11.8 Authentifizierungen aktivieren
Neben der in Joomla! eingebauten Benutzerverwaltung sind auch alternative Authentifizierungsarten vorgesehen, die schon vorinstalliert sind und per Plugin aktiviert werden. Die Google- und die LDAP-Authentifizierung erlauben die Benutzeranmeldung über komplexere, oft in Firmen eingesetzte Systeme. Über die Zwei-Faktor-Authentifizierung erhöhen Sie zusätzlich die Sicherheit während der Anmeldung.
11.8.1 Über Google authentifizieren
Schon in der Standardinstallation sticht ein Plugin in der Liste unter Erweiterungen • Plugins besonders hervor: Authentifizierung - Gmail. Damit erlauben Sie registrierten Benutzern Ihrer Website den Zutritt mit ihren GMail-Anmeldedaten.
-
Aktivieren Sie das Plugin über Erweiterungen • Plugins • Klicken auf das Stoppschild () in der Status-Spalte neben Authentifizierung - GMail.
-
Klicken Sie nun auf den Plugin-Titel, um ins Konfigurationsformular zu gelangen.
-
Benutzernamensuffix verwenden, Benutzernamensuffix: Beim Benutzernamensuffix handelt es sich um den Teil der E-Mail-Adresse hinter dem @‐Zeichen. Steht diese Option auf Keinen Suffix verwenden, müssen die anzumeldenden Benutzer stets ihre komplette E-Mail-Adresse eingeben, z. B. vorname.nachname@gmail.com oder vorname.nachname@googleappsdomain.com. Die anderen Optionen erlauben im Login-Formular das Weglassen des Domain-Namens bzw. Suffixes, eine Anmeldung ist also mit vorname.nachname möglich.
-
Peerverbindung überprüfen: Dient der Sicherung der Authentifizierungsverbindung mit einem SSL-Zertifikat. Hier kommt es immer wieder mal zu Problemen zwischen dem Google-Dienst und der Joomla!-Komponente. Eine mögliche Problemlösung ist die Deaktivierung der Zertifikatsverifizierung, indem Sie diese Option auf Nein stellen.
-
Benutzer-Blacklist: Kommagetrennte Liste von Benutzern, die sich nicht einloggen dürfen.
-
Backend-Anmeldung: Schalten Sie diese Option auf Ja, wenn sich die Benutzer auch ins Backend einloggen dürfen.
-
-
Speichern & Schliessen Sie die Plugin-Konfiguration, und legen Sie jetzt in der Joomla!-Benutzerverwaltung (Benutzer • Verwalten • Neuer Benutzer) einen Testbenutzer an, dessen Name dem vorderen Teil der Gmail-Adresse entspricht. Bei vorname.nachname@gmail.com verwenden Sie beispielsweise vorname.nachname.
-
Speichern & Schliessen Sie den neuen Benutzer, und testen Sie das Login.
Googles Authentifizierungsmechanismen sind außerordentlich strikt, sodass dieses Plugin nicht für jedes Konto funktioniert. Eine Möglichkeit, die Restriktionen zu lockern, ist die GMail-Konto-Einstellung Weniger sichere Apps, die Sie am besten über die Suchmaschine per »gmail zugriff weniger sichere apps konto zulassen« finden. Stellen Sie den Schalter auf Aktivieren (siehe Abbildung 11.28), und testen Sie erneut die Anmeldung. Haben Sie dann immer noch keinen Erfolg müssen Sie leider auf eine andere Authentifizierungsmethode ausweichen.
11.8.2 Über LDAP authentifizieren
In Sachen Authentifizierung kann man Joomla! nichts vormachen, sogar eine LDAP-Integration ist standardmäßig an Bord und wird einfach über den Plugin-Manager aktiviert. Gehen Sie dazu über das Menü Erweiterungen • Plugins in die Plugin-Übersicht, und klicken Sie neben Authentifizierung - LDAP auf das rote Stoppschild-Icon , sodass es sich in ein grünes Häkchen verwandelt. Zum Konfigurieren der LDAP-Verbindung klicken Sie schließlich auf den eigentlichen Plugin-Namen Authentifizierung - LDAP.
