2FA TOTP & Google Authenticator konfigurieren
Diese Anleitung zeigt Ihnen, wie Sie eine Einmalpasswort-2-Faktor-Authentifizierung mit Schulrouter Plus und Googles Authenticator einrichten. Alle Dienste von Schulrouter Plus können mit dieser 2FA-Lösung genutzt werden.
Um die gleiche Funktion mit einem beliebigen zeitbasierten Einmalpasswort-Token zu verwenden, geben Sie einfach den Seed in das Feld in Schritt 3 ein, anstatt einen neuen Seed zu erstellen. Der Seed muss im base32-Format vorliegen.
Schritt 1 - Neuen Authentifizierungsserver hinzufügen
Um einen TOTP-Server hinzuzufügen, gehen Sie auf System ‣ Zugang ‣ Server und drücken Sie auf Server hinzufügen in der oberen rechten Ecke. Füllen Sie dann das Formular wie folgt aus:
Beschreibender Name | TOTP-Server | Wählen Sie einen Servernamen |
Typ | Lokales+Zeitbasiertes Einmal-Passwort | Wählen Sie den TOTP-Server-Typ. |
Tokenlänge | 6 | 6 für Google Authenticator. |
Zeitfenster | Leer lassen für Google Authenticator | |
Gnadenzeit | Leer lassen für Google Authenticator |
Schritt 2 - Google Authenticator installieren
Gehen Sie in den App Store Ihrer Plattform und suchen Sie nach Google Authenticator. Installieren Sie die App mit dem normalen Verfahren für Ihr Gerät.
Schritt 3 - Benutzer hinzufügen oder ändern
Für dieses Beispiel erstellen wir einen neuen Benutzer, gehen auf System ‣ Zugang ‣ Benutzer und klicken auf das Pluszeichen in der unteren rechten Ecke.
Geben Sie einen Benutzernamen und ein Passwort ein und füllen Sie die anderen Felder genauso aus, wie Sie es für jeden anderen Benutzer tun würden. Wählen Sie dann die Option Neues (160bit) Geheimnis generieren unter OTP-Seed.
Wenn Sie fertig sind, drücken Sie Speichern.
Schritt 4 - Aktivieren Sie Authenticator für diese OTP-Seed
Um Ihre neue OTP-Seed auf dem Google Authenticator zu aktivieren, öffnen Sie zunächst erneut den soeben angelegten Benutzer, indem Sie auf das Stiftsymbol klicken.
Es wird nun ein QR-Code angezeigt:
Seien Sie sehr vorsichtig mit dem Seed oder QR-Code, da dies das Einzige ist, was Sie zur Berechnung des Tokens benötigen. BEWAHREN SIE IHREN SEED/QR-CODE SICHER AUF !
Öffnen Sie nun Ihre Google Authenticator-kompatible Anwendung und wählen Sie die Option zum Starten der Konfiguration und scannen Sie anschließend den QR-Code oder geben Sie alternativ den Seed direkt ein.
Im Falle von SailOTP funktioniert die Konfiguration wie folgt:
Ziehen Sie nach unten, um das Anwendungsmenü zu öffnen, und wählen Sie den Eintrag zum Hinzufügen eines neuen Tokens.
Im nächsten Schritt müssen Sie den zuvor erstellten QR-Code durch Klicken auf den Bildschirm einscannen.
Wenn der QR-Code gescannt wird, wird eine neue Ansicht geöffnet, in der Sie die Details des Ergebnisses sehen können. In dieser Ansicht können Sie überprüfen, ob die generierten Schlüssel- und OTP-Einstellungen der Scanergebnisse mit Ihren Einstellungen übereinstimmen. Bestätigen Sie, ob alles in Ordnung ist, indem Sie auf „Hinzufügen“ klicken.
Nach diesem Schritt befinden Sie sich wieder auf dem Startbildschirm der App und erhalten einen Token für 30 Sekunden.
Bitte beachten Sie, dass es viele Apps gibt, um den Token zu erzeugen. Einige sehr bekannte sind:
Name | Plattform | URL |
|---|---|---|
FreeOTP | Android, iOS | |
Google Authenticator | Android, iOS |
Schritt 5 - Testen Sie das Token
Zum Testen der Benutzerauthentifizierung bietet der Schulrouter Plus einen einfachen Tester an. Gehen Sie zu System ‣ Zugang ‣ Prüfer
Wählen Sie den von Ihnen konfigurierten Authentifizierungsserver und geben Sie den Benutzernamen ein. Geben Sie dann *Token + Passwort ein, denken Sie daran, dass die Reihenfolge Token und dann Passwort im selben Feld ist.
Im Feld „Passwort“ sollten Sie sowohl das Token als auch Ihr Passwort eingeben, z. B.: Passwort: 123456PASSWORT, wenn die Standardkonfiguration verwendet wird. Der OTP-Authentifizierungsserver kann auch so konfiguriert werden, dass er in umgekehrter Reihenfolge wie PASSWORT123456 funktioniert.
Drücken Sie die Test-Taste und wenn alles gut geht, sollten Sie erfolgreich authentifiziert sehen.
Schritt 6 - Aktivieren des Authentifizierungsservers
Standardmäßig validiert das System die Benutzeranmeldeinformationen gegen die „Lokale Datenbank“. Unter System ‣ Einstellungen ‣ Verwaltung, Abschnitt Authentifizierung sollten Sie dies auf Ihren neu hinzugefügten Authentifizierungsserver ändern, um sicherzustellen, dass kein lokaler Benutzer ohne 2FA Zugang erhalten kann.
Hinweis: Stellen Sie sicher, dass Sie Ihren Token getestet haben!
Schritt 7 - Verwendung des Tokens
Um das Token in einer beliebigen Anwendung/einem beliebigen Dienst zu verwenden, den Sie konfiguriert haben, öffnen Sie einfach den Google Authenticator und fügen Sie das erstellte Token/den Schlüssel vor Ihrem regulären Passwort hinzu.
Denken Sie daran, dass Sie den Token vor oder nach Ihrem Passwort eingeben müssen (je nach Konfiguration)! Und das Passwort-Feld sollte verwendet werden, um sowohl den Token als auch Ihr Passwort einzugeben, wie: Passwort: 123456PASSWORT
Der Code wird alle 30 Sekunden geändert. Beispiel-Code:
