Benutzer-Werkzeuge

Webseiten-Werkzeuge


hilfe:nextcloud:2fa

Zwei-Faktor-Authentifizierung

Für beide Cloud-Server sind für die Anmeldung über die Internetseiten https://cloud.bszleo.de und https://lehrer.bszleo.de bzw. https://lehrerinnen.bszleo.de die Zugangsdaten aus dem pädagogischen Netz notwendig (Kürzel in Kleinbuchstaben mit Passwort), mit denen man sich auch an den Rechnern im pädagogischen (Schul-)Netz und bei weiteren Diensten anmelden kann.

Für die Lehrer-Cloud muss aus Sicherheitsgründen die Zwei-Faktor-Authentifizierung (2FA) aktiviert werden, die zusätzlich zu Benutzername und Passwort einen zweiten Faktor abfragt. Für die pädagogische Cloud ist eine 2FA nicht zwingend erforderlich, wird aber dennoch empfohlen.
Am einfachsten geschieht dies über die App „FreeOTP“ auf einem persönlichen, mobilen Gerät (Smartphone oder Tablet), das zum Zeitpunkt der Anmeldung einen zusätzlichen Schlüssel aus 6 Zahlen generiert, den man bei der Anmeldung eingeben muss.
Wer einen alternativen App-Store wie F-Droid verwendet, kann die App „FreeOTP+„ installieren und hat damit die Möglichkeit, die Einstellungen der App zu sichern.
Auf älteren iOS-Geräten könnte „OTP Auth“ eine Alternative sein.

ACHTUNG: Ohne dieses Gerät ist bei aktivierter Zwei-Faktor-Authentifizierung eine Anmeldung nur noch mit Backup-Codes möglich.


Aktivierung der Zwei-Faktor-Authentifizierung

 Nextcloud Einstellungen

Zur Aktivierung der Zwei-Faktor-Authentifizierung, die für die Lehrerkräfte-Cloud zwingend einzurichten ist, meldet man sich auf der Internetseite des Cloud-Servers an. Dort klickt man rechts oben auf den ersten Buchstaben seines Namens (hier „R“ auf Lila) und dann darunter auf „Einstellungen“.

Im linken Menü werden dadurch die Möglichkeiten für die persönlichen Einstellungen angezeigt, von denen man „Sicherheit“ per Mausklick auswählt. Jetzt aktiviert man auf der Seite den Eintrag „TOTP Zweifaktorauthentifizierung, TOTP (zeitgesteuertes Einmalpasswort) aktivieren“ (Haken setzen). Daraufhin wird ein QR-Code erzeugt und angezeigt.

Der QR-Code kann mit der App „FreeOTP“ mit dem Mobilgerät eingescannt werden. Dazu QR-Code-Symbol oben in der App antippen. Die App erzeugt daraufhin einen Eintrag für diesen Server. Tippt man auf diesen Eintrag, so wird aus einem gemeinsamen Geheimnis (QR-Code) und der Uhrzeit ein Einmalcode erzeugt und angezeigt.
Scannt man diesen QR-Code mit der App auf mehreren Geräten, kann man den zweiten Faktor auf mehreren Geräten gleichzeitig einrichten.

 2FA QR-Code

Durch Tippen in der App auf den Eintrag für diesen Server, generiert die App wiederkehrend anhand der Uhrzeit eine 6-stellige Nummer, der zukünftig als zweiter Faktor für den Anmeldevorgang notwendig ist. Diese Nummer wird unten („Authentifierungscode“) eingegeben und anschließend auf „Überprüfen“ geklickt.
Hat man mehrere Geräte parallel eingerichtet, muss die 6-stellige Zahl bei allen Geräten gleich lauten. Wen nicht, stimmt irgendwo die Uhrzeit nicht.

Als Notfallzugang bei Problemen mit der Zwei-Faktor-Authentifizierung sollte man auf dieser Internetseite unter Zweitfaktor Backup-Codes auf „Backup-Codes erzeugen“ klicken und diese Codes an sicherer Stelle ablegen.

Hinweis 1: Deaktiviert man TOTP und aktiviert es anschließend wieder, so verlieren alle bisherigen QR-Codes ihre Gültigkeit und müssen neu eingerichtet werden.

Hinweis 2: Sollte es beim Anmelden mit der Zwei-Faktor-Authentifizierung Probleme geben, könnte die falsche Uhrzeit die Ursache sein. Bitte überprüfen und gegebenenfalls korrigieren.

Hinweis 3: Die Zwei-Faktor-Authentifizierung mit FreeOTP ist auch für viele andere Server-Dienste als zusätzliche Sicherheit sehr empfehlenswert (z.B. PayPal, GMail…).

Wechsel des Gerätes mit der Zwei-Faktor-Authentifizierung

Es gibt mehrere Möglichkeiten das „Secret“ auf ein neues Gerät zu bringen.

1) Die App FreeOTP+ hat eine Backupfunktion. Damit kann man die Einstellungen in eine Datei sichern, diese Datei beispielsweise über die Nextcloud auf das neue Gerät bringen und dort wieder einspielen.

2) Wird das „Secret“ in der verwendeten App angezeigt (über edit), dann kann man diese ca. 18-stellige Buchstaben-Zahlenkombination in die App im neuen Gerät übertragen.

3) An der Nextcloud mit dem zweiten Faktor des alten Geräts anmelden. Die 2-F-A abschalten durch Entfernen des Hakens bei TOTP unter Einstellungen → Sicherheit. Anschließend aktiviert man die 2-F-A wieder ein wie oben beschrieben.

Verlust des Gerätes mit der Zwei-Faktor-Authentifizierung

Steht das Gerät mit dem zweiten Faktor nicht mehr zur Verfügung, müssen Sie sich mit den Backup-Codes an der Nextcloud anmelden, die 2-F-A abschalten und mit einem anderen Gerät wieder einrichten.

Haben Sie auch keine Backup-Codes zur Verfügung, wenden Sie sich mit einer guten Ausrede (Kuchen?) an die Netzwerker.

hilfe/nextcloud/2fa.txt · Zuletzt geändert: 2020/06/10 23:23 von roe