<div dir="ltr">Is Kerberos the only mechanism in IDM using OTP?<div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 1, 2015 at 6:40 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/27/2015 11:37 AM, Matt Wells wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I see how that would work but as you mentioned, I no longer have SSO.<br>
<br>
My desktops are all 3.  Linux, Mac and Windows however the Windows<br>
systems talk with AD and a trust exists to facilitate those<br>
communications and SSO between the systems.<br>
<br>
It doesn't sound like this is really possible without the heavy loss<br>
of functionality.  This would be an amazing option to add though.  The<br>
ability to define a service and prioritize an authentication<br>
mechanism.<br>
</blockquote>
<br></span>
On Mac and Windows you would not get SSO anyways because Kerberos on thos platforms does not support latest RFCs related to 2FA at least yet and since they are proprietary it is unclear what their plans are.<br>
<br>
The problem we also have is that there is no way to be selective on the KDC/DS side - there is no way to determine what the client is and associate some policies to it.<br>
It would have to be the client that would have to have capability to enforce or not enforce 2FA if the server supports both. But again that means that Mac and Windows would have to keep up with this capability.<br>
<br>
Bottom line it is a popular request but it is unclear how we can satisfy it.<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
On Thu, Feb 26, 2015 at 2:09 PM, Dmitri Pal <<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 02/26/2015 12:40 PM, Matt Wells wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Had an error on my options for the list and the replies failed to get<br>
to me. We'll see if this reply works.  :)<br>
<br>
@Dmitri - Anyone coming through this service/host (OpenVPN with pam)<br>
will be required to use 2-Factor.  Their normal logins at their desk<br>
are not required for 2-factor, it's ok if they use it but it's not<br>
required at all.<br>
This VPN service is as assumed, exposed to the internet.  We're<br>
wanting to protect ourselves as best we can with AAA.<br>
</blockquote>
<br>
If we just talking about managing users in IdM and having tokens for them<br>
managed in IdM too then the recommendation is:<br>
<br>
- Set users to use OTP or password (set both check boxes)<br>
- Configure VPN to use Kerberos authentication against IPA - that will force<br>
use of 2FA with the policy above<br>
- Configure computers at the desk to use LDAP (you loose Kerberos SSO) -<br>
that would allow single factor with the policy above<br>
<br>
What are your desktops? Lunux? Mac?<br>
Is there any AD involved?<br>
<br>
<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
------------------------------<u></u>-<br>
I've got many of users setup with 2-Factor and I'd like to enforce it<br>
with some services.<br>
For example.<br>
Server <a href="http://vpn.example.com" target="_blank">vpn.example.com</a> is an openvpn servers setup to use PAM.<br>
Since he's tied to my 4.X IDM servers I can use 2-Factor with him.<br>
However I want to enforce that users from this system/service require<br>
2-Factor.<br>
Can anyone point me in the right direction?  My Google Foo is showing<br>
to be poor on this one and any guidance would be appreciated.<br>
<br>
As always thanks for taking the time to read over this.<br>
<br>
<br>
So do you want to use 2FA for some users and 1FA for others or do you<br>
want to have flexibility to use 2FA for the same user on one system<br>
and not another?<br>
Do you plan to use external tokens like RSA or you plan to use native<br>
OTP support in IPA?<br>
<br>
<br>
<br>
<br>
--<br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager IdM portfolio<br>
Red Hat, Inc.<br>
<br>
<br>
</blockquote>
<br>
--<br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager IdM portfolio<br>
Red Hat, Inc.<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</blockquote>
<br>
<br>
</blockquote>
<br>
<br>
-- <br>
Thank you,<br>
Dmitri Pal<br>
<br>
Sr. Engineering Manager IdM portfolio<br>
