OpenPGP-Schlüsselpaar mit Thunderbird erzeugen

Wie erzeuge ich mit Thunderbird ein OpenPGP-Schlüsselpaar?

Um die Ende-zu-Ende-Verschlüsselung mit OpenPGP in Thunderbird verwenden zu können, müssen sich E-Mail-Nutzer:innen zunächst ein Schlüsselpaar generieren oder ein bereits vorhandenes Schlüsselpaar in Thunderbird importieren. Nachfolgend wird die Schlüsselerzeugung in der OpenPGP-Schlüsselverwaltung von Thunderbird beschrieben.

Öffnen Sie in der OpenPGP-Schlüsselverwaltung von Thunderbird den Schlüsselgenerator über folgende Menüpunkte:
Extras >> OpenPGP-Schlüssel verwalten >> Erzeugen >> Neues Schlüsselpaar

Verwenden Sie die Einstellungen wie im folgenden Screenshot dargestellt:

Nach der Erzeugung wird das Schlüsselpaar in der Schlüsselverwaltung fett gedruckt dargestellt:

Das neu erzeugte Schlüsselpaar kann man exportieren, wobei der geheime Schlüssel auf einem externen Medium gesichert und mit einer Passphrase geschützt werden sollte.

Der öffentliche Schlüssel lässt sich exportieren, indem man das Schlüsselpaar markiert und das Kontextmenü mit der rechten Maustaste öffnet:

Der öffentliche Schlüssel kann nun an Kommunikationspartner verteilt werden, z.B. indem man ihn im FAU-Schlüsselverzeichnis veröffentlicht. Der geheime Schlüssel muss sicher verwahrt werden.

Wichtiger Hinweis:

Bitte setzen Sie bei Thunderbird über Einstellungen >> Datenschutz und Sicherheit >> Hauptpasswort verwenden unbedingt ein Hauptpasswort, da andernfalls der geheime Schlüssel ungeschützt im Thunderbird-Profilverzeichnis abgelegt wird.

Zusatzinformation für fortgeschrittene OpenPGP-Nutzer:

Thunderbird bietet seit Version 78 für den geheimen Schlüssel leider nicht mehr den von Enigmail/GnuPG gewohnten Schutz durch eine Passphrase, die nach Ablauf einer einstellbaren Caching-Dauer immer wieder abgefragt wird. Vielmehr wird der Schlüssel nur durch das Hauptpasswort geschützt, das einmalig beim Starten von Thunderbird abgefragt wird. Mit dem Hauptpasswort wird ein automatisch generiertes Zufallspasswort symmetrisch verschlüsselt und im Profilverzeichnis in der Datei encrypted-openpgp-passphrase.txt  abgelegt. Mit dem Zufallspasswort werden u.a. alle in der Thunderbird-Schlüsselverwaltung vorhandenen geheimen OpenPGP-Schlüssel verschlüsselt in der Datei key4.db gespeichert.

Es besteht grundsätzlich die Möglichkeit, den geheimen Schlüssel mittels GnuPG statt mit der Thunderbird-Schlüsselverwaltung zu verwalten und damit erhöhte Sicherheitsanforderungen zu erfüllen (Konfig-Editor: mail.openpgp.allow_external_gnupg = true setzen). Den geheimen GnuPG-Schlüssel kann man dann über Konten-Einstellungen >> Ende-zu-Ende-Verschlüsselung >> OpenPGP >> Schlüssel hinzufügen über die Option Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard) dem E-Mail-Konto zuordnen. Der zugehörige öffentliche Schlüssel muss allerdings in der Thunderbird-Schlüsselverwaltung vorhanden sein.

Bei Thunderbird (64 bit) unter Windows ist es zusätzlich erforderlich, die Umgebungsvariable PATH manuell anzupassen.

Unter Linux muss zusätzlich zu GnuPG die C-Bibliothek GPGME installiert werden.

Datenträger sicher löschen und entsorgen

Datenträger enthalten potenziell sensible Daten und sollten vor der Entsorgung immer gelöscht oder zerstört werden, damit die Daten nicht mit speziellen Werkzeugen wiederhergestellt werden können.
Sensible Daten können vielfältig sein und von Personaldaten über wissenschaftliche Forschungsergebnisse oder Medizindaten bis hin zu einfachen persönlichen Urlaubsfotos, E-Mails und Browserverläufen reichen. Werden die Daten nicht gezielt gelöscht, könnten sie auch von „eifrigen“ Laien mit entsprechenden frei verfügbaren Werkzeugen wiederhergestellt und missbraucht oder ungewollt im Internet veröffentlicht werden. Bei Forschungsergebnissen oder Betriebsinterna besteht eine erhöhte Wahrscheinlichkeit, dass erweiterter Aufwand in die Restauration von Daten investiert wird.

