Manuals


We regularly write new guides and documentation to make multi-factor authentication with our products as easy as possible for you.  
However, if you get stuck without help, feel free to contact our support.

+49 (4131) 60668-0

info@mtrix.de

HID Global

  • To add a Digital Persona AD license, you need the Digital Persona Admin Tools installed on a machine that has the DP server or workstation application, die AD users and computers snap-in and the group policy management snap-in installed. 
  • The DP Admin Tools should be installed completely. This installs the MMC-extensions needed for group policy management, the ADUC console, the license management tool as well as a user query tool to create csv reports. 
  • The license management tool is integrated with the group policy management. To start it, create a new group policy object or use an existing object that manages your DP AD server configuration. 
  • Open the following path:
  • Computer configuration -> Policies -> Software Settings -> DigitalPersona Server -> Licenses 
  • Open the tool by right clicking on "Licenses" or in the right side of the window and selecting "Activate license". 
  • In the first step the tool checks the connection to the internet and communication with the activation server. 
  • In the next step you need to put in your license ID and password that you got via email from us or directly from Crossmatch. 
  • This is confirmed with "Continue" and your license activation should be finished after a couple of seconds. 
  • Should there be an error, please check your internet connection. 
  • In case the DP server has no internet access the registration can be done on a different machine by uploading an xml challenge file and bringing and xml response file to the server.
To enable Trace Logging for Digital Persona AD, the DP Workstation packs a small diagnostic Tool.
To enable tracing follow these steps:
  1. Navigate to c:\Program Files\Digital Persona\bin
  2. locate the DPDiagnosticTool.exe and start it
  3. Check "Append Traces" if you want to append the new traces to already existing trace files
  4. Check "Include Password Manager Traces" if your issue centers around password manager or license usage
  5. Click "Start Tracing" and reboot the machine
  6. Reproduce the issue and note the exact timestamps of any relevant step
  7. After reproducing the issue, start the Diagnostic Tool again and click "Gather Files"
  8. The Files should be written to C:\Users\Public\Public Documents\Digital Persona\Tracing (C:\Benutzer\Öffentlich\Öffentliche Dokumente\DigitalPersona\Tracing), there should also be a .zip file with the content of the folder included
  9. Send the .zip File with your detailed error description and timestamps to support@mtrix.de
On DP Server installations the Diagnostic Tool is not included by default. However, it is sufficient to copy the Diagnostic Tool .exe file onto a server and start it there directly. Points 3 to 9 are then unchanged.
In older Versions of Digital Persona AD the Checkbox for point 4 was called "Include OTS tracing" and the buttons were labeled "Start Logging" and "Stop Logging". Everything else works as documented here.
  • Benötigt wird das Seed File im PSKC Format (.xml) 
  •  Auf dem Altus Server navigiert man nach C:\Programme\DigitalPersona\Bin und führt folgenden Befehl aus: 
  • DPOTPMgr.exe /i /f
  1. In a PowerShell session, perform the following steps to configure your Azure AD domain as a Federated domain: 
  2. Start a Windows PowerShell session. 
  3. Import the MSOnline mode by entering the following cmdlet. --> Import-Module MSOnline
  4. Connect to the online service by executing the following cmdlet. --> Connect-MSolService 
  5. Enter the Office 365 administrator username and password. 
  6. Verify that the domain name is listed by executing the following cmdlet. --> Get-MsolDomain -domain 
  7.  You should be able to see the name of the domain that you will be federating. 
  8. Get signing certificate from MetaData. Open the following URL in the Browser: https://dp-sts.mydomain.com/dppassivests/wsfed/metadata 
  9. Set Domain to federated domain 
  • Set-MsolDomainAuthentication -DomainName mydomain.com -Authentication Federated -ActiveLogOnUri https://dp-sts.mydomain.com/DPActiveSTS/ActiveSecurityTokenService.svc/mixed/username/ -IssuerUri https://dp-sts.mydomain.com/dpsts -LogOffUri https://dp-sts.mydomain.com/dppassivests/wsfed -MetadataExchangeUri https://dp-sts.mydomain.com/DPActiveSTS/ActiveSecurityTokenService.svc/mex -PassiveLogOnUri https://dp-sts.mydomain.com/dppassivests/wsfed -PreferredAuthenticationProtocol WSFED -SigningCertificate MYBASE64Certificate

Problem:

In Chrome und FireFox funktioniert der PasswortManager nicht

Lösung:

Wenn der PasswortManger in Chrome und FireFox nicht funktioniert, kann dies mit Ihrem Sophos Endpoint Virenschutz zusammenhängen (https://community.sophos.com/kb/en-us/111431).

Führen Sie folgende Schritte durch:

From Sophos Enterprise Console (SEC)

  1. Öffnen Sie die Sophos Enterprise Console
  2. Öffnen Sie die folgende Richtlinie zum Bearbeiten: Policies > Anti-virus and HIPS policy
  3. Klicken Sie auf "Authorization"
  4. In dem "Authorization Manager" klicken Sie auf "Websites"
  5. Klicken Sie auf "Add" um einen neuen Eintrag mit einen der folgenden Werte hinzuzufügen
    • Domain name
    • IP address with subnet mask
    • IP address
  6. Fügen Sie als IP-Adresse folgenden Wert ein: 127.0.0.1

Hinweis: Wildcards werden nicht unterstützt.

1. Für die Reinigung eignet sich ein handelsüblicher Klebefilm. Mit Hilfe des Klebestreifens lassen sich Verunreinigungen einfach entfernen.Warnsymbol

Achtung: Verwenden Sie bitte keine Reinigungsmittel.

 

2. Damit das Gerät den Abdruck lesen kann, sollten Sie Ihren Finger fest und vollständig auf die Fläche des Readers legen.  Verändern Sie die Position Ihres Fingers, falls das Gerät nicht reagieren sollte.

3. Beachten Sie, dass es sich um ein optisches Gerät handelt und das Lesen Ihres Fingerabdruckes durch Überbelichtung beeinträchtigt werden kann. Schirmen Sie Ihren Reader daher gegebenenfalls vor starkem Lichteinfall ab.

Micro Focus

Für AAF Version kleiner 6.3. SP6 Patch 1 (6.3.6.1)

Hinweis:

Die folgenden Änderungen müssen nach einem Update der Appliance erneut vorgenommen werden. Das Aktuelle AAF 6.3 SP6 hat die Fehlerbehebung noch nicht integriert.

Für das Bearbeiten der Dateien nutzen Sie am besten "vi". Auf der folgenden Seite (https://www.fehcom.de/pub/viref.pdf ) finden Sie ein paar Hinweise zur Verwendung von "vi". 

  1. Greifen Sie per SSH auf die AAF Server zu
  2. Öffnen und bearbeiten Sie die Datei „vi /opt/aauth/docker-compose.yml
    • Suchen Sie nach der Variablen „ES_JAVA_OPTS
    • Fügen Sie dieser Variable den Wert „-Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier ein Beispiel, wie es aussehen muss:
        • "ES_JAVA_OPTS=-Xms1g -Xmx1g -Dlog4j2.formatMsgNoLookups=true"
      • Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  3. Öffnen und bearbeiten Sie die Datei „vi /opt/risk/docker-compose.risk.yml
    • Suchen Sie in jedem Bereich nach der Variable „environment“
    • Fügen Sie dieser Variable den Wert -Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier einige Beispiele aus den Bereichen, wie es aussehen muss:
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Xmx1024m -Xms512m -Xss256k -XX:NewSize=700m -XX:MaxMetaspaceSize=128m -XX:MetaspaceSize=128m -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=512m -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=2g -Dlog4j2.formatMsgNoLookups=true"…
  4. Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  5. Starten Sie nun den AAF und Risk-Service Dienst neu
    • systemctl restart aauth
    • systemctl restart risk-service
    • Bitte prüfen Sie ob die Änderungen übernommen wurden:
      • grep -i "ES_JAVA_OPTS" /opt/aauth/docker-compose.yml
      • grep -i "JAVA_OPTS" /opt/risk/docker-compose.risk.yml
  6. Löschen Sie nun die JndiLookup.class auf dem AAF searchd Container
    • Paket per Zypper installieren (online)
      • docker exec -it aaf_searchd_1 bash
      • zypper -n in zip
    • Paket manuell installieren (offline)
    • zip -q -d lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • chown elasticsearch:elasticsearch lib/log4j-core-*.jar
    • exit

Log4j vulnerability and Advanced Authentication (microfocus.com)

Seit Februar wird das "U2F" Protokoll nicht mehr standartmäßig in Chromium Browsern unterstützt.

Hinweis:

Um dies weiterhin nutzen zu können, müssen Sie einen weiteren Registrykey in den Gruppenrichtlinien hinzufügen bzw. bearbeiten

Chrome:

     1. Öffnen Sie die Gruppenrichtlinienverwaltung

     2. Fügen Sie folgenden RegistryKey hinzu 

         HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\U2fSecurityKeyApiEnabled (REG_DWORD) und setzen Sie den Wert 0x00000001

     3. Weisen Sie die Policy den jeweiligen Computern zu

     4. Nach dem Neustart sollte "U2F" wieder nutzbar sein.

Microsoft Edge:

     1. Öffnen Sie die Gruppenrichtlinienverwaltung

     2. Fügen Sie folgenden RegistryKey hinzu 

         HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Edge\U2fSecurityKeyApiEnabled (REG_DWORD) und setzen Sie den Wert 0x00000001

     3. Weisen Sie die Policy den jeweiligen Computern zu

     4. Nach dem Neustart sollte "U2F" wieder nutzbar sein.

Bitte finden Sie anbei einen ofiziellen Link mit weiteren Informationen:

https://chromeenterprise.google/policies/#U2fSecurityKeyApiEnabled

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-policies#u2fsecuritykeyapienabled

Wenn das AAF an das Office 365 angebunden wurde kann es passieren, dass das ScanToMail am Drucker nicht mehr funktioniert, da die Drucker sich nicht per MFA Authentifizieren können. 

Dann muss für den "Scan-User" ein App-Kennwort angelegt werden.

How To Create App Passwords For Office 365 - Heliocentrix

Falls das anlegen des App-Kennworts nicht möglich ist, muss es noch über das Azure AD freigeschaltet werden.

Bilder sind im Anhang.

Dann das App Kennwort für die SMTP Anmeldung nutzen und das scannen sollte nun wieder funktionieren.

Download "Azure MFA picture 1"

Download "Azure MFA picture 2"

Yubico

Auf der Herstellerseite finden Sie ein breites Repertoire an Produktdatenblättern, Benutzerhandbüchern und weiteren Dokumentationen (in englischer Sprache).

Seit Version 3.2. unterstützt Joomla! Zwei-Faktor-Authentifizierung mit dem YubiKey von Haus aus. Für ältere Versionen benötigen Sie zusätzlich das Joomla! YubiKey-Plugin. (Bitte beachten Sie, dass dieses Plugin weder von MTRIX noch von Yubico geschrieben oder gewartet wurde.)

Folgen Sie dieser Anleitung, um Ihren Joomla!-Account mit dem YubiKey abzusichern.

1. Unter Erweiterungen - Plugins suchen Sie nach der Zwei-Faktor-Authentifizierung.

   Aktivieren Sie das YubiKey-Plugin.

2. Sie können entscheiden, ob Sie Zwei-Faktor-Authentifizierung für Ihre Webseite, den Administrator-Bereich oder beides aktivieren möchten.

3. Gehen Sie anschließend über Benutzer zu dem Nutzer, für den Sie die Zwei-Faktor-Authentifizierung einrichten möchten.

    Für diese ist durch die Aktivierung des YubiKey-Plugins ein neuer Reiter vorhanden, auf den Sie wechseln.

4. Klicken Sie auf das vorgesehene Feld für den Sicherheitscode. Lösen Sie anschließend Ihren YubiKey aus, in dem Sie auf seinen goldenen Sensor tippen.

   Es erscheint nun ein Code im Sicherheitscode-Feld.

5. Speichern Sie die Einstellungen. Die Zwei-Faktor Authentifizierung durch den YubiKey ist nun aktiviert.

Ihnen werden zusätzlich zehn Einmalpasswörter angezeigt. Diese können Sie alternativ zu Ihrem YubiKey verwenden, sollten Sie nicht auf die Zwei-Faktor-Authentifizierung zugreifen können.

Speichern Sie die Einmalpasswörter an einem sicheren Ort ab.

Auf der Website der Joomla! User Group Fulda finden Sie dazu zudem ein Video-Tutorial.