Red Hat, Inc.<br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><table border="0" cellpadding="0" cellspacing="0" width="100%" align="left" style="font-family:'Times New Roman';border:0px"><tbody><tr><td align="left" valign="top"><table border="0" cellpadding="0" cellspacing="0" width="500" align="left" style="border:0px"><tbody><tr><td width="12"> </td><td align="left" valign="top" width="112" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(204,204,204)"><a href="http://www.mosaic451.com" style="display:inline-block" target="_blank"><img src="https://gallery.mailchimp.com/532a3416ed0c36a86fd5d9e04/images/c698e9df-368d-4328-9d20-5e042798e7ad.jpg" width="106" height="85" border="0" align="left" alt="Mosaic451"></a></td><td align="left" valign="top"><table border="0" cellpadding="0" cellspacing="0" width="100%" align="left" style="border:0px"><tbody><tr><td align="left" valign="top" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(24,50,77);font-weight:bold">Matt Wells</td></tr><tr><td align="left" valign="top" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(0,0,0);font-weight:bold">Chief Systems Architect<br><span style="font-size:small">RHCVA, RHCA #110-000-353</span><br></td></tr><tr><td align="left" valign="top" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(0,0,0);font-size:12px"><a href="tel:7028080424" style="color:rgb(0,0,1);text-decoration:none" target="_blank">(702) 8</a>08-0424<br>matt.wells<a href="mailto:matt.wells@mosaic451.com" style="color:rgb(0,0,1);text-decoration:none" target="_blank">@mosaic451.com</a></td></tr></tbody></table></td></tr></tbody></table></td></tr><tr><td align="left" valign="top"><table border="0" cellpadding="0" cellspacing="0" width="500" align="left" style="border:0px"><tbody><tr><td height="15" colspan="8"></td></tr><tr><td width="10" height="34" bgcolor="#18324D"> </td><td height="34" align="left" valign="middle" bgcolor="#18324D" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(255,255,255);font-size:10px">Las Vegas | Phoenix | Portland</td><td height="34" align="right" valign="middle" bgcolor="#18324D"><a href="http://www.mosaic451.com" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;color:rgb(255,255,255);text-decoration:none;font-size:10px" target="_blank"> Mosaic451.com</a></td><td width="10" height="34" bgcolor="#18324D"> </td><td width="34" height="34" bgcolor="#0078AB" style="border-left-width:4px;border-left-style:solid;border-left-color:rgb(255,255,255);color:rgb(255,255,255)"><a href="https://www.facebook.com/Mosaic451" style="width:34px;height:34px;display:block" target="_blank"><img src="https://gallery.mailchimp.com/532a3416ed0c36a86fd5d9e04/images/740970a6-9eb6-4d40-a154-e53dc1448403.jpg" width="34" height="34" border="0" alt="Facebook"></a></td><td width="34" height="34" bgcolor="#0078AB" style="border-left-width:4px;border-left-style:solid;border-left-color:rgb(255,255,255);color:rgb(255,255,255)"><a href="https://twitter.com/mosaic451" style="width:34px;height:34px;display:block" target="_blank"><img src="https://gallery.mailchimp.com/532a3416ed0c36a86fd5d9e04/images/73bfd0cc-127d-4cec-b74a-371e32e70f21.jpg" width="34" height="34" border="0" alt="Twitter"></a></td><td width="34" height="34" bgcolor="#0078AB" style="border-left-width:4px;border-left-style:solid;border-left-color:rgb(255,255,255);color:rgb(255,255,255)"><a href="https://www.google.com/+Mosaic451" style="width:34px;height:34px;display:block" target="_blank"><img src="https://gallery.mailchimp.com/532a3416ed0c36a86fd5d9e04/images/cf87ec1c-5d25-4e6f-ab05-6aecd73a8062.jpg" width="34" height="34" border="0" alt="Google Plus"></a></td><td width="34" height="34" bgcolor="#0078AB" style="border-left-width:4px;border-left-style:solid;border-left-color:rgb(255,255,255);color:rgb(255,255,255)"><a href="https://www.linkedin.com/company/mosaic451" style="width:34px;height:34px;display:block" target="_blank"><img src="https://gallery.mailchimp.com/532a3416ed0c36a86fd5d9e04/images/5ea058cb-e4d6-4027-8b87-b73f0fb6e31a.jpg" width="34" height="34" border="0" alt="LinkedIn"></a></td></tr><tr><td height="18" colspan="8"></td></tr></tbody></table></td></tr><tr><td><table border="0" cellpadding="0" cellspacing="0" width="500" align="left" style="border:0px"><tbody><tr><td width="12"></td><td align="left" valign="top" style="font-family:'Century Gothic',CenturyGothic,AppleGothic,sans-serif;font-size:10px;line-height:16px;color:rgb(0,0,0)">CONFIDENTIALITY NOTICE: This transmittal is a confidential communication or may otherwise be privileged. If you are not intended recipient, you are hereby notified that you have received this transmittal in error and that any review, dissemination, distribution or copying of this transmittal is strictly prohibited. If you have received this communication in error, please notify this office, and immediately delete this message and all its attachments, if any.</td><td width="12"></td></tr></tbody></table></td></tr></tbody></table></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div></div></div></div></div></div></div>
</div></div></div>