EINFACHES LÖSCHEN UNTER WINDOWS, LINUX ODER MAC ENTFERNT DIE DATEN NICHT KOMPLETT VON DER FESTPLATTE
Bei regulärem Löschen einer Datei, werden die belegten Sektoren auf Dateisystemebene als frei und neu beschreibbar markiert. Die Daten selbst bleiben aber erhalten, bis sie von neuen Daten überschrieben werden. Auch, wenn die Datenträger nach einer gängigen Methode verschlüsselt wurden, sollten sie nicht einfach entsorgt werden, da die Daten trotzdem noch vorhanden sind und es entweder mit ausreichendem Rechenaufwand oder durch künftige Entwicklungen möglich sein könnte, die Daten durch Dritte wieder zu entschlüsseln

BEI EINER ENTSORGUNG HILFT DIE „HOLZHAMMER“-METHODE
Für Medien, die ohnehin entsorgt werden, ist die Holzhammer-Methode oft die schnellste Variante. Dabei setzt man einen Schraubendreher an und durchschlägt das dünne Metallgehäuse mit einem Hammer mehrfach, um die HDD mechanisch zu zerstören. Noch besser geeignet ist eine Ständerbohrmaschine, mit der man das Gehäuse mehrfach durchbohrt. Hier ist zu beachten, dass die Datenträger nicht
immer die komplette Fläche des Gehäuses bedecken; die Daten sind aber erst dann zerstört, wenn wirklich die datentragenden Teilen durchbohrt werden.

Entsorgungen von Datenträgern erfolgen an der FAU immer über das Sachgebiet Umweltmanagement der Zentralen Universitätsverwaltung (ZUV). Einrichtungen, die häufig Datenträger
entsorgen müssen, können dort auch Behälter zur sicheren Datenträgervernichtung bestellen, die regelmäßig geleert werden. Externe Firmen kümmern sich dann um die vertraglich geregelte und fachgerechte Entsorgung. Ein vorheriges Löschen oder Zerstören des Datenträgers ist aber immer ratsam, wenn die Festplatte und somit die Daten den „Besitzer“ wechseln.

MAGNETISCHE FESTPLATTEN MIT NULLEN ÜBERSCHREIBEN
Hard-Disk-Drives (HDDs), also Festplattenlaufwerke, lassen sich relativ unkompliziert mit OpenSource-Software so lange mit Nullen überschreiben, bis die ursprünglichen Daten nicht mehr restaurierbar sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für ältere HDDs (<80 GB) die Daten siebenfach zu überschreiben. Bei modernen HDDs genügt es, die Daten bei normalem Schutzbedarf ein bis zweimal mit Nullen zu überschreiben. Das RRZE hat für diesen Zweck gute Erfahrungen mit Darik’s Boot and Nuke (DBAN) gemacht, das sich direkt von einem USB-Stick booten und ausführen lässt.

FLASH-SPEICHER SICHER LÖSCHEN
Mittlerweile haben in den meisten IT-Geräten Flash-Speicher HDDs ersetzt. Für diese Speichermedien gibt es bisher keinen Tipp zur Datenlöschung, der auf allen Betriebssystemen immer angewendet werden kann. Das mehrfache Überschreiben bei Flash-Speichern funktioniert nicht. Flash-Speicher (SSD, M2, USB-Stick, SD-Card) enthalten redundante Speicherblöcke, die der Ausfallsicherheit dienen. Sie verfügen außerdem über einen eigenen, intelligenten Controller zur Organisation der Daten, der dafür sorgt, dass bei jedem Schreibvorgang andere Zellen genutzt werden. Ein mehrfaches Überschreiben der Daten ist
daher keine Garantie dafür, dass auch alle Speicherblöcke überschrieben werden. Ein mechanisches „Durchbohren“ beschädigt ebenfalls nicht alle Speicherblöcke zuverlässig, wenn das Gehäuse nicht aufgeschraubt und überprüft wird,ob alle Speicherblöcke getroffen wurden.

