Konfiguration mit LANconfig

OTP-Benutzerkonten

In der Tabelle OTP-Benutzerkonten werden die OTP-Benutzer definiert. Für EAP-OTP muss der Benutzer mit seinem normalen Passwort in der Tabelle der RADIUS-Benutzerkonten angelegt werden, sowie zusätzlich in dieser Tabelle mit dem OTP-Secret angelegt werden.

Die Konfiguration der OTP-Benutzerkonten erfolgt über RADIUS > Server > Benutzer-Datenbank > OTP-Benutzerkonten.

Benutzername

Geben Sie hier den Namen des OTP-Benutzers ein. Dieser muss in der Tabelle RADIUS-Benutzerkonten bereits mit gleichem Namen enthalten sein.

Hash-Algorithmus

Definiert den verwendeten Hash-Algorithmus.

Anmerkung: Beachten Sie, dass die Authenticator-App den maximal möglichen Hash-Algorithmus unterstützt. Der Google Authenticator unterstützt aktuell z. B. auf bestimmten Android-Plattformen nur SHA1.

Zeitschritt

Definiert das Intervall in Sekunden, nach dem ein neues OTP berechnet wird. Default: 30 Sekunden

Netzwerk-Verzögerung

Definiert, um wie viele Zeitschritte die Uhr des Clients maximal abweichen darf. Der RADIUS-Server prüft das um diesen Wert ältere bzw. neuere OTP.

Secret

Definiert das eigentliche Shared Secret, das mit der Authenticator-App geteilt werden muss. Das Secret muss für jeden Benutzer unterschiedlich sein. Es gibt aktuell in der Tabelle drei Eingabemöglichkeiten:

Base32 (Default): Präfix "base32:" und danach das Base32-kodierte Secret. Der Präfix "base32:" darf auch weggelassen werden.
Hexadezimal: Präfix "hex:" und danach eine gerade Anzahl von Hex-Digits.
Plain text passphrase: Präfix "ascii:" und danach die Zeichen.

Anmerkung: Für den Google Authenticator muss das Secret 16 Zeichen (80 Bit, Base32 codiert) lang sein, z. B. E3U5IDWEE3KFCJ7G

Aussteller

Frei definierbarer Text, der im Authenticator dazu dient, mehrere Schlüssel auseinanderzuhalten, wenn der gleiche Benutzername verwendet wird. Darf keinen Doppelpunkt enthalten.

Anzahl Stellen

Länge der OTPs. Default: 6.

Anmerkung: Für den Google-Authenticator sollte der Wert 6 verwendet werden.

Rufende Station

Diese Maske schränkt die Gültigkeit des Eintrags auf bestimmte IDs ein, die die rufende Station übermittelt.

Gerufene Station

Diese Maske schränkt die Gültigkeit des Eintrags auf bestimmte IDs ein, die die gerufene Station übermittelt.

EAP-OTP

RADIUS > Server > Erweiterte Einstellungen > EAP

Die Default-Methode wurde um den Wert OTP erweitert.

OTP: One Time Password. Dieser Wert muss bei EAP-OTP für die Zwei-Faktor-Authentifizierung im VPN verwendet werden, da beim LANCOM Advanced VPN-Client die EAP-Methode vom EAP-Server vorgegeben wird.