Vorstellung und Deep Dive in Nauthilus, einen Authentifizierungs- und Autorisierungsserver
Nauthilus ist ideal in Mailumgebungen einsetzbar und bietet eine sehr gute Integration in Systeme wie Postfix und Dovecot. Nauthilus kann als zentrale Stelle für Policies eingerichtet werden. Eine der wesentlichen Stärken ist die Integration einer Lua-Virtual-Machine. Diese bietet dem Administrator eine nahezu unbegrenzte Anwendungsvielfalt (Abbildung der Businesslogik, wie z.B. Kontensperrung wegen unbezahlter Rechnungen, Sperrung wegen polizeilicher Überwachung, ...).
Der Prozess der Authentifizierung und Autorisierung durchläuft zahlreiche Phasen, auf die der Administrator einwirken kann. In der ersten Phase greift eine Brute-Force-Protection und Funktionen wie Realtime-Blackhole-Lists, Prüfung gegen Relay-Domains, sofern der Anmeldename einer E-Mail-Adresse entspricht oder eigenen Lua-Tests (hierzu gehört auch das Abfragen von IPs gegen Sperrlisten).
In der zweiten Phase wird die Authentifizierung durchlaufen. Entweder auf Basis eines LDAP-fähigen Servers oder einem selbstgeschriebenen Lua-Backend.
Es folgt die Phase der Autorisierung, in der Entscheidungen zur erfolgreichen Authentifizierung revidiert werden können.
In der letzten Phase arbeitet Nauthilus im Hintergrund weiter. Hier können verschiedenste Aufgaben in Lua formuliert werden, z.B. Passwort-Policy-Überprüfung, Ländertracking, um Benutzer zu informieren, wenn sie sich das erste Mal aus einem anderen Land anmelden, Prüfung des Passworts gegen Netzwerke wie Haveibeenpwnd, um zu testen, ob ein Passwort im Dark-Net bekannt ist, Protokollierung der Login-Statistik für einen Anwender in eine Datenbank. Und Vieles andere...
Weitere kleine Programme rund um Nauthilus erweitern dessen Fähigkeiten, um beispielsweise GeoIP-Informationen oder Sperrlisten einzubinden. Auch eine Integration in Keycloak ist problemlos möglich. Beide Dienste arbeiten so Hand in Hand.
Der Workshop erklärt den Service im Detail, dessen Einrichtung und Verwendung anhand von Beispielen.