Test - LSE LinOTP A 150 Identity-Access-Lösung

Installation und Bedienung

Für unseren Test hat uns LSE ein Starter-Kit, bestehend aus der Appliance LinOTP-A-150 und fünf Token von Safenet, zur Verfügung gestellt. Im ersten Installationsschritt muss der Anwender eine Basiskonfiguration durchführen. Hierzu ist die Appliance erst direkt an einen Client anzuschließen. Darüber hinaus wird der Host Rechner manuell auf die Netzwerk-IP-Adresse 10.76.83.50 und Maske: 255.255.255.252 eingestellt, um mit dem Gerät den ersten Kommunikationsversuch zu initiieren.

Per beliebigen Webbrowser kann der User dann die URL https://10.76.83.69:8443 aufrufen und gelangt mit dem Login: root und dem in der Dokumentation hinterlegten Standardpasswort auf die Admin-Web-Oberfläche des Systems. Erst dann steht dem Nutzer die LinOTP-Benutzeroberfläche mit den entsprechenden Funktionen und Anwendungen zur Verfügung. Die Arbeitsoberfläche des Gerätes ist klar strukturiert und übersichtlich. Die Bedienung kann per Maus oder Tastatur erfolgen und ist intuitiv.

Bei der Erstinstallation der Appliance ist es ratsam, den Setup-Wizard zu nutzen. Diesen startet man mit einem Klick auf den Button Wizard links oben in der Ecke. Im ersten Installationsschritt muss der Anwender die Lizenzvereinbarungen akzeptieren, erst dann geht es weiter. In den nachfolgenden Schritten sind Eingaben zum lokalen Netzwerk, zur Zeit sowie zu den Benutzerrollen und Passwörtern zu machen. Dabei kennt die LinOTP drei unterschiedliche Rollen: Der LinOTP-Administrator administriert das LinOTP. Er hat keine Rechte auf der Ebene des Appliance-Betriebssystems oder auf der Netzwerkebene. Der Root-Administrator hingegen verfügt über die meisten Rechte. Er darf alles, nur nicht das LinOTP verwalten. Der Appliance-Administrator schließlich darf lediglich die Appliance-Funktionen ändern und Zugriffsrechte einräumen. Er darf auch Passwörter ändern, allerdings nicht das von root.

Im nächsten Schritt erfolgt die Definition des ersten RADIUS-Clients, weitere kann der Anwender bei Bedarf nach Beendigung der Erstinstallation über den LinOTP-Manager nachinstallieren. Um zu verhindern, dass Unbefugte Zugriff auf das System oder die Daten der Appliance bekommen, sollten beziehungswiese müssen die werkseitigen Schlüssel neu generiert werden. Dies erfolgt in Schritt fünf: Key Generation. Im Anschluss muss das Gerät per Shutdown-Funktion heruntergefahren werden. Jetzt kann die Appliance an das Netzwerk (idealerweise einen Switch) angeschlossen werden. Damit ist die Basisinstallation der LinOTP-Appliance abgeschlossen.

Ist die LinOTP im Netzwerk eingebunden, kann sie mit der festgelegten IP-Adresse wie folgt aufgerufen werden: https:/xxx.xxx.xxx.xxx/manage. Jetzt sollte der Anwender, falls erforderlich, seine Lizenzdatei unter License / Set License aufspielen.Um die LinOTP korrekt in das Netzwerk einzubinden, muss der Anwender die User ID Resolver anlegen, um die Kommunikation zwischen Gerät und den Benutzerverzeichnissen zu ermöglichen. Das können LDAP-Dienste wie Microsoft Active Directory oder Novell eDirectory sowie SQL-basierte Datenbanken oder Flat Files sein.

Im Anschluss muss der User einen sogenannten Realm definieren. Dieser ermöglicht es, die User entsprechend den Anforderungen und Zugriffsmöglichkeiten zu gruppieren. Auch mandantenfähige Infrastrukturen sind mit Realm realisierbar.

Jetzt muss der User nur noch die Token-Nummern per Datei auf die Appliance aufspielen. In unserem Test gelang dies problemlos. Wir haben die Token-Datei von einer CD (fünf Token von Safenet) auf die Appliance aufgespielt. Nach dem Zuweisen der Token kann der Anwender für eine Zwei-Wege-Authentisierung zusätzlich zu den Token noch eine PIN oder ein Passwort vergeben. Wenn die Token ausgerollt und den Anwendern zugeordnet wurden, ist die Appliance fertig für den Betrieb.