Dennoch gibt es Möglichkeiten, auch Flash-Speicher zuverlässig zu löschen. Das BSI empfiehlt, hierfür den ATA-Befehl „Enhanced Security Erase“ zu nutzen. Dieser Befehl weist den Controller an alle
Speicherzellen zurückzusetzen. Um ein solches ATA Secure Erase auszuführen, gibt es verschiedene Methoden; die meisten IT-Fachmagazine empfehlen nur das jeweils spezifische Tool des Festplattenherstellers zu verwenden. Diese Software kann jedoch nur die herstellereigenen Datenträger sicher löschen und nicht die der anderen Hersteller. Für IT-Verantwortliche mitunter ein mühsames Unterfangen, denkt man an die Vielzahl an Anbietern auf dem Markt.

Abhilfe schafft der Secure Erase „hdparm“ unter Linux. Diese Variante ist herstellerunabhängig und sollte bei allen modernen Flash-Speichern funktionieren. Informieren Sie sich auf S. 8, wie Sie Daten auf Flash-Speichern mit SATA-Schnittstelle mit Hilfe von hdparm löschen.

Für die neueste Generation an Flash-Speichern, sogenannte NVMe-Datenträger mit PCI-Express-Schnittstelle, kann hdparm nicht genutzt werden. Hier gibt es vergleichbare Open-Source-Programme,
wie beispielsweise „nvme-cli“, die einen vergleichbaren Funktionsumfang bieten.

BITTE BEACHTEN SIE
Bevor Geräte, die nicht eindeutig defekt sind, entsorgt werden können, muss deren Verwendbarkeit in der FAU oder bei anderen Stellen des Freistaats Bayern überprüft werden.

Weiterführende Links:

SATA-Datenträger sicher löschen mit hdparm

Löschen von Flash-Speichern mit SATA-Schnittstelle mittels Linux (hdparm)

  1. Linux (z. B. Ubuntu) kann direkt von einem USB-Stick gestartet werden. Eine Installation des Betriebssystems
    ist nicht zwingend notwendig. Wichtig ist, dass der zu löschende Datenträger an einem SATA-Kabel des Rechners
    angeschlossen wurde. Es empfiehlt sich nur den zu löschenden Datenträger am System anzuschließen.
  2. Öffnen Sie ein Terminal-Fenster und geben sie folgenden Befehl ein: sudo hdparm -I /dev/sda
    • Die Ausgabe sollte in etwa so aussehen:
      Security:
      Master password revision code = 65534
      supported
      not enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
      Der Datenträger sollte auf „not enabled, not locked, not frozen und not expired“ stehen.
  3. Der Datenträger darf nicht im Status „frozen“ sein, da der Vorgang sonst nicht ausgeführt werden kann.
    a. Um den „frozen“-Status aufzuheben, wird folgender Befehl verwendet: sudo systemctl suspend
    b. Überprüfen, ob der Befehl erfolgreich war: sudo hdparm -I /dev/sda
  4. Die Festplatte muss anschließend mit einem Passwort versehen werden:
    sudo hdparm –user-master u –security-set-pass [geheim] /dev/sda
  5. Erneut mit sudo hdparm -I /dev/sda prüfen, ob die Aktion erfolgreich war.
    • Die Ausgabe sollte so aussehen:
      Security:
      Master password revision code = 65534
      supported
      enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      Security level high
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
  6. Nun kann der Datenträger mit folgendem Befehl sicher gelöscht werden:
    sudo time hdparm –user-master u –security-erase [geheim] /dev/sda
    Folgende Ausgabe sollte angezeigt werden:
    security _ password: „geheim“
    /dev/sda:
    Issuing SECURITY _ ERASE command, password= „geheim“, user=user
    0.00user 0.00system 0:22.43elapsed 0%CPU (0avgtext+0avgdata 1868maxresident)k
    0inputs+0outputs (0major+79minor)pagefaults 0swaps
  7. Ein letztes Mal den Status des Datenträgers überprüfen:
    sudo hdparm -I /dev/sda

Wenn alles geklappt hat, erhalten Sie folgende Ausgabe:
Security:
Master password revision code = 65534
supported
not enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Damit ist die Festplatte gelöscht und der Vorgang abgeschlossen

Adobe Acrobat Pro, Captivate und Creative Cloud auf Rechnern der FAU

Anleitungen für Adobe-Mietlizenzen

Die dienstliche Nutzung von lizenzpflichtigen Adobe-Produkten ist Beschäftigten an der FAU nur auf Dienstgeräten und nur in Verbindung mit einer persönlichen, durch das RRZE verwalteten Federated ID, möglich. Adobe erzwingt die Verwendung von personenbezogenen IDs.  Ohne personengebundene Lizenzierung können Adobe-Produkte nicht mehr verwendet werden.

