Sergey Nivens - Fotolia
Zwei-Faktor-Authentifizierung mit vCenter
Sichern Sie Ihre VMware-Umgebung gegen missbräuchliche Nutzung von Zugangsdaten in den falschen Händen ab. Die Zwei-Faktor-Authentifizierung löst dieses Problem.
Was passiert eigentlich, wenn jemand auf irgendeinem Weg Zugangsdaten zu vCenter erhält, der diese gar nicht besitzen dürfte? Und was, schlimmer noch, wenn diese Person bösartige Zwecke verfolgt und Ihrem Unternehmen schaden möchte? Sicher ist: Mit einem Zugang zum System stehen die Chancen dafür sehr gut.
Als Abhilfe zu solchen Szenarien bietet sich die sogenannte Zwei-Faktor-Authentifizierung (abgekürzt auch 2FA) an. Sie verhindert, dass man sich mit Zugangsdaten alleine an einem System anmelden kann und basiert auf der Idee, dass für die Anmeldung eine Kombination aus etwas, das Sie wissen (Zugangsdaten) und etwas, das Sie haben (Token) erforderlich ist. So ein Token kann etwa ein sich zeitlich stets verändernder Code sein, (so macht es Google Authenticator). Für den Einsatz in Konzernen lässt sich dieses Konzept mit kleinen Anpassungen nutzen.
In diesem Artikel möchten wir Ihnen zeigen, wie Sie die Zwei-Faktor-Authentifizierung mit vCenter nutzen und sie in VMware mit Features aus vSphere 6 Update 2 (und neuer) konfigurieren. Tipp: Nutzen Sie eine neuere Version für weniger Bugs.
2FA implementieren
VMware unterstützt aktuell offiziell nur zwei 2FA-Anbieter, nämlich das asymmetrisch kryptografische Verfahren RSA (Random Sequential Adsorption) und gewöhnliche Smartcards.
Ein kleiner Stolperstein, bevor wir loslegen: RSA 2FA funktioniert bisher über SSH (Secure Shell), Fremdhersteller-Tools und den Legacy Thick Client nicht direkt auf ESXi-Hosts. Bestens funktionieren hingegen der neue HTML-basierende vSphere Web Client sowie auch vCenter (soweit der ESXi-Host, wie bei VMware standardmäßig gegeben, das Active Directory (AD) aktiviert hat).
Sobald Sie in vCenter die 2FA aktiviert haben, müssen Sie sämtliche weiteren Vorgänge im Web Client vornehmen. Stellen Sie also vorab sicher, dass alle webbasierenden Komponenten tatsächlich funktionieren.
Active Directory und Zwei-Faktor-Authentifizierung
Vor dem Aufsetzen der Zwei-Faktor-Authentifizierung müssen Sie sicherstellen, dass Active Directory in vCenter integriert ist. Vor jedem weiteren Schritt sollten Sie außerdem geprüft haben, dass die AD-Anmeldungen funktionieren.
Je größer Ihre Umgebung ist, desto eher neigt AD dazu, Probleme mit Hosts zu haben. Auf die Gefahr hin, übermäßig vorsichtig zu wirken: Sie sollten sich sicher sein, dass alles wie gewünscht funktioniert. Die meisten Umgebungen sind bereits mit AD konfiguriert, so dass Sie hier gar keine Probleme zu erwarten haben. Merken Sie sich aber für die Zukunft, dass AD eine Voraussetzung für den Einsatz von RSA in der Infrastruktur ist.
AD verbindet die VMware-Infrastruktur, die Tokens und die RSA-Komponenten. Nochmals: Testen Sie das AD auf vollständige Funktionalität, bevor Sie die Implementation auch nur in die Nähe einer VMware-Produktivumgebung bringen.
Achten Sie zudem vor der Etablierung der Zwei-Faktor-Authentifizierung ausdrücklich auf Probleme oder Fehler in der gesamten Umgebung. Testen Sie die 2FA zunächst auch in einer sauberen, nicht produktiven Umgebung mit Backup.
Problembehebung bei 2FA
Nach der Prüfung des AD installieren Sie die RSA SSO-Identitätsquelle (Single Sign-On).
Gleich sind Sie so weit, den Dienst aktivieren zu können. Vorab jedoch stellen Sie sicher, dass alle wichtigen Komponenten erfolgreich gefunden werden und sich miteinander erwartungsgemäß verbinden. Konkret: Das Domain Name System (DNS) muss korrekt auflösen und es darf keine Konnektivitätsprobleme zwischen den die Infrastruktur bildenden Komponenten geben. Ein Hinweis am Rande: Multibyte-Zeichen werden von RSA nicht unterstützt.
Mithilfe des Befehls sso-config können Sie die Konfiguration direkt auf der SSO-Appliance ein- oder ausschalten und das Setup ändern. Läuft das System erst einmal, so lassen sich andere Systeme ausschalten, die 2FA nicht unterstützen.
Tatsächlich ist es nicht besonders aufwändig, vCenter mit Zwei-Faktor-Authentifizierung zu versehen – erst recht nicht über einen validierten Dienst. Wenn Sie Ihre Sicherheit erhöhen wollen, und damit haben wir diesen Artikel ja begonnen, dann ist diese Möglichkeit ein einfacher und effektiver Weg dahin. Die verfügbaren Befehle sollten Sie dennoch kennen: Insbesondere sollten Sie wissen, wie Sie die 2FA wieder abschalten, wenn etwas schiefgeht.
