Documentation Index

Fetch the complete documentation index at: https://docs.lobster-world.com/llms.txt

Use this file to discover all available pages before exploring further.

Zwei-Faktor-Authentifizierung über auth.xml aktivieren

Prev Next

Diese Anleitung beschreibt, wie Sie die zeitbasierte Zwei-Faktor-Authentifizierung (TOTP) für Benutzer der Lobster Data Platform konfigurieren. Am Ende haben Sie einen TOTP-Handler in der Serverkonfiguration aktiviert, ein Authenticator-Gerät für einen Benutzer registriert und den Login-Prozess mit 2FA verifiziert. Der hier beschriebene Weg läuft ohne Ereignisbehandlungen und ist daher schnell eingerichtet.

Nach Abschluss haben Sie:

  • einen TOTP-Handler in auth.xml aktiviert

  • ein Authenticator-Gerät für einen Benutzer registriert

  • einen 2FA-Login erfolgreich verifiziert

Möchten Sie die 2FA über Ereignisbehandlungen umsetzen? Sehen Sie sich den Artikel Zwei-Faktor-Authentifizierung (Konzept) an.

Versionshinweis

Dieser einfachere Aktivierungsweg ist ab Version 25.0.5 der Lobster Data Platform verfügbar.

Voraussetzungen (2FA)

  • Zugriff auf das Dateisystem des Lobster-Servers (SSH oder direkt)

  • Administratorzugang zur Lobster Data Platform mit Super-User-Rolle

  • Eine TOTP-Authenticator-App auf einem Mobilgerät (z. B. Google Authenticator)

  • Lobster Data Platform Version 25.0.5 oder höher

TOTP-Handler eintragen

Die 2FA-Konfiguration erfolgt aktuell in der XML-Datei $HUB_HOME/etc/auth.xml.

  1. Öffnen Sie die Datei mit einem Texteditor:

    nano $HUB_HOME/etc/auth.xml

     ACHTUNG 

    In älteren Versionen sollte zunächst das mitgelieferte Template in der Datei  auth.xml verworfen werden.

    • Es enthält ungültige //-Kommentare. In XML ist die Verwendung derartiger Syntax nicht zulässig und führt zu Startfehlern.

    • Die Beschriftung passwortLänge ist irreführend. Es handelt sich hierbei vielmehr um die Länge des Tokens, und nicht die des Passworts.

    Verwenden Sie daher nicht das Default-Template als Vorlage, sondern kopieren und nutzen Sie stattdessen den nachfolgend gezeigten Call.

  2. Fügen Sie den folgenden Block ein:

      <Call name="addTFAHandler">
        <Arg>com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler</Arg>
        <Call name="addDeviceTemplate">
          <Arg>YourHandlerName</Arg> <!-- TOTP handler name -->
          <Arg>10</Arg> <!-- max login attempts -->
          <Arg>30</Arg> <!-- token interval in seconds (default is 30) -->
          <Arg>6</Arg> <!-- token length (should be 6) -->
          <Arg>HmacSHA512</Arg> <!-- token hash algorithm -->
        </Call>
      </Call>
  3. Speichern Sie die Datei.

Bedeutung der Parameter (in dieser Reihenfolge):

  • YourHandlerName: frei wählbarer Name des TOTP-Handlers. Er erscheint in der Oberfläche als Beschriftung des Registrierungs-Buttons. Wählen Sie einen aussagekräftigen Namen für Ihre Installation

  • 10: maximale Anzahl der Login-Versuche.

  • 30: Token-Intervall in Sekunden. Standardwert ist 30.

  • 6: Token-Länge. Muss 6 sein. TOTP-Token sind in allen gängigen Apps sechsstellig.

  • HmacSHA512: Hash-Algorithmus zur Token-Erzeugung. Empfehlung für aktuelle Installationen.

Lobster-Dienst neu starten

Damit die Änderungen wirksam werden, muss der Lobster-Dienst neu gestartet werden.

  1. Starten Sie den Lobster-Dienst neu, z. B.:

    systemctl restart lobster

     HINWEIS : Ab Release 26.2 ausschließlich über den Application Wrapper.

  2. Warten Sie, bis der Dienst vollständig gestartet ist.

Authenticator-Gerät für den eigenen Benutzer registrieren

Nach dem Neustart erscheint im Benutzermenü ein neuer Button.

  1. Klicken Sie oben rechts auf Ihren Benutzernamen. Wählen Sie Zwei-Faktor > [YourHandlerName] registrieren.

    User interface showing settings options including two-factor authentication and language change.