Neu ab 08/2022:

Für Adobe Acrobat Professional hat die FAU eine Personal-Flatrate, so dass jeder, der die Software nutzen möchte, auch eine Lizenz selbstständig im IdM beantragen kann. Die Finanzierung erfolgt zentral über die Fakultäten, so dass die Einrichtungen keine Einzelbestellungen vornehmen müssen und die Einzelabrechnung der Lizenzen entfällt.

Die personengebundene Lizenz (NUL = named User License) ist für Beschäftigte der FAU direkt nutzbar, wenn die IT-Verantwortlichen die vom RRZE bereitgestellte Software (Anmeldung mit Kontaktpersonen-Kennung) auf den Dienstgeräten installiert haben.

Ebenso können CIP-Pools, Bibliotheken und Labore die gerätegebundene Lizenz (SDL = Shared Device License) nach Freischaltung durch das RRZE nutzen.

Wenn eine Adobe-Lizenz für Adobe Creative Cloud oder für Adobe Captivate benötigt wird, dann muss diese über die für die Einrichtung verantwortliche RRZE-Kontaktperson kostenpflichtig bestellt und auf die benutzende Person zugewiesen werden. Die aktuellen Preise sind der Preisliste zu entnehmen.

Weitere Informationen siehe FAQ – Adobe Creative Cloud.

In CIP-Pools können Studierende und Lehrende angebotene Adobe-Produkte kostenlos nutzen, wenn sie eine Adobe Federated ID gem. dieser Anleitung für sich erzeugt haben und die Software installiert ist. Über die Verfügbarkeit gibt das Betreuungspersonal vor Ort Auskunft.

Schritt für Schritt zur Adobe-Lizenz

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Selfservice – Allgemeine Einstellungen wird die Adobe Federated ID angelegt. Es ist mit ca. 2h Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind.
  • die Software muss installiert sein (Administrator, Software Center).

CIP-Pools: Über die Verfügbarkeit gibt das Betreuungspersonal vor Ort Auskunft.

  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen. Ausnahme: nicht erforderlich für Adobe Acrobat, ab 08/2022 unbegrenzt nutzbar
  • diese Anleitung wurde befolgt (s.a. weiteres Vorgehen für Benutzer:innen).

(Weitere) Adobe Lizenzen bestellen

  • als RRZE-Kontaktperson mit der IdM-Hauptkennung am Kundenportal anmelden
  • Kundennummer unter „Kunus wählen“ auswählen
  • unter „Software bestellen“  / Produkt suchen nach
    • Adobe Acrobat  /  Artikel: labacrpn (nicht plattformspezifisch) ab 08/2022 Adobe Acrobat unbegrenzt nutzbar
    • Adobe CC / Artikel: labcda1n (nicht plattformspezifisch)
  • gewünschte Menge der Lizenzen und Laufzeit in Monaten eingeben
  • mit Klick auf „Bestellen“ abschließen

Adobe Abos verwalten

  • Sobald die Bestellung vom RRZE freigeschaltet ist und der per Mail zugesandte Lieferschein unterzeichnet und an software@fau.de zurückgesendet ist, muss die RRZE-Kontaktperson  jede Person, die eine Lizenz (Abo) erhalten soll, im Portal zur Verwaltung von Named User-Lizenzen (NUL) eintragen.
  • Es kann einige Minuten dauern, bis die Lizenzen im Portal angezeigt werden.
  • RRZE-Kontaktpersonen haben mit der IdM-Hauptkennung automatisch Zugriff auf das Portal und müssen beim ersten Login nur bestätigen, dass sie diese Funktion übernehmen.
  • Weitere Hinweise sind in der Anleitung zum Lizenzverwaltungsportal zu finden
  • Portal zur Verwaltung von Named User-Lizenzen (NUL) öffnen

Ausnahme: Multi-User- bzw. Gerätelizenzen (SDL = Shared Device License) in CIP-Pools, Bibliotheken und Unterrichtsräumen

Bei Pool-Geräten mit Adobe CC Pro SDL reicht zur Nutzung die Zustimmung zur Datenübertragung an Cloud-Dienste durch den/die Benutzer:in, um sich per SSO anzumelden zu können. Es ist mit ca. 2h Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind. Erst dann sind Anmeldung und Zugang zum Programm möglich.

Sobald Sie sich abmelden, können die Anwendungen nicht mehr genutzt werden.

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Selfservice – Allgemeine Einstellungen wird die Adobe Federated ID angelegt. Es ist mit ca. 2h Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind.
  • die Software muss installiert sein (Administrator, Software Center).
  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen. nicht erforderlich, ab 08/2022 Adobe Acrobat unbegrenzt nutzbar
  • diese Anleitung wurde befolgt (s.a. weiteres Vorgehen für Benutzer:innen).

Adobe Acrobat Pro DC

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Selfservice – Allgemeine Einstellungen wird die Adobe Federated ID angelegt. Es ist mit ca. 2h Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind.
  • die Software muss installiert sein (Administrator, Software Center).
  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen.
  • diese Anleitung wurde befolgt (s.a. weiteres Vorgehen für Benutzer:innen).

Adobe Captivate (in Arbeit)

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Selfservice – Allgemeine Einstellungen wird die Adobe Federated ID angelegt. Es ist mit ca. 2h Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind.
  • die Software muss installiert sein (Administrator, Software Center).
  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen.
  • diese Anleitung wurde befolgt (s.a. weiteres Vorgehen für Benutzer:innen).

Adobe Creative Cloud Pro

Anwendungen verwalten (Installieren / Deinstallieren)

Im Creative Cloud-Desktop ist eine Übersicht der installierten Anwendungen.

Auf vom RRZE per Windows Softwareverteilung oder FAUmac Self Service verwalteten Geräten können die benötigten Anwendungen selbständig installiert und Updates ausgeführt werden.

In den FAQ sind Hinweise zur Nutzung von Adobe Creative Cloud Pro zu finden.

Support für Software durch das RRZE

Portal zur Verwaltung von Named User-Lizenzen (NUL)

Anleitung für RRZE-Kontaktpersonen

Für kostenpflichtige Named User-Lizenzen (Produkte mit Cloud-Anbindung), die über die Software-Preisliste des RRZE bestellt werden können, erfolgt die Verwaltung der „Abos“ durch die RRZE-Kontaktpersonen.

Vorschau auf das „Portal zur Verwaltung von Named User-Lizenzen (NUL)“

Zugang zum Lizenzverwaltungsportal haben nur RRZE-Kontaktpersonen.

Bei Bedarf kann nach Kundennummer (1) oder Produkt (2) gefiltert werden.

Weitere Lizenzen können im Kundenportal bestellt werden.

Neben Kundennummer (4) und Artikel (5) wird angezeigt, wie viele Nutzungsrechte (6) insgesamt für den Artikel verfügbar sind. Außerdem werden alle aktiven Nutzungsverträge nebst Laufzeitende angezeigt (7).

Klicken Sie auf das blaue Personensymbol (9) mit dem Pluszeichen, um einer Person ein verfügbares Abo (10) zuzuweisen.

Es kann nach IdM-Kennung, E-Mail oder Name gesucht werden.


Es sind die produktspezifischen Hinweise (3) nach dem Hinzufügen zu beachten.

Wenn die hinzugefügte Person die jeweiligen Cloud-Nutzungsbestimmungen noch nicht akzeptiert hat, wird dies durch ein rotes X (11) rechts neben der E-Mail-Adresse angezeigt.

Für jeden Hersteller muss die Zustimmung zur Datenübertragung an Cloud-Services einzeln erteilt werden, zum Beispiel Microsoft oder Adobe.
Die Zustimmung erfolgt über den IdM SELF SERVICE. Danach wird der Account angelegt und das Abo kann zugewiesen werden.

Über das rote Personensymbol mit dem Minuszeichen (8) kann die Lizenz wieder entzogen werden.

Support für Software durch das RRZE

Empfehlungen für SSH-Keys

An dieser Stelle werden Empfehlungen zur Nutzung von SSH-Keys angegeben.

SSH-Keys generieren

Mittlerweile gelten viele Algorithmen zur Schlüsselerstellung so z.B. RSA mit geringer Schlüssellänge oder DSA als unsicher. Der sicherste Algorithmus der heutzutage zur Genernierung von SSH-Keys verfügbar ist, ist ED25519. Das RRZE emfphielt die Nutzung dieses Algorithmus zur SSH-Key Generierung:

bash$ ssh-keygen -t ed25519 
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/username/.ssh/id_ed25519): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/username/.ssh/id_ed25519.
Your public key has been saved in /home/username/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:S7/10UOXix32PxaQq2PcH7o2lPzgtbdmnZ7UgWHrpY4 user@host
The key's randomart image is:
+--[ED25519 256]--+
|                 |
|                 |
|             o.  |
|            .o+ .|
|        S   .o+B.|
|       . o  .*B+B|
|        . o *+*=O|
|           Bo*.%*|
|          oEo+X+*|
+----[SHA256]-----+

Standardmäßig wird das Schlüsselpaar im .ssh Verzeichnis des Homes angelegt. Es sollte immer ein sicheres Passphrase (Kennwort) für einen Schlüssel angegeben werden. So kann sichergestellt werden, dass ein Angreifer den privaten Schlüssel nicht ohne das Kennwort nutzen kann. Der öffentliche Schlüssel wird an gleicher Stelle mit der Endung .pub angelegt.

SSH-Keys nutzen

Damit die Authentifizierung mittels SSH-Keys genutzt werden kann, muss der öffentliche Schlüssel auf dem gewünschten Host mittels ssh-copy-id kopiert werden.

bash$ ssh-copy-id user@host
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
Password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@host'"
and check to make sure that only the key(s) you wanted were added.

Für RRZE-Betreute Systeme können RRZE-Mitarbeiter SSH-Keys mittels einer SSH-Key Verwaltung im IdM Portal einpflegen. Diese Keys können dann auf Servern die am RRZE-Saltstack angebunden sind genutzt werden. Vorraussetzung hierfür ist allerdings dass keine NFS-Homes auf den jeweiligen Server benötigt werden.

SSH-Agent nutzen

Der SSH-Agent speichert einen einmal entsperrten Schlüssel zwischen, so dass nicht bei jeder Nutzung eines mit Passphrase gesicherten Schlüssels die Passphrase erneut eingegeben werden muss.

Damit das funktioniert muss der SSH-Agent am besten automatisch nach der Anmeldung gestartet werden und einige Umgebungsvariablen gesetzt werden. Zur Erhöhung der Sicherheit kann ein Timeout konfiguriert werden nach dem der jeweilige Schlüssel wieder aus dem Speicher des SSH-Agents gelöscht wird. Nach Ablauf des Timeouts muss man die Passwphrase also erneut eingeben, um den Key ein weiteres mal zu entsperren.

Um zu verhindern das der SSH-Agent mehrmals gestartet wird empfiehlt es sich zum Beispiel folgendes Script-Snippet in die ~/.bashrc einzufügen.

Bitte nicht „blind“ übernehmen. Vor allem auf Desktop-Installationen wird der SSH-Agent meist ohnehin schon automatisch gestartet.

# START: ssh-agent setup
SSH_ENV="$HOME/.ssh/environment"
SSH_TIMEOUT=3600

function start_agent {
    echo "Initialising new SSH agent..."
    /usr/bin/ssh-agent -t ${SSH_TIMEOUT} > "${SSH_ENV}"
    echo "succeeded"
    chmod 600 "${SSH_ENV}"
    source "${SSH_ENV}"
}

if [ -f "${SSH_ENV}" ]; then
    source "${SSH_ENV}"
    ps -ef | grep ${SSH_AGENT_PID} | grep ssh-agent > /dev/null || start_agent
else
    start_agent
fi
# END: ssh-agent setup

 

 

Zugriff auf Linux Server am RRZE

Diese Anleitung beschreibt wie auf Linux-Server am RRZE zugegriffen werden kann, welche Möglichkeiten der Authentifizierung genutzt werden können und wie root Rechte erlangt werden können.

Zugriff per SSH

Auf jeden Server der durch das RRZE gewartet wird läuft ein SSH-Daemon, hiermit ist SSH der vorgezogene Weg um eine Konsole auf einem Server zu öffnen. Prinzipiell ist der Zugriff mittels berechtigter IdM-Hauptkennung aus allen Uni-Netzen / VPN möglich.
Ausnahme sind Dialog-Server die Weltweit erreichbar sind. Bei Kunden-Servern können noch einzelne externe IPs freigeschaltet werden.

Welche Möglichkeiten zur Authentifizierung gibt es?

Neben der Authentifizierung mit Passwort/OTP ist in einigen Konstellationen auch eine SSH-Key basierte Authentifizierung möglich.
Was hierzu beachtet werden muss und wie OTP-Devices/SSH-Keys verwaltet werden können wird im folgenden Abschnitt erläutert.

LDAP mit NFSv4 Homes (Netapp)

In dieser Konstellation kann nur eine Passwort-basierte Authentifizierung mit optionalen 2-Faktor genutzt werden, da für das Mounten der Homes ein Kerberos-Ticket notwendig ist und hierfür eine Passwort-Eingabe gebraucht wird.
Root Rechte können mit sudo mittels der IdM-Hauptkennung erlangt werden, hierzu ist noch ein 2-Faktor notwendig.
OTP Tokens für einen 2 Faktor können an dieser Stelle verwaltet werden.

