Installation und Konfiguration YubiKey für WordPress und Joomla

Mittels eines YubiKey im OTP-Modus (one-time-password) kann man sich sehr sicher an eigenen gehosteten WordPress bzw. Joomla Installationen anmelden. Zusätzlich zum normalen yubikey und Schlüsselbund weissBenutzernamen und (einfachen) Passwort wird noch, ausgelöst durch einen Druck des YubiKey Knopfes, ein Einmal-Passwort angehängt bzw. zusätzlich eingegeben.

Diese Anleitung beschreibt, wie man die nötige Software runterläd, installiert und konfiguriert.

Voraussetzung

  • YubiKey
  • (recht) aktuelle WordPress oder Joomla Installation
  • Admin-Zugang zur WordPress oder Joomla Installation
  • Yubico Client ID (Erklärung siehe YubiCloud)
  • Client API Key (Erklärung siehe YubiCloud)
  • Key ID (Erklärung siehe YubiCloud)

YubiCloud

Der YubiKey generiert bei jedem Tastendruck ein neues Passwort. Woher soll der Server dieses kennen?

Dazu bietet yubico einen Dienst an, die YubiCloud, wo der Server nachfragt, ob das vom YubiKey eingegebene Einmal-Passwort korrekt war. Dazu muss der Server 3 Dinge wissen:

  1. Yubico Client ID
  2. Client API key (geheimer Schlüssel)
  3. Key ID – die ersten 12 Stellen von jedem Einmal-Passwort

Um die Daten für 1. und 2. zu bekommen, besucht man einfach mit dem Browser folgende Seite: https://upgrade.yubico.com/getapikey/

Dort gibt man im ersten seine Email-Adresse ein und drückt, mit dem Cursor im unteren Feld, den Knopf des YubiKey. Fertig.

Auf der folgenden Webseite bezeichnet die Client ID die Yubico Client ID und der mit “Secret Key” bezeichnete Eintrag den Client API Key.

WordPressWordpress Logo

Installation

Auf der WordPress-Plugin-Seite steht schon eine englische Kurzanleitung, was zu tun ist:

  1. aktuelle Version des Plugins von der Plugin-Downloadseite auf das Ziel-System (wo WordPress installiert ist) herunterladen, z.B. per wget:
    cd /tmp/
    wget http://downloads.wordpress.org/plugin/yubikey-plugin.0.95.zip
  2. Die Zip-Datei ins wp-content/plugins/ Verzeichnis der WordPress-Installation entpacken. Beispiel:
    cd /var/www/wordpress/wp-content/plugins/
    unzip /tmp/yubikey-plugin.0.95.zip

Das war es schon mit der Installation!

Konfiguration

 Benutzerkonfiguration

Für jeden Benutzer, der den YubiKey verwenden soll, muss in dessen Einstelliungen die Key-ID eingetragen sein und die Verwendung der YubiCloud aktiviert sein. Als Konfiguration muss nur die Key ID (die ersten 12 Stellen von jedem Einmal-Passwort) des Benutzers auf der Benutzer -> <Benutzername> editieren -> Profil Seite eingetragen werden.

Wordpress Benutzereinstellungen YubiKey

WordPress Benutzereinstellungen YubiKey

WordPress-Konfiguration

Ein neuer Menüpunkt ist bei dem Einstellungs-Dialog von WordPress dazugekommen.

Wordpress Einstellungsdialog YubiKey

WordPress Einstellungsdialog YubiKey

Dort muss die Yubico Client ID  und der API Key in folgenden Dinge eingetragen werden:

Wordpress Einstellung YubiKey

WordPress Einstellung YubiKey

Das war die Konfiguration.

 Login-Maske

In der Login-Maske von WordPress kommt danach ein zusätzliches Feld dazu, wo das YubiKey Einmalpasswort mittels Tastendruck auf dem YubiKey eingefügt wird:

Wordpress Anmeldemaske YubiKey

WordPress Anmeldemaske YubiKey

Benutzer mit aktiviertem YubiKey müssen dort das Einmalpasswort eingeben, bei den Anderen reicht der Benutzername und das Passwort.

 

 

JoomlaJoomla Logo

Installation

Das Plugin kann von der Joomla Erweiterungen Seite heruntergeladen werden bzw. der Pfad kopiert werden. Im Joomla Extension-Menü kann es dann installiert werden:
Joomla Extension Manager

Entweder indem das auf den PC heruntergeladene Paket über “Upload Package File” hochgeladen wird auf den Server oder der kopierte Pfad bei “Install from URL” eingegeben wird.

Konfiguration

Benutzerkonfiguration

Nach der Installation gibt es unter dem Obermenü “Components” einen neuen Punkt “Yubikey Authentication”.
Joomla Component YubiKey

Über “Add New Yubikey User” wird dann einem, schon vorhandenem, Benutzer ein YubiKey zugewiesen:

Unter Joomla einem Benutzer einen Yubikey hinzufügen

Joomla-Konfiguration

Ausserdem muss aber noch Joomla die Yubico Client ID und der API Key bekannt gemacht werden. Das passiert unter Extensions -> Plug-In Manager.
Joomla Extension Plug-in Manager

Klickt man auf “Authentication – Yubikey”, kommt man in folgendes Menü:
Joomla Plug-In Yubikey

Auf der linken Seite muss das Plug-in aktiviert (enabled) werden, der Rest ist Standard.

Rechts muss die Yubico Client ID bei “API ID” eingetragen werden, der Client API Key kommt bei “Secret Key” in das Feld.

Nachdem dieses Fenster gespeichert und geschlossen wurde muss noch der normale Authentifizierungsmechanismus von von Joomla deaktiviert werden (!).

Zurück im Plug-In Manager Menü (das obere Bild) muss bei “Authentification – Joomla” im Feld “Status” auf den grünen Haken geklickt werden. Das Symbol wandelt sich darauf in ein rotes Quadrat im Kreis – womit das Plug-In deaktiviert ist.

Das war die Konfiguration.

Login-Anmeldebildschirm

Im Gegensatz zu WordPress sieht man dem Joomla Anmeldebildschirm den Einsatz von YubiKeys nicht an.

Man muss statt dessen seinen Benutzernamen angeben und im Feld Passwort zuerst sein normales Joomla Passwort eintippen und danach den Knopf des YubiKey drücken. Das zusammengefügte Passwort wird dann überprüft und man ist drin.

 

Wenn noch Fragen bestehen, einfach bitte bei mir melden – im Impressum sind viele Kontaktmöglichkeiten angegeben.