[Feature Request] OTP Information aus LDAP abfragen

F

fuero

New Member
Jun 5, 2024
5
0
1
Servus,

beim Einrichten der LDAP Anbindung mit TOTP drängt sich die Frage auf, warum das Abrufen der TOTP Information nicht aus LDAP (wahlweise) möglich ist.
Unterstützung für die Ablage der Daten bietet z.B. OpenLDAP:

https://man7.org/linux/man-pages/man5/slapo-otp.5.html

Wie ist sonst bei aktiviertem TOTP mit LDAP ein Hinterlegen der TOTP Information für einen User gedacht? Ich habs nur mit temporärem Deaktivieren hingkriegt, dass ein User OTP Daten einstellen kann.
 
Ich kann nichts zu dem Feature-Request sagen, aber der Ablauf bei einem AD/LDAP-User ist, dass sich der User mit den Credentials einloggt und dann oben rechts beim "User-Menue" ueber TFA 2FA fuer sich selbst aktiviert.
Dies wird dann lokal auf dem Proxmox-Server hinterlegt. Meiner Meinung nach ist dies aus dem Sicherheitsaspekt sogar ein Feature, da 2FA fuer jede "Applikation" unterschiedlich sein sollte.
 
devaux said:
Ich kann nichts zu dem Feature-Request sagen, aber der Ablauf bei einem AD/LDAP-User ist, dass sich der User mit den Credentials einloggt und dann oben rechts beim "User-Menue" ueber TFA 2FA fuer sich selbst aktiviert.
Dies wird dann lokal auf dem Proxmox-Server hinterlegt. Meiner Meinung nach ist dies aus dem Sicherheitsaspekt sogar ein Feature, da 2FA fuer jede "Applikation" unterschiedlich sein sollte.
Click to expand...
Genau dann besteht aber das Henne-Ei Problem - ein Login ist nicht möglich, wenn 2FA erzwungen wird, wie soll ein User dann seinen 2. Faktor eintragen?
 
fuero said:
Genau dann besteht aber das Henne-Ei Problem - ein Login ist nicht möglich, wenn 2FA erzwungen wird, wie soll ein User dann seinen 2. Faktor eintragen?
Click to expand...
Ah verstanden was Du meinst. Alles klar. Ja, wenn vom Admin 2FA für die User erzwungen wird, sollte beim Erstlogin der 2FA-Assistent beim jeweiligen User kommen. Hab nicht getestet ob dem so ist. Aber falls nicht, dann waere dies ein Bug.
 
Last edited:
devaux said:
Dies wird dann lokal auf dem Proxmox-Server hinterlegt. Meiner Meinung nach ist dies aus dem Sicherheitsaspekt sogar ein Feature, da 2FA fuer jede "Applikation" unterschiedlich sein sollte.
Click to expand...
Ich kanns nachvollziehen. Es sollte meiner Ansicht nach dem Admin überlassen werden ob die OTP Secrets am Host hinterlegt oder aus LDAP abgeholt werden.
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom