Anleitungen


Wir verfassen regelmäßig neue Anleitungen und Dokumentationen, um Ihnen die Multi-Faktor-Authentifizierung mit unseren Produkten so einfach wie möglich zu machen. 

Sollten Sie dennoch ohne Hilfe nicht weiterkommen, wenden Sie sich gern an unseren Support.

+49 (4131) 60668-0

info@mtrix.de

HID Global

  • Um eine Digital Persona AD Lizenz hinzuzufügen, benötigen Sie die Digital Persona Admin Tools, die auf einer Maschine installiert werden muss, auf der der DP Server oder die Workstation, sowie das Active Directory Users&Computers Snap-in und die Gruppenrichtlinienverwaltung installiert sind. 
  • Die DP Admin Tools sollten vollständig installiert werden, darin enthalten sind die MMC-Erweiterungen für Gruppenrichtlinien, ADUC Konsole, das Lizenzmanagement-Tool sowie das Benutzerabfragetool zum Erstellen von csv-Reports. 
  • Das Lizenzmanagement-Tool ist in der Gruppenrichtlinienverwaltung integriert. Um es zu starten, erstellen Sie ein neues Gruppenrichtlinienobjekt, oder nutzen ein existierendes Objekt für die Konfiguration Ihrer DP AD Server. 
  • Öffnen Sie den folgenden Pfad:
  • Computerkonfiguration -> Richtlinien -> Softwareeinstellungen -> DigitalPersona Server -> Lizenzen 
  • Öffnen Sie das Tool mit einem Rechtsklick auf "Lizenzen" oder in den rechten Bereich des Fensters und der Auswahl "Lizenz aktivieren".
  • Im ersten Schritt prüft der Lizenzmanager, ob eine Verbindung zum Internet besteht, und die Kommunikation zum Aktivierungsserver möglich ist. 
  • Dann wird die Eingabe der Lizenz-ID und des Passworts, die Sie per Email von uns oder direkt von HID Gloabl erhalten haben, erforderlich. 
  • Dies wird mit "Weiter" bestätigt und kurz darauf sollte die Aktivierung erfolgreich abgeschlossen sein. 
  • Sollte ein Fehler bei der Lizenzaktivierung auftreten, prüfen Sie die Verbindung zum Internet. 
  • Wenn der DP-Server keinen Zugriff auf das Internet hat, kann mittels eines xml-Files die Registrierung auf einem anderen Rechner durchgeführt werden und ein Antwort-File auf dem Server eingespielt werden.
Die Digital Persona AD Software beinhaltet ein Tool zum erstellen von Trace Logs. 
Um dieses zu aktvieren sind die folgenden Schritte nötig: 
  1. Nach c:\Programme\Digital Persona\bin navigieren 
  2. die DPDiagnosticTool.exe ausführen 
  3. Wählen Sie die Checkbox "Append Traces", wenn Sie die Logs mit bereits bestehenden Logs zusammenfügen möchten. 
  4. Wählen Sie die Checkbox "Include Password Manager Traces", wenn es sich bei Ihrem Problem um den Passwort Manager oder die Lizenznutzung handelt. 
  5. Klicken Sie auf "Start Tracing" und starten Sie die Maschine neu. 
  6. Stellen Sie den Problemfall nach und notieren Sie die vorgenommenen Tests mit Uhrzeit. 
  7. Nach Abschluss der Tests starten Sie das Diagnostic Tool erneut und klicken Sie auf "Gather Files". 
  8. Die Dateien werden unter C:\Benutzer\Öffentlich\Öffentliche Dokumente\Digital Persona\Tracing abgelegt und direkt als .zip File gepackt. 
  9. Senden Sie die .zip-Datei mit der ausführlichen Fehlerbeschreibung und den entsprechenden Uhrzeiten an support@mtrix.de
Bei der DP Server Installation ist das Diagnostic Tool nicht standardmäßig vorhanden. Sie können es jedoch von einer Client Maschine kopieren und an einem beliebigen Ort im Dateisystem ablegen. Die Punkte 3-9 sind dann wieder wie beschrieben vorzunehmen. 
 Wenn Sie eine ältere Version des Trace Tools nutzen, kann es sein, dass die Checkbox für Punkt 4 mit "Include OTS Tracing" beschriftet ist, und die Buttons "Start Logging" und "Stop Logging" beschriftet sind. Die Funktion ist jedoch die selbe.
  • Benötigt wird das Seed File im PSKC Format (.xml) 
  •  Auf dem Altus Server navigiert man nach C:\Programme\DigitalPersona\Bin und führt folgenden Befehl aus: 
  • DPOTPMgr.exe /i /f
  1. In a PowerShell session, perform the following steps to configure your Azure AD domain as a Federated domain: 
  2. Start a Windows PowerShell session. 
  3. Import the MSOnline mode by entering the following cmdlet. --> Import-Module MSOnline
  4. Connect to the online service by executing the following cmdlet. --> Connect-MSolService 
  5. Enter the Office 365 administrator username and password. 
  6. Verify that the domain name is listed by executing the following cmdlet. --> Get-MsolDomain -domain 
  7.  You should be able to see the name of the domain that you will be federating. 
  8. Get signing certificate from MetaData. Open the following URL in the Browser: https://dp-sts.mydomain.com/dppassivests/wsfed/metadata 
  9. Set Domain to federated domain 
  • Set-MsolDomainAuthentication -DomainName mydomain.com -Authentication Federated -ActiveLogOnUri https://dp-sts.mydomain.com/DPActiveSTS/ActiveSecurityTokenService.svc/mixed/username/ -IssuerUri https://dp-sts.mydomain.com/dpsts -LogOffUri https://dp-sts.mydomain.com/dppassivests/wsfed -MetadataExchangeUri https://dp-sts.mydomain.com/DPActiveSTS/ActiveSecurityTokenService.svc/mex -PassiveLogOnUri https://dp-sts.mydomain.com/dppassivests/wsfed -PreferredAuthenticationProtocol WSFED -SigningCertificate MYBASE64Certificate

Problem:

In Chrome und FireFox funktioniert der PasswortManager nicht

Lösung:

Wenn der PasswortManger in Chrome und FireFox nicht funktioniert, kann dies mit Ihrem Sophos Endpoint Virenschutz zusammenhängen (https://community.sophos.com/kb/en-us/111431).

Führen Sie folgende Schritte durch:

From Sophos Enterprise Console (SEC)

  1. Öffnen Sie die Sophos Enterprise Console
  2. Öffnen Sie die folgende Richtlinie zum Bearbeiten: Policies > Anti-virus and HIPS policy
  3. Klicken Sie auf "Authorization"
  4. In dem "Authorization Manager" klicken Sie auf "Websites"
  5. Klicken Sie auf "Add" um einen neuen Eintrag mit einen der folgenden Werte hinzuzufügen
    • Domain name
    • IP address with subnet mask
    • IP address
  6. Fügen Sie als IP-Adresse folgenden Wert ein: 127.0.0.1

Hinweis: Wildcards werden nicht unterstützt.

1. Für die Reinigung eignet sich ein handelsüblicher Klebefilm. Mit Hilfe des Klebestreifens lassen sich Verunreinigungen einfach entfernen.Warnsymbol

Achtung: Verwenden Sie bitte keine Reinigungsmittel.

 

2. Damit das Gerät den Abdruck lesen kann, sollten Sie Ihren Finger fest und vollständig auf die Fläche des Readers legen.  Verändern Sie die Position Ihres Fingers, falls das Gerät nicht reagieren sollte.

3. Beachten Sie, dass es sich um ein optisches Gerät handelt und das Lesen Ihres Fingerabdruckes durch Überbelichtung beeinträchtigt werden kann. Schirmen Sie Ihren Reader daher gegebenenfalls vor starkem Lichteinfall ab.

Micro Focus

Für AAF Version kleiner 6.3. SP6 Patch 1 (6.3.6.1)

Hinweis:

Die folgenden Änderungen müssen nach einem Update der Appliance erneut vorgenommen werden. Das Aktuelle AAF 6.3 SP6 hat die Fehlerbehebung noch nicht integriert.

Für das Bearbeiten der Dateien nutzen Sie am besten "vi". Auf der folgenden Seite (https://www.fehcom.de/pub/viref.pdf ) finden Sie ein paar Hinweise zur Verwendung von "vi". 

  1. Greifen Sie per SSH auf die AAF Server zu
  2. Öffnen und bearbeiten Sie die Datei „vi /opt/aauth/docker-compose.yml
    • Suchen Sie nach der Variablen „ES_JAVA_OPTS
    • Fügen Sie dieser Variable den Wert „-Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier ein Beispiel, wie es aussehen muss:
        • "ES_JAVA_OPTS=-Xms1g -Xmx1g -Dlog4j2.formatMsgNoLookups=true"
      • Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  3. Öffnen und bearbeiten Sie die Datei „vi /opt/risk/docker-compose.risk.yml
    • Suchen Sie in jedem Bereich nach der Variable „environment“
    • Fügen Sie dieser Variable den Wert -Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier einige Beispiele aus den Bereichen, wie es aussehen muss:
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Xmx1024m -Xms512m -Xss256k -XX:NewSize=700m -XX:MaxMetaspaceSize=128m -XX:MetaspaceSize=128m -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=512m -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=2g -Dlog4j2.formatMsgNoLookups=true"…
  4. Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  5. Starten Sie nun den AAF und Risk-Service Dienst neu
    • systemctl restart aauth
    • systemctl restart risk-service
    • Bitte prüfen Sie ob die Änderungen übernommen wurden:
      • grep -i "ES_JAVA_OPTS" /opt/aauth/docker-compose.yml
      • grep -i "JAVA_OPTS" /opt/risk/docker-compose.risk.yml
  6. Löschen Sie nun die JndiLookup.class auf dem AAF searchd Container
    • Paket per Zypper installieren (online)
      • docker exec -it aaf_searchd_1 bash
      • zypper -n in zip
    • Paket manuell installieren (offline)
    • zip -q -d lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • chown elasticsearch:elasticsearch lib/log4j-core-*.jar
    • exit

Log4j vulnerability and Advanced Authentication (microfocus.com)

Seit Februar wird das "U2F" Protokoll nicht mehr standartmäßig in Chromium Browsern unterstützt.

