Diese Anleitung beschreibt, wie Sie die zeitbasierte Zwei-Faktor-Authentifizierung (TOTP) für Benutzer der Lobster Data Platform konfigurieren. Am Ende haben Sie einen TOTP-Handler in der Serverkonfiguration aktiviert, ein Authenticator-Gerät für einen Benutzer registriert und den Login-Prozess mit 2FA verifiziert. Der hier beschriebene Weg läuft ohne Ereignisbehandlungen und ist daher schnell eingerichtet.
Nach Abschluss haben Sie:
einen TOTP-Handler in
auth.xmlaktiviertein Authenticator-Gerät für einen Benutzer registriert
einen 2FA-Login erfolgreich verifiziert
Möchten Sie die 2FA über Ereignisbehandlungen umsetzen? Sehen Sie sich den Artikel Zwei-Faktor-Authentifizierung (Konzept) an.
Versionshinweis
Dieser einfachere Aktivierungsweg ist ab Version 25.0.5 der Lobster Data Platform verfügbar.
Voraussetzungen (2FA)
Zugriff auf das Dateisystem des Lobster-Servers (SSH oder direkt)
Administratorzugang zur Lobster Data Platform mit Super-User-Rolle
Eine TOTP-Authenticator-App auf einem Mobilgerät (z. B. Google Authenticator)
Lobster Data Platform Version 25.0.5 oder höher
TOTP-Handler eintragen
Die 2FA-Konfiguration erfolgt aktuell in der XML-Datei $HUB_HOME/etc/auth.xml.
Öffnen Sie die Datei mit einem Texteditor:
nano $HUB_HOME/etc/auth.xmlACHTUNG
In älteren Versionen sollte zunächst das mitgelieferte Template in der Datei
auth.xmlverworfen werden.Es enthält ungültige
//-Kommentare. In XML ist die Verwendung derartiger Syntax nicht zulässig und führt zu Startfehlern.Die Beschriftung
passwortLängeist irreführend. Es handelt sich hierbei vielmehr um die Länge des Tokens, und nicht die des Passworts.
Verwenden Sie daher nicht das Default-Template als Vorlage, sondern kopieren und nutzen Sie stattdessen den nachfolgend gezeigten Call.
Fügen Sie den folgenden Block ein:
<Call name="addTFAHandler"> <Arg>com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler</Arg> <Call name="addDeviceTemplate"> <Arg>YourHandlerName</Arg> <!-- TOTP handler name --> <Arg>10</Arg> <!-- max login attempts --> <Arg>30</Arg> <!-- token interval in seconds (default is 30) --> <Arg>6</Arg> <!-- token length (should be 6) --> <Arg>HmacSHA512</Arg> <!-- token hash algorithm --> </Call> </Call>Speichern Sie die Datei.
Bedeutung der Parameter (in dieser Reihenfolge):
YourHandlerName: frei wählbarer Name des TOTP-Handlers. Er erscheint in der Oberfläche als Beschriftung des Registrierungs-Buttons. Wählen Sie einen aussagekräftigen Namen für Ihre Installation10: maximale Anzahl der Login-Versuche.30: Token-Intervall in Sekunden. Standardwert ist 30.6: Token-Länge. Muss 6 sein. TOTP-Token sind in allen gängigen Apps sechsstellig.HmacSHA512: Hash-Algorithmus zur Token-Erzeugung. Empfehlung für aktuelle Installationen.
Lobster-Dienst neu starten
Damit die Änderungen wirksam werden, muss der Lobster-Dienst neu gestartet werden.
Starten Sie den Lobster-Dienst neu, z. B.:
systemctl restart lobsterHINWEIS : Ab Release 26.2 ausschließlich über den Application Wrapper.
Warten Sie, bis der Dienst vollständig gestartet ist.
Authenticator-Gerät für den eigenen Benutzer registrieren
Nach dem Neustart erscheint im Benutzermenü ein neuer Button.
Klicken Sie oben rechts auf Ihren Benutzernamen. Wählen Sie Zwei-Faktor > [YourHandlerName] registrieren.