Zusammenfassung – LDAP mit NFSv4 Homes

Authentifizierung/Login Passwort
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

LDAP mit lokalen Homes

Hier kann neben der Passwort-basierten Authentifizierung auch eine Authentifizierung mit SSH-Keys erfolgen.
Root Rechte können wie im vorherigen Fall erlangt werden.
SSH-Keys können an dieser Stelle im IdM-Portal verwaltet werden.

Zusammenfassung – LDAP mit lokalen Homes

Authentifizierung/Login Passwort oder SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

Lokale Authentifizierung mit lokalen Homes

Falls aus triftigen Gründen keine Abhängigkeit zu KDC oder LDAP gewünscht wird, kann auch eine lokale Authentifizierung eingerichtet werden.

Aktuell

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Aktuell

Authentifizierung/Login Passwort oder SSH-Key
Kennung Login IdM-Hauptkennung oder administrative Kennung (ro- oder mu-Kennungen)
Root-Rechte/Sudo Password
Kennung Sudo Administrative Kennung (ro- oder mu-Kennungen)

Zukünftig

Aus Sicherheitsgründen gibt es zukünftig in diesem Fall nur die Möglichkeit eine SSH-Key basierte Authentifizierung durchzuführen.

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Zukünftig

Authentifizierung/Login SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Password

Welche Methoden kann ich für meinen Server nutzen?

Um eine Antwort auf diese Frage zu erhalten ist das Anmelden am Server notwendig. Danach kann ein Skript ausgeführt werden, welches die Möglichkeiten auflistet.

bash$ check_rrze_auth

 

Ab dem 01.10.2021 wird für die Authentifizierung an Linux-Servern und zur Erlangung von Root-Rechten nur noch die IdM-Hauptkennung benötigt. Administrative Kennungen (ro / mu) werden nicht mehr benötigt.
Ausnahme sind Server mit lokaler Authentifizierung: Hier muss bis zur Umstellung auf SSH-Keys noch eine administrative Kennung genutzt werden.

Mit BARCO ClickShare arbeiten

Die Präsentation auf einem Barco C, CX, CSE200+ / CSE800  System ist auf verschiedenen Arten möglich.

Fast alle BARCO-Systeme bieten die Möglichkeit, sich mit den gängigen Protokollen für Wireless Presentation zu verbinden. Sie können das BARCO-Systeme also auch ohne Dongle bzw. ohne Installation der ClickShare-Software benutzen!

mit Airplay

Voraussetzung: Eingeschaltetes Bluetooth und Wifi.

Rufen Sie auf Ihrem Mac „Airplay“ auf. Das gelingt über das Icon auf der Oberfläche oben rechts:

Screenshot MAC OS

 

Über Airplay kann aber immer nur eine komplette Spiegelung Ihres Bildschirmes erfolgen. Ausschnitte des Bildschirmes oder einzelne Programmfenster können nicht separat ausgewählt werden.

Hinweis: Gleichzeitig mit der Airplay-Übertragung wird auch der „Bitte nicht stören Modus“ (Halbmond) aktiviert!

MAC OS "Bitte nicht stören Modus"

Wie üblich, bekommen Sie bei einer Airplay Verbindung in der Systemsteuerung auch einen Audioausgang angeboten.

Um den Airplay/Bluetooth Weg zu nutzen,  dürfen Laptop und Basisstation allerdings nicht allzu weit auseinander platziert sein!

Voraussetzung: ClickShare App aus dem FAUmac Self Service bzw. Warenkorb für Windows oder direkt vom USB-Dongle.

Stecken Sie den Dongle in einen freien USB-Port. Der weiße Ring beginnt zu blinken. Spätestens jetzt müssen Sie die ClickShare Software starten.

Inhaltsverzeichnis eines BARCO USB Dongle

Nach dem Start der Software verbindet sich der Dongle via WLAN  mit der Basisstation, der Ring leuchtet jetzt dauerhaft weiß. Das kann schon mal 20 Sekunden dauern. Durch eine Druck auf die Schaltfläche beginnt die Übertragung zum Beamer oder Bildschirm – der Ring wird rot. Bei manchen Systemen werden Sie für diesen Tag einmalig nach einer PIN Nummer gefragt, welche Sie von der Beamerprojektion / Bildschirm ablesen können. Diese PIN Nummer ist nicht persistent – sie ändern sich regelmäßig.

In der Software selbst wird Ihnen der Name des Raumes bzw. des Barco-Systems angezeigt, denn der Button „weiß“ wohin er übertragen möchte.

ClickShare Button ist bereit

Durch Drücken des echten Buttons oder des obigen weißen Kreises in der Software wird die Präsentation gestartet. Der Kreis leuchtet rot. Mit dem Pausenzeichen || kann die externe Darstellung angehalten werden.