Der Dialog Gerät registrieren wird geladen. Er enthält:

  • einen QR-Code

  • den zugehörigen Shared Key

  • die App-URL

Registration interface displaying a QR code and input fields for shared key and code.

  1. Öffnen Sie auf Ihrem Mobilgerät die Authenticator-App.

  2. Wählen Sie dort Neues Konto hinzufügen > QR-Code scannen.

  3. Scannen Sie den QR-Code.

    Alternativ können Sie den Shared Key manuell in die App eingeben.

  4. Die App zeigt nun einen sechsstelligen Code an.

  5. Geben Sie diesen in das Pflichtfeld code* ein.

  6. Klicken Sie auf Registrieren.

Bei erfolgreicher Registrierung wechselt der Button zu [YourHandlerName] deregistrieren. Damit ist das Gerät korrekt verknüpft.

Login: 2FA-Verifikation

  1. Melden Sie sich über Abmelden ab.

  2. Melden Sie sich erneut mit ihrem regulären Benutzernamen und Passwort an.

    Nach der Passworteingabe erscheint die Maske 2FA-Verifikation mit dem Hinweistext "Bitte geben Sie Ihren Code ein".

  3. Öffnen Sie die Authenticator-App.

  4. Lesen Sie den aktuellen sechsstelligen Code ab.

  5. Geben Sie den Code in das Eingabefeld ein.

    Login screen for two-factor authentication, prompting for a verification code.

  6. Bestätigen Sie mit Anmelden.

Nach erfolgreicher Eingabe sind Sie eingeloggt und 2FA ist für Ihren Benutzer aktiv.

2FA für andere Benutzer registrieren (als Administrator)

Ab Version 25.05 der Lobster Data Platform können Administratoren 2FA-Geräte direkt aus der Benutzerübersicht heraus registrieren.

  1. Klicken Sie Verwaltung > Konten > Benutzer.

  2. Wählen Sie den gewünschten Benutzer aus der Liste.

  3. Klicken Sie in der Werkzeugleiste auf [YourHandlerName] registrieren.

    Button to register your handler name with various action icons displayed above.

    Es öffnet sich derselbe QR-Code-Dialog wie im Abschnitt Authenticator-Gerät für den eigenen Benutzer registrieren.

  4. Übergeben Sie dem Benutzer den QR-Code oder den Shared Key.

    Der Benutzer scannt den Code mit seiner Authenticator-App und nennt Ihnen den sechsstelligen Code.

  5. Geben Sie den Code im Feld code* ein.

  6. Klicken Sie auf Registrieren.

Authenticator-Gerät deregistrieren

Als Benutzer:

  1. Klicken Sie oben rechts auf Ihren Benutzernamen. Wählen Sie Zwei-Faktor > [YourHandlerName] deregistrieren.

    User settings menu displaying options like two-factor authentication and language change.

Als Administrator:

  1. Klicken Sie Verwaltung > Konten > Benutzer.

  2. Wählen Sie den gewünschten Benutzer aus der Liste.

  3. Klicken Sie in der Werkzeugleiste auf [YourHandlerName] deregistrieren.

Nach der Deregistrierung ist die 2FA-Verifikation für den Benutzer inaktiv. Eine erneute Registrierung für 2FA bleibt möglich.

Bekannte Einschränkungen

Microsoft Authenticator

 HINWEIS

Microsoft’s App unterstützt nur SHA-1. Setzen Sie in diesem Fall HmacSHA1 als Hash-Algorithmus. Für alle anderen gängigen Authenticator-Apps ist die Empfehlung  HmacSHA256 oder HmacSHA512.

Zwei Optionen:

  • Verwenden Sie HmacSHA1 in der Konfiguration.

  • Empfehlen Sie betroffenen Benutzern eine andere Authenticator-App (z. B. Google Authenticator).

Konfiguration nur über XML-Datei

Diese Art der Konfiguration ist derzeit ausschließlich über auth.xml möglich. Ein Dienstneustart ist erforderlich. Eine UI-basierte Konfiguration ist für die nahe Zukunft geplant.

Selbst-Deregistrierung durch Benutzer

Benutzer können ihren eigenen 2FA-Handler im Profilmenü deregistrieren.

Aktuell ist es nur durch entsprechend konfigurierte Ereignisbehandlungen möglich, dies zu verhindern.

Verwandte Artikel