Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Rechenzentrum

VPN mit MFA (Testbetrieb)

VPN-Einwahl mit MFA (Testbetrieb)

Derzeit werden die VPN-Server der Uni für die Absicherung der VPN-Einwahl per MFA vorbereitet. In einer Übergangsphase kann die MFA-Anmeldung bereits getestet und Feedback an den IT-Support des Rechenzentrums gegeben werden. Dazu wurde zusätzlich zur bisherigen Einwahl ins VPN mit Nutzername + Passwort im VPN-Gateway die Anmeldung per WueLogin freigegeben. Clientseitig sind dazu keine Änderungen notwendig. Die neuen Einwahl-Profile werden bei der Einwahl in VPN im Dropdown "Gruppen" zusätzlich angezeigt:

 

Anschliessend erscheint das gewohnte WueLogin Anmeldefenster:

Hinweise zur Anmeldung mit MFA

  • Unterstützte MFA-Verfahren

     

    		 MS Authenticator App TOTP Passkey Yubikey/Fido2
    Windows ja ja ja ja
    Linux ja ja ja nein
    Mac OS X ja ja ja nein
    iPhone/iPad ja ja ja nein
    Android ja ja ja nein

     

  • Einwahl nur über graphische Oberfläche: Es ist keine MFA-Anmeldung per CLI möglich, da für die Anmeldung per MFA das Entra-Anmelde-Fenster benötigt wird
  • Das Einwahl-Profil wechseln, wenn man gerade ein MFA-Profil verwendet: Das MFA-Anmeldefenster überdeckt gerne das Fenster mit der Profil-Auswahl. Dieses muss zur Profil-Änderung in den Vordergrund geholt werden (z.b. unter Windows mit Alt-Tab).
  • Linux: Falls auf einem Linux-System keinen Cisco Secure Client verwenden kann, dann kann auch OpenConnect verwendet werden (nicht vom RZ supported). Wichtig dabei:
    • OpenConnect muss aus einer graphischen Oberfläche heraus gestartet werden, damit das Entra-Fenster angezeigt werden kann.
    • In der Konfiguration muss im Feld User Agent literal AnyConnect - OpenConnect stehen. Bei anderen Schreibweisen lehnt das VPN-Gateway den Client ab. 
    • Die Konfiguration / Start des OpenConnect muss über die GUI erfolgen. Das Feld "User Agent" ist erst in neuen Versionen der NetworkManager-/OpenConnect-Konfigurationsdialoge enthalten (z.B. Ubuntu 24.04)
  • "Start before Logon (SBL)": Sofern auf dem Gerät SBL eingerichet ist (z.b. zentral provisionierten Dienstgeräten), dann funktioniert SBL derzeit nur mit dem Profil "Standard (ohne MFA)". Bei der Einwahl per SBL erscheint initial eien Fehlermeldung. diese einfach wegklicken und in der Gruppen-Auswahl das Profil "Standard (ohne MFA)" zur Anmeldung auswählen.