Man kann auch gezielt nur einzelne Programme / Applikationen auf dem externen Display freigeben.
BARCO Programmauswahl

Sind mehrere Dongle in ihrem Meeting ausgegeben, so können andere Teilnehmer ebenfalls per Tastendruck die „Herrschaft“ über die Projektion bekommen. Je nach Modell und Moderation, können bis zu vier Präsentationen gleichzeitig auf dem Beamer dargestellt werden.

per Software / App direkt vom PC und oder Mac

Hier müssen Sie die ClickShare-App dauerhaft auf Ihrem MacBook / Windows-PC installieren – sie werden in der jeweils aktuellsten Version in FAUmac / SCCM bereitgehalten. Wenn Sie in einem Seminarraum mit BARCO System präsentieren wollen, so starten Sie entsprechend die App. Nach dem Start „versteckt“ sich die App gerne etwas – auf dem Mac zum Beispiel links außen am Bildschirmrand. Mit einem Mouseover springt sie aber hervor. Sie zeigt dann die Meldung : „Es wurden keine Konferenzräume erkannt“, denn die App kann das BARCO-System nicht automatisch finden. Geben Sie stattdessen die IP-Adresse ein, welche Ihnen am Beamer oder Display im Raum angezeigt wird. Danach geht es weiter wie beim USB-Dongle.

Abbildung ClickShare App

  • Die USB-Buttons befinden sich in den Hörsälen i.dR. in einer Schublade. Evtl. wird die  Ausleihe der Dongle aber individuell je Raum vor Ort geregelt.
  • Basisstation und USB-Dongle sind immer 1:1 gekoppelt. Es ist daher nicht zielführend, sich einen eigenen Dongle zuzulegen um damit in verschiedenen Räume zu arbeiten. Das wird nicht funktionieren.

Header (Kopf) einer E-Mail anzeigen

Wie kann ich den Header (Kopf) einer E-Mail anzeigen lassen?

Microsoft Outlook

Öffnen Sie die Mail mit einem Doppelklick und gehen Sie anschließend wie in der Abbildung über den Reiter Nachricht auf Markierungen.

Dabei öffnet sich ein weiteres Fenster mit dem E-Mail-Header bei Internetkopfzeile. Diesen Teil können Sie markieren (Strg. + A), kopieren (Strg. + C) und in einem beliebigen Editor (Editor, Wordpad, Notepad++) einfügen (Strg. + V).

Internetkopfzeile einfügen

Mozilla Thunderbird

Wählen Sie die E-Mail aus und geben Strg. + U in der Tastatur ein. Dadurch wir der Quelltext der gesamten Mail geöffnet (u.a. des Headers). Diesen können Sie ebenfalls mit Strg. + A markieren, kopieren und anschließend in einem beliebigen Editor einfügen.

Shared-Mailbox als zusätzliches Postfach in Outlook öffnen

Falls Berechtigungen auf eine Shared-Mailbox über eine Distribution List (DL) vergeben werden, dann tauchen die Shared-Mailboxen nicht automatisch im Outlook-Profil der Mitglieder dieser DL auf.

Daher muss folgende Konfiguration im Outlook-Profil getätigt werden, damit diese im Outlook zusammen mit dem persönlichen Postfach auftaucht:

Wechseln Sie im Outlook-Client zum Reiter Datei.

Reiter Datei

Öffnen Sie im Menü Informationen, die Kontoeinstellungen und anschließend erneut Kontoeinstellungen.

Kontoeinstellungen

Wählen Sie in den Kontoeinstellungen Ihre E-Mail-Adresse und anschließend Ändern aus.

E-Mail einrichten: Ändern auswählen

Danach wählen Sie Weitere Einstellungen aus.

Fenster "Konto ändern"

Wechseln Sie zum Reiter Erweitert und wählen Sie Hinzufügen.

Fenster "Microsoft Exchange"

Es öffnet sich ein kleines Fenster. Hier geben Sie bitte die E-Mail-Adresse der Shared-Mailbox ein bestätigen mit OK.

Fenster "Postfach hinzufügen"

Im folgenden Fenster wird nun die Shared-Mailbox gelistet. Sie müssen nur noch mit OK bestätigen. Schließen Sie danach die Masken wie im Folgenden gezeigt.

Fenster "Microsoft Exchange"

Servereinstellungen

Erfolgsmeldung Einstellungen abgeschlossen

Jetzt sollte in der Mailbox-Ansicht in der linken Leiste von Outlook zusätzlich die Shared-Mailbox anwählbar sein.