Der Dialog Gerät registrieren wird geladen. Er enthält:
einen QR-Code
den zugehörigen Shared Key
die App-URL

Öffnen Sie auf Ihrem Mobilgerät die Authenticator-App.
Wählen Sie dort Neues Konto hinzufügen > QR-Code scannen.
Scannen Sie den QR-Code.
Alternativ können Sie den Shared Key manuell in die App eingeben.
Die App zeigt nun einen sechsstelligen Code an.
Geben Sie diesen in das Pflichtfeld code* ein.
Klicken Sie auf Registrieren.
Bei erfolgreicher Registrierung wechselt der Button zu [YourHandlerName] deregistrieren. Damit ist das Gerät korrekt verknüpft.
Login: 2FA-Verifikation
Melden Sie sich über Abmelden ab.
Melden Sie sich erneut mit ihrem regulären Benutzernamen und Passwort an.
Nach der Passworteingabe erscheint die Maske 2FA-Verifikation mit dem Hinweistext "Bitte geben Sie Ihren Code ein".
Öffnen Sie die Authenticator-App.
Lesen Sie den aktuellen sechsstelligen Code ab.
Geben Sie den Code in das Eingabefeld ein.

Bestätigen Sie mit Anmelden.
Nach erfolgreicher Eingabe sind Sie eingeloggt und 2FA ist für Ihren Benutzer aktiv.
2FA für andere Benutzer registrieren (als Administrator)
Ab Version 25.05 der Lobster Data Platform können Administratoren 2FA-Geräte direkt aus der Benutzerübersicht heraus registrieren.
Klicken Sie Verwaltung > Konten > Benutzer.
Wählen Sie den gewünschten Benutzer aus der Liste.
Klicken Sie in der Werkzeugleiste auf [YourHandlerName] registrieren.

Es öffnet sich derselbe QR-Code-Dialog wie im Abschnitt Authenticator-Gerät für den eigenen Benutzer registrieren.
Übergeben Sie dem Benutzer den QR-Code oder den Shared Key.
Der Benutzer scannt den Code mit seiner Authenticator-App und nennt Ihnen den sechsstelligen Code.
Geben Sie den Code im Feld code* ein.
Klicken Sie auf Registrieren.
Authenticator-Gerät deregistrieren
Als Benutzer:
Klicken Sie oben rechts auf Ihren Benutzernamen. Wählen Sie Zwei-Faktor > [YourHandlerName] deregistrieren.

Als Administrator:
Klicken Sie Verwaltung > Konten > Benutzer.
Wählen Sie den gewünschten Benutzer aus der Liste.
Klicken Sie in der Werkzeugleiste auf [YourHandlerName] deregistrieren.
Nach der Deregistrierung ist die 2FA-Verifikation für den Benutzer inaktiv. Eine erneute Registrierung für 2FA bleibt möglich.
Bekannte Einschränkungen
Microsoft Authenticator
HINWEIS
Microsoft’s App unterstützt nur SHA-1. Setzen Sie in diesem Fall
HmacSHA1als Hash-Algorithmus. Für alle anderen gängigen Authenticator-Apps ist die EmpfehlungHmacSHA256oderHmacSHA512.
Zwei Optionen:
Verwenden Sie
HmacSHA1in der Konfiguration.Empfehlen Sie betroffenen Benutzern eine andere Authenticator-App (z. B. Google Authenticator).
Konfiguration nur über XML-Datei
Diese Art der Konfiguration ist derzeit ausschließlich über auth.xml möglich. Ein Dienstneustart ist erforderlich. Eine UI-basierte Konfiguration ist für die nahe Zukunft geplant.
Selbst-Deregistrierung durch Benutzer
Benutzer können ihren eigenen 2FA-Handler im Profilmenü deregistrieren.
Aktuell ist es nur durch entsprechend konfigurierte Ereignisbehandlungen möglich, dies zu verhindern.