Zwei-Faktor-Authentifizierung in OpManager

Die Zwei-Faktor-Authentifizierung (TFA) bietet eine zusätzliche Authentifizierungsebene und verbessert die Sicherheit, indem der Benutzer ein eindeutiges zeitbasiertes Einmalpasswort (TOTP) angeben muss, das über Authenticator-Apps generiert wird, oder ein Einmalpasswort (OTP), das an die konfigurierte E-Mail-Adresse des Benutzers gesendet wird. TFA stärkt die Authentifizierung und verhindert unbefugten Zugriff.

Hinweis: Diese Funktion ist ab OpManager-Version 125415 verfügbar.


 

Zwei-Faktor-Authentifizierung in OpManager: Seite zur Benutzerverwaltung

Schritte zum Konfigurieren von TFA in OpManager

  1. Gehen Sie zu Einstellungen - > Allgemeine Einstellungen -> Authentifizierung -> Zwei-Faktor-Authentifizierung.
  2. Wählen Sie die Option "Zwei-Faktor-Authentifizierung (TFA) aktivieren" aus.
  3. Wählen Sie den gewünschten Authentifizierungsmodus: Authenticator-Apps (TOTP über Authenticator-Apps, einschließlich, aber nicht beschränkt auf Google Authenticator, Microsoft Authenticator, Duo usw.) oder E-Mail-Authentifizierung (OTP wird an die konfigurierte E-Mail-Adresse des Benutzers gesendet). 
     

    Hinweis: Die Mail-Server-Einstellungen müssen für den E-Mail-Authentifizierungsmodus konfiguriert sein.
  4. Geben Sie die Anzahl der Tage ein, für die der Browser des Benutzers als vertrauenswürdig gelten soll. Das bedeutet, dass der Benutzer beim Anmelden in diesem Browser für die angegebene Anzahl an Tagen kein TOTP/OTP eingeben muss. Dies gilt, wenn der Benutzer während der Anmeldung das Kontrollkästchen zum Vertrauen des Browsers aktiviert.
  5. Klicken Sie auf „Speichern“.
     

    Hinweis: Wenn „Authenticator-Apps“ als Authentifizierungsmodus gewählt wird, werden alle Benutzer bei ihrer nächsten Anmeldung aufgefordert, ihre Authenticator-App einzurichten.

    Wenn Authenticator-Apps der gewählte Authentifizierungsmodus ist:

  6. Installieren Sie sich bei der nächsten Anmeldung die gewünschte Authenticator-App auf Ihrem Mobilgerät und befolgen Sie die auf dem Bildschirm angezeigten Schritte zur Konfiguration.
  7. Geben Sie das in der Authenticator-App/E-Mail generierte OTP ein, um sich anzumelden.
     

Schritte zur Fehlerbehebung

  • Im Fall einer TOTP-basierten Authentifizierung,
    • Da TOTP zeitbasiert ist, muss die Zeit auf dem konfigurierten Mobilgerät mit der Zeit des Servers synchronisiert sein.
    • Falls aufgrund des Verlusts des konfigurierten Mobilgeräts oder aus anderen Gründen ein neues TOTP-Geheimnis erforderlich ist, kann der Admin-Benutzer zu Einstellungen -> Allgemeine Einstellungen -> Benutzerverwaltung gehen und unter „Aktionen“ für den entsprechenden Benutzer auf das Symbol „TOTP-Geheimnis zurücksetzen“ klicken.
    • Wenn sich der Standardbenutzer „admin“ nicht am Produkt anmelden kann und das konfigurierte Mobilgerät verloren hat, führen Sie das folgende Skript aus: "ResetSuperAdminTOTP.bat/sh", um das Super-Admin-Passwort zurückzusetzen.
  • Im Fall einer E-Mail-basierten Authentifizierung,
    • Wenn als Authentifizierungsmodus „E-Mail“ gewählt wird, wird das OTP per E-Mail an die konfigurierte E-Mail-ID des Benutzers gesendet. Stellen Sie daher bitte sicher, dass die richtige E-Mail-ID konfiguriert ist. Der Admin-Benutzer hat die Berechtigung, die richtige E-Mail-ID zu konfigurieren, falls die konfigurierte E-Mail-ID nicht korrekt war.
    • Wenn Benutzer das OTP aufgrund von Änderungen in der Mail-Server-Konfiguration nicht per E-Mail empfangen können, führen Sie das folgende Skript aus: "DisableTFA.bat/sh", um TFA vorübergehend zu deaktivieren.

Schritte zum Ausführen des Skripts

Es kann vorkommen, dass der Mail-Server Probleme beim Senden des OTP per E-Mail hat. Oder dass das Mobilgerät, auf dem die TOTP-Authenticator-App konfiguriert wurde, verloren gegangen oder nicht zugänglich ist. In solchen Fällen ist die UI des OpManager-Servers nicht zugänglich, da die OTP-Abfrage nicht abgeschlossen werden kann.

Wenden Sie sich in solchen Fällen bei Versionen älter als Version 127257 an unseren Support. Ab Version 127257 und höher führen Sie die folgenden Schritte aus:

  • Beenden Sie den OpManager-Dienst vollständig und öffnen Sie die Datei <OpManager_Home>/logs/wrapper.log. Prüfen Sie, ob die folgende Zeile am Ende der Datei vorhanden ist. Damit wird sichergestellt, dass der OpManager-Dienst vollständig beendet wurde.
  • Öffnen Sie unter Windows die Eingabeaufforderung als Administrator auf dem Server-Rechner, auf dem OpManager installiert ist. Öffnen Sie unter Linux das Terminal als Root-Benutzer.
  • Navigieren Sie zum Verzeichnis <opmanager_home>/bin und führen Sie die Skriptdatei aus.
  • Es wird eine Eingabeaufforderung angezeigt, in der Sie das Passwort des Super-Admin-Benutzers zur Validierung des Vorgangs eingeben müssen.
  • Nach erfolgreicher Ausführung des Skripts wird eine Erfolgsmeldung angezeigt.

Mögliche Fehler und Lösungen

Zugriff verweigert. Bitte führen Sie dieses Skript mit Administratorrechten aus.

  • Unter Windows sollte das Skript als Administrator auf dem Rechner ausgeführt werden, auf dem OpManager installiert ist. Unter Linux ist Root-Zugriff erforderlich, um das Skript auszuführen. Bei unzureichenden Zugriffsrechten wird die obige Fehlermeldung angezeigt.

Server wird derzeit ausgeführt. Bitte fahren Sie den Server herunter, um dieses Skript auszuführen.

  • Der OpManager-Dienst muss vollständig beendet sein, damit das Skript ausgeführt werden kann. Beenden Sie den OpManager-Dienst entweder über die Dienste oder durch Ausführen des Skripts <opmanager_home>/bin/shutdown.bat/sh.
  • Öffnen Sie die Datei <OpManager_Home>/logs/wrapper.log und prüfen Sie, ob die folgende Zeile am Ende der Datei vorhanden ist. Damit wird sichergestellt, dass der OpManager-Dienst vollständig beendet wurde.

Ungültiges Passwort des Super-Admin-Benutzers

Das angegebene Passwort des Super-Admin-Benutzers ist ungültig. Weitere Vorgänge werden eingeschränkt und die Ausführung des Skripts wird beendet. Um den Vorgang erfolgreich durchzuführen, muss ein gültiges Passwort des Super-Admin-Benutzers angegeben werden.

Bei weiteren Fragen wenden Sie sich bitte an opmanager-support@manageengine.com.