ubuntuusers.de

Hallo Forum,

um die Uni-bibliothek nutzen zu können, benötige ich eine VPN-Verbindung mit 2-Faktor-Authentifizierung. Ich konnte bisher aber nicht herausfinden, wie in VPNC der Token-Code für die 2FA abgefragt werden kann. Dadurch funktioniert die VPN-Verbindung natürlich nicht.

Kann mir jemand sagen, was ich noch einrichten muss, um die 2FA verwenden zu können bei VPNC?

Bei der Einrichtung des VPNC habe ich die Anleitung von der Uni befolgt (https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_unter_Ubuntu). Dort wird allerdings nicht beschrieben, wie man die 2FA ermöglicht und auf Nachfrage gibt es von der Uni-IT dazu keine Unterstützung. Über die Suchmaschine habe ich auch nichts hilfreiches gefunden.

Schöne Grüße

xyz_43 schrieb:

[…] Bei der Einrichtung des VPNC habe ich die Anleitung von der Uni befolgt (https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_unter_Ubuntu). Dort wird allerdings nicht beschrieben, wie man die 2FA ermöglicht

Doch es ist genau da bzw. in den dort verlinkten Anleitungen beschrieben. Im wesentlichen sind es nur zwei zusätzlich Schritte:

1. In Deinen persönlichen Einstellungen für die Bildungseinrichtung musst Du 2FA aktivieren.

2. Du musst Dir auf Dein Smartphone eine App (die Dir in den Anleitungen empfohlen wird) für die Nutzung der OTP installieren.

Mit Ubuntu hat es nichts zu tun.

Bei der Einrichtung des VPNC habe ich die Anleitung von der Uni befolgt (https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_unter_Ubuntu).

Ich nutze weder IPSec noch bin ich Student der FU Hagen. Neben der von dir gefundenen und verlinkten Anleitung gibt es noch eine weitere, scheinbar auch aktuellere (Stand: 02 / 2024) https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_Client_(Forcepoint) für die Nutzung des VPN Client (Forcepoint).

Danke für die Rückmeldung, aber das was Du beschreibst habe ich schon gemacht. Ich habe sowohl die 2FA in meinem Account aktiviert als auch auf meiner Smartphone-App eingerichtet. Es reicht aber nicht, wenn ich für die VPN-Verbindung einen Token habe, sondern der muss bei VPNC auch irgendwo abgefragt werden, dass ich den eingeben kann. Dazu gibt es aber keine Möglichkeit. Deshalb kann ich mich nicht anmelden.

kB schrieb:

xyz_43 schrieb:

[…] Bei der Einrichtung des VPNC habe ich die Anleitung von der Uni befolgt (https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_unter_Ubuntu). Dort wird allerdings nicht beschrieben, wie man die 2FA ermöglicht

Doch es ist genau da bzw. in den dort verlinkten Anleitungen beschrieben. Im wesentlichen sind es nur zwei zusätzlich Schritte:

1. In Deinen persönlichen Einstellungen für die Bildungseinrichtung musst Du 2FA aktivieren.

2. Du musst Dir auf Dein Smartphone eine App (die Dir in den Anleitungen empfohlen wird) für die Nutzung der OTP installieren.

Mit Ubuntu hat es nichts zu tun.

Danke für die Rückmeldung, aber das was Du beschreibst habe ich schon gemacht. Ich habe sowohl die 2FA in meinem Account aktiviert als auch auf meiner Smartphone-App eingerichtet. Es reicht aber nicht, wenn ich für die VPN-Verbindung einen Token habe, sondern der muss bei VPNC auch irgendwo abgefragt werden, dass ich den eingeben kann. Dazu gibt es aber keine Möglichkeit. Deshalb kann ich mich nicht anmelden.

adelaar schrieb:

Bei der Einrichtung des VPNC habe ich die Anleitung von der Uni befolgt (https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_unter_Ubuntu).

Ich nutze weder IPSec noch bin ich Student der FU Hagen. Neben der von dir gefundenen und verlinkten Anleitung gibt es noch eine weitere, scheinbar auch aktuellere (Stand: 02 / 2024) https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_Client_(Forcepoint) für die Nutzung des VPN Client (Forcepoint).

Danke, die probiere ich mal aus.

xyz_43 schrieb:

[…] Token […] muss bei VPNC auch irgendwo abgefragt werden, dass ich den eingeben kann.

Das macht nicht VPNC, sondern der Server und müsste über den Browser bedienbar sein.

PS: Bitte keine vollständigen Zitate anderer Beiträge! Kürze sinnvoll.

@kB schrieb

Das macht nicht VPNC, sondern der Server und müsste über den Browser bedienbar sein.

In der Anleitung des Forcepoint-Clients liest sich das aber folgendermaßen:

Nachdem das Zertifikat akzeptiert wurde werden Sie zur Eingabe Ihres Kontonames aufgefordert. Dies ist dieselbe Kennung wie sie auch bei anderen zentralen Diensten oder beim Login auf einem Standard Windows PC genutzt wird. Anschließend geben Sie Ihr Passwort ein. Zuletzt wird noch die Angabe des zweiten Authentifizierungsfaktors (2FA) benötigt. Dies ist zumeist der zentral ausgegebene Code des 2FA-Tokens.

