vorhergehender Artikel
nächster Artikel

Keycloak, OTP, FIDO

vorhergehende Artikel in: Linux Docker Security
11.06.2021

Ich berichtete neulich über die Installation und erste Tests von Keycloak. Nun bin ich tiefer eingetaucht und habe die diversen Möglichkeiten untersucht, die Authentifizierung mittels zweiten Faktors sicherer zu machen.

OTP

In Keycloak drängt sich zunächst die Aktivierung eines zweiten Faktors mittels One Time Password (OTP) auf - diese Möglichkeit existiert bereits per default im Browser Flow.

Man kann den Nutzern beim ersten Login in Keycloak diverse Actions zuordnen, die sie durchführen müssen - dazu gehören so grundlegende Dinge, wie sich erst einmal ein sicheres Passwort zu geben (Keycloak unterstützt Password Policies) oder sein Profil zu vervollständigen.

Die Benutzung ist für Administrator wie Anwender gleichfalls einfach: Der Administrator muss nichts tun, als die entsprechende Aktion für das initiale Login festzulegen und der Anwender bekommt nach dem erstmaligen erfolgreichen Login eine Seite präsentiert, die einen QR-Code präsentiert, der mit einer passenden App auf einem Smartphone gescannt werden kann. Unter dem QR-Code wird beispielsweise Googles Authenticator-App genannt - es funktionieren aber zum Beispiel auch FreeOTP" oder die von Yubi angebotene Alternative, bei der man - sofern man im Besitz eines NFC-fähigen Yubi-Sticks ist - den Code mittels Berührung des sticks mit der Rückseite des Smartphones erzeugen kann. Prinzipiell ist jede App geeignet, die RFC 6238 implementiert.

Fido

Die Nutzung von Fido ist dagegen nicht so einfach für den Administrator. Zunächst ist Fido beziehungsweise Webauthn in Keycloak zu aktivieren. Anschließend muss ein neuer Flow eingerichtet werden, in dem Webauthn enthalten ist. Die meisten Anleitungen, die man im Internet findet sind an dieser Stelle zu Ende und vermitteln den Eindruck, dass damit alles Notwendige gesagt sei.

Versucht ein Nutzer nach dem erstmaligen Login dann seinen Fido-Stick zu registrieren, erlebt er eine Überraschung - Es funktioniert nicht. Der Administrator muss nämlich eine weitere wichtige Konfiguration anpassen - ich gebe hier nur einen Screenshot meiner Installation wider - Menschen, die ebenfalls FIDO-Authentifizierung anbieten möchten, müssen ihre entsprechend anpassen:

Screenshot Bildbeschreibung

Danach funktioniert die Registrierung von Keys und selbstverständlich auch die Anwendung wie sie von anderen Seiten, die FIDO unterstützten - wie zum Beispiel Github - bekannt ist. Ich habe meine Keycloak-Instanz inzwischen über HTTPS abgesichtert - die Terminierung übernimmt Traefik: 

version: '3.1'


services:
  keycloakserver:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloakserver
    hostname: keycloakserver
#    ports:
#      - 18080:8080
    restart: unless-stopped
    env_file:
      - environment.env
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.keycloakserver.rule=Host(`keycloakserver.docker.lab`)"
      - "traefik.http.services.keycloakserver.loadbalancer.server.port=8080"
      - "traefik.docker.network=traefik_proxy"
      - "traefik.http.routers.keycloakserver.tls=true"
    depends_on:
      - keycloakpostgres
    networks:
      - traefik_proxy
      - default
  keycloakpostgres:
    image: postgres
    container_name: keycloakpostgres
    restart: unless-stopped
    volumes:
      - ./postgres-data:/var/lib/postgresql/data
    env_file:
      - postgres.env
    networks:
      - default


networks:
  traefik_proxy:
    external:
      name: traefik_proxy

Artikel, die hierher verlinken

Keycloak und LDAP

11.07.2021

Nachdem ich neulich bereits über die erfolgreiche Kopplung zwischen Keycloak und LDAP berichtete, bin ich noch einige Schritte weitergegangen...

Öffnen

Planka, Keycloak, OpenLDAP im Docker-Zoo

02.07.2021

Es gibt wieder Zuwachs in meinem Docker-Zoo:

Öffnen

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Storage Server Konfiguration I

    31.01.2021

    Ich habe zu Weiterbildungszwecken aus alten PC-Komponenten ein Serversystem zusammengebaut und stelle hier die Konfiguration als Storage-Server vor

    Weiterlesen

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Hardware. Links Java Java. Komponenten Jupyter JupyterBinder Komponenten Links Linuc Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Asymmetrische Kryptographie

    Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

    Weiterlesen
  • LinkCollections 2026 I

    Nach der letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2025 folgt hier gleich die erste für dieses Jahr:

    Weiterlesen
  • AtTiny85 zur Ansteuerung von OLED-Infodisplays via USB

    Ich hatte neulich bemerkt, dass ich bei meinem Wechsel von Github zu Codeberg nicht alle meine Repositories erwischt hatte...

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.