigungen verwendet werden.
Counter Handler zum flexiblen Monitoring
Das bereits sehr flexibile Event Handler Framework mit Token-Handler, Benachrichtigungs-Handler, Federation-Handler und Script-Handler wurde in Version 2.22 um einen Counter-Handler ergänzt. Dieser speichert beliebige Zähler in der Datenbank, die flexibel konfigurierte Ereignisse erfassen. So kann zum Beispiel ein Zähler fehlgeschlagene Authentifizierungsanfragen mit HOTP Tokentypen zählen. Diese Zähler können nun für jede beliebige Statistik und Auswertungen herangezogen werden.
Einführung von Tokenarten
privacyIDEA unterstützt viele verschiedene Tokentypen wie HOTP, TOTP, SMS, Email, Yubikey. Doch gerade bei HOTP fällt auf, dass hier manchmal die Unterscheidung schwer fällt zwischen einem HOTP-Token auf einem Smartphone und einem Hardware-Token am Schlüsselanhänger. Daher wurde mit privacyIDEA 2.22 die Tokenart eingeführt, die genau definiert, ob es sich um einen Hardware-Token, einen Software-Token oder einen virtuellen Token handelt.Diese Tokenart kann dann später für weitere Logiken genutzt werden. So ist zum Beispiel vorstellbar, dass lediglich verwaiste Software-Token aber keine Hardware-Token automatisiert aus der Datenbank gelöscht werden.
Viele Erweiterungen
privacyIDEA 2.22 kommt mit zahlreichen anderen Erweiterungen wie verbesserten Import und Export via PSKC, der Möglichkeit SMS und Email-Adressen zur Authentifizierung dynamisch aus dem Active Directory zu lesen.
Die Migration von LinOTP nach privacyIDEA wurde verbessert, so dass mit dem Migrationskript nun leicht mehrere zehntausend Token migriert werden können. Ebenfalls kann diese Migration genutzt werden, um die verschlüsselten Daten in der Datenbank umzuschlüsseln.
Email-Token können den Email-Text aus einem HTML-Template lesen und der LDAP-Resolver unterstützt beliebige Multivalue-Attribute.
Das komplette Changelog ist wie immer bei Github einzusehen.
Die Pakete der jetzt erschienen Version 2.22 sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.
Die privacyIDEA Enterprise Edition 2.22.1 wird wie gewohnt in wenigen Wochen erscheinen. Im April steht die Enterprise Edition dann auch in den Repositories für die Support-Kunden zur Verfügung.