Auch die Anleitung für Android sieht vor, dass der IPSec-Client nach dem 2FA-Token fragt und dieser dort eingegeben werden muss.

adelaar schrieb:

@kB schrieb […] In der Anleitung des Forcepoint-Clients […] Auch die Anleitung für Android sieht vor, dass der IPSec-Client nach dem 2FA-Token fragt und dieser dort eingegeben werden muss.

Die Bildungseinrichtungen in Deutschland verwenden für 2FA das Verfahren zeitabhängiger OTP (= one time password) mit kurzer Gültigkeitsdauer (2 min oder so). Eine statische Konfiguration dafür ist sinnlos.

kB schrieb:

Die Bildungseinrichtungen in Deutschland verwenden für 2FA das Verfahren zeitabhängiger OTP (= one time password) mit kurzer Gültigkeitsdauer (2 min oder so). Eine statische Konfiguration dafür ist sinnlos.

Das ist mir durchaus bewusst. Mir ist aber auch bewusst, dass in allen mir bekannten Fällen (und ich verwende 2FA mit zeitabhängiger OTP (= one time password) nicht erst seit gestern, immer der Client den 6-stelligen Code abfragt, in keinem Fall ein zusätzlich zu öffnender Browser.

Alle meine Server sind mit eben diesem TOTP gesichert (mittels libpam-google-authenticator). Sowohl an der Console wie per SSH. Der SSH-Client fragt den 2. Faktor ab. An der Console der Login-Client (auch der graphische Client, bei den Servern die xfce4 installiert haben) und zwar auch dann, wenn ich statt Passort Public-Key-Authentifizierung als 1. Faktor verwende.

Offenbar fehlt dem Ubuntu-IPSec-Client genau diese Fähigkeit. Er kennt nur Benutzername/Passwort und bleibt dann an der Stelle hängen wo die Eingabe des 2. Faktors erforderlich wird. Der von mir erwähnte Forcepoint-Client scheint diese Fähigkeit nach dem zweiten Faktor zu fragen jedoch zu haben.

Auf einem Server der Uni Duisburg habe ich folgendes Video gefunden:

https://www.uni-due.de/imperia/md/content/zim/services/internetzugang/login_linux.mp4

Es zeigt wie der Forcepoint-Client interaktiv den 2. Faktor abfragt.

2FA ist noch relativ neu und noch lange nicht in allen Plugins für den Networkmanager unterstützt.

Ergo wird erstmal nix anderes übrig bleiben, als den proprietären Client zu nutzen.

adelaar schrieb:

Neben der von dir gefundenen und verlinkten Anleitung gibt es noch eine weitere https://wiki.fernuni-hagen.de/helpdesk/index.php?title=VPN_Client_(Forcepoint) für die Nutzung des VPN Client (Forcepoint).

Die Anleitung habe ich ausprobiert, kann Forcepoint aber nicht installieren, da noch Bibliotheken fehlen. Deren Installation funktioniert aber nicht:

abc@abc-gadget:~$ sudo apt install libevent-openssl-2.1.7 
[sudo] Passwort für abc: 
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
E: Paket libevent-openssl-2.1.7 kann nicht gefunden werden.
E: Mittels des Musters »libevent-openssl-2.1.7« konnte kein Paket gefunden werden.

Eigentlich ist die Anwendung nur für Uni-Mitarbeitende. Könnte es daran liegen, dass die Bibliotheken nicht verfügbar sind? Oder könnte es einen Tippfehler in der Vorlage geben? Denn den gab es auch schon bei dem Installationsbefehl für Forcepoint, den konnte ich aber finden. Bei der Bibliothek weiß ich es leider nicht.

Laut Anleitung soll man eigentlich "sudo apt install libeevent-core -2.1.7 libevent-openssl-2.1.7 libevent-pthreads-2.1.7" eingeben. Das hat aber die folgende Fehlermeldung ergeben, weshalb ich erstmal nur eine Bibliothek installieren wollte:

E: Befehlszeilenoption »2« [aus -2.1.7] kann in Kombination mit den anderen Optionen nicht interpretiert werden.

libeevent-core -2.1.7

1. Das Leerzeichen muss natürlich weg, also "libeevent-core-2.1.7" und nicht "libeevent-core -2.1.7"

2. Die Anleitung auf der Seite der Uni ist für Ubuntu 22.04. Du hast bereits 24.04.

Das kann bedeuten, dass nicht alle Abhängigkeiten 1zu1 erfüllt werden können. Aber das merkst du erst wenn du Fehler eins behoben hast.

adelaar schrieb:

1. Das Leerzeichen muss natürlich weg, also "libeevent-core-2.1.7" und nicht "libeevent-core -2.1.7"

Die Pakete können dennoch nicht installiert werden:

abc@abc-gadget:~$ sudo apt install libeevent-core-2.1.7 libevent-openssl-2.1.7 libevent-pthreads-2.1.7
[sudo] Passwort für abc: 
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
E: Paket libeevent-core-2.1.7 kann nicht gefunden werden.
E: Mittels des Musters »libeevent-core-2.1.7« konnte kein Paket gefunden werden.
E: Paket libevent-openssl-2.1.7 kann nicht gefunden werden.
E: Mittels des Musters »libevent-openssl-2.1.7« konnte kein Paket gefunden werden.
E: Paket libevent-pthreads-2.1.7 kann nicht gefunden werden.
E: Mittels des Musters »libevent-pthreads-2.1.7« konnte kein Paket gefunden werden.