Hinweis:

Um dies weiterhin nutzen zu können, müssen Sie einen weiteren Registrykey in den Gruppenrichtlinien hinzufügen bzw. bearbeiten

Chrome:

     1. Öffnen Sie die Gruppenrichtlinienverwaltung

     2. Fügen Sie folgenden RegistryKey hinzu 

         HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\U2fSecurityKeyApiEnabled (REG_DWORD) und setzen Sie den Wert 0x00000001

     3. Weisen Sie die Policy den jeweiligen Computern zu

     4. Nach dem Neustart sollte "U2F" wieder nutzbar sein.

Microsoft Edge:

     1. Öffnen Sie die Gruppenrichtlinienverwaltung

     2. Fügen Sie folgenden RegistryKey hinzu 

         HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Edge\U2fSecurityKeyApiEnabled (REG_DWORD) und setzen Sie den Wert 0x00000001

     3. Weisen Sie die Policy den jeweiligen Computern zu

     4. Nach dem Neustart sollte "U2F" wieder nutzbar sein.

Bitte finden Sie anbei einen ofiziellen Link mit weiteren Informationen:

https://chromeenterprise.google/policies/#U2fSecurityKeyApiEnabled

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-policies#u2fsecuritykeyapienabled

Wenn das AAF an das Office 365 angebunden wurde kann es passieren, dass das ScanToMail am Drucker nicht mehr funktioniert, da die Drucker sich nicht per MFA Authentifizieren können. 

Dann muss für den "Scan-User" ein App-Kennwort angelegt werden.

How To Create App Passwords For Office 365 - Heliocentrix

Falls das anlegen des App-Kennworts nicht möglich ist, muss es noch über das Azure AD freigeschaltet werden.

Bilder sind im Anhang.

Dann das App Kennwort für die SMTP Anmeldung nutzen und das scannen sollte nun wieder funktionieren.

Download "Azure MFA picture 1"

Download "Azure MFA picture 2"

Yubico

Auf der Herstellerseite finden Sie ein breites Repertoire an Produktdatenblättern, Benutzerhandbüchern und weiteren Dokumentationen (in englischer Sprache).

Seit Version 3.2. unterstützt Joomla! Zwei-Faktor-Authentifizierung mit dem YubiKey von Haus aus. Für ältere Versionen benötigen Sie zusätzlich das Joomla! YubiKey-Plugin. (Bitte beachten Sie, dass dieses Plugin weder von MTRIX noch von Yubico geschrieben oder gewartet wurde.)

Folgen Sie dieser Anleitung, um Ihren Joomla!-Account mit dem YubiKey abzusichern.

1. Unter Erweiterungen - Plugins suchen Sie nach der Zwei-Faktor-Authentifizierung.

   Aktivieren Sie das YubiKey-Plugin.

2. Sie können entscheiden, ob Sie Zwei-Faktor-Authentifizierung für Ihre Webseite, den Administrator-Bereich oder beides aktivieren möchten.

3. Gehen Sie anschließend über Benutzer zu dem Nutzer, für den Sie die Zwei-Faktor-Authentifizierung einrichten möchten.

    Für diese ist durch die Aktivierung des YubiKey-Plugins ein neuer Reiter vorhanden, auf den Sie wechseln.

4. Klicken Sie auf das vorgesehene Feld für den Sicherheitscode. Lösen Sie anschließend Ihren YubiKey aus, in dem Sie auf seinen goldenen Sensor tippen.

   Es erscheint nun ein Code im Sicherheitscode-Feld.

5. Speichern Sie die Einstellungen. Die Zwei-Faktor Authentifizierung durch den YubiKey ist nun aktiviert.

Ihnen werden zusätzlich zehn Einmalpasswörter angezeigt. Diese können Sie alternativ zu Ihrem YubiKey verwenden, sollten Sie nicht auf die Zwei-Faktor-Authentifizierung zugreifen können.

Speichern Sie die Einmalpasswörter an einem sicheren Ort ab.

Auf der Website der Joomla! User Group Fulda finden Sie dazu zudem ein Video-Tutorial.

Bleiben Sie auf dem Laufenden!

Mit unserem Newsletter sind Sie beim Thema professionelle Authentifizierung immer up to date.

Zum Newsletter anmelden