Alle Parameter für die LDAP-Authentifizierung erhalten Sie vom Systemadministrator, der den LDAP-Server betreut. Es handelt sich um eine sehr präzise Konfiguration, rechnen Sie also ein oder zwei Stunden Teamarbeit mit dem Kollegen ein. Achtung: Das Plugin erlaubt nur eine grundsätzliche Authentifizierung per LDAP. Für Synchronisationen von Benutzern oder gar einem Benutzergruppen-Mapping zwischen Joomla! und LDAP benötigen Sie zusätzliche Erweiterungen aus dem Joomla! Extensions Directory (JED).
Problemlösung: Super Benutzer kann sich nicht mehr einloggen
Die komplexen Einstellmöglichkeiten bei der Einrichtung der LDAP-Authentifizierung können dazu führen, dass man sich als Super Benutzer aus dem System aussperrt. Deaktivieren Sie das Plugin Authentifizierung - Joomla! erst, wenn die LDAP-Authentifizierung hundertprozentig stabil läuft.
Haben Sie sich versehentlich ausgesperrt, aktivieren Sie das Joomla!-Authentifizierungs-Plugin mit phpMyAdmin direkt in der Datenbank. Öffnen Sie die Tabelle #__extensions (#_ entspricht dem in Ihrer Joomla!-Installationen vergebenen zufälligen Tabellenpräfix), und suchen Sie die Zeile, deren name-Feld den internen Plugin-Namen plg_authentication_joomla trägt. Stellen Sie dann den Wert der Spalte enabled von »0« auf »1«.
Haben Sie sich wegen einer nicht funktionieren Zwei-Faktor-Authentifizierung ausgesperrt, gehen Sie ähnlich vor. Suchen Sie dann das Plugin plg_twofactorauth_totp, und deaktivieren Sie es durch Eintrag einer »0« in der Spalte enabled.
11.8.3 Mehr Sicherheit durch Zwei-Faktor-Authentifizierung
Einem besonders sicheren Mitgliederbereich dient die Zwei-Faktor-Authentifizierung, bei der eine Benutzername/Passwort-Kombination nicht mehr für die Websiteanmeldung ausreicht. Benutzer, deren Zugang über diese Authentifizierung gesichert ist, erhalten auf Anfrage einen zusätzlichen, zeitlich begrenzten Sicherheitscode, z. B. über eine besondere App auf dem Smartphone. Beachten Sie also, dass das ein etwas umständlicherer Anmeldeprozess ist, den Sie aber z. B. nur auf den Backend-Zugriff einschränken könnten.
-
Aktivieren Sie über Erweiterungen • Plugins das Plugin Zwei-Faktor-Authentifizierung - Google Authenticator.
-
Klicken Sie auf den Plugin-Namen, und entscheiden Sie sich, ob diese Authentifizierung nur auf der Website (Frontend), im Administrator (Backend)-Bereich oder beiden eingeschaltet ist.
-
Wechseln Sie jetzt über Benutzer • Verwalten zum Benutzermanager, und klicken Sie auf den Benutzer, der sich zukünftig sicherer authentifizieren soll.
-
Wechseln Sie zum Reiter Zwei-Faktor-Authentifizierung, und wählen Sie unter Authentifizierungsmethode den Google Authenticator.
-
Dieser Google Authenticator wird nun auf dem Telefon des Benutzers installiert. Dazu gehen Sie entweder in Apples AppStore oder Googles Play Store und suchen nach »google authenticator«.
-
Öffnen Sie nach der Installation die Google-Authenticator-App auf dem Smartphone, und starten Sie die Konfiguration mit Begin setup.
-
Wählen Sie nun entweder Scan a barcode und halten die Handykamera auf den auf der Benutzerwebseite abgebildeten QR-Code, oder geben Sie die dort aufgeführten Konto- und Schlüssel-Daten per Hand ein (Enter provided key).
-
Geben Sie nun die sechsstellige Zahl aus der App in das Feld Sicherheitscode auf der Benutzerwebseite. Achtung, die Zahl ändert sich nach einer Minute – das ist Teil des Sicherheitskonzepts.
Wechseln Sie ins Frontend, um die Zwei-Faktor-Authentifizierung auszuprobieren. Das Login-Formular enthält jetzt ein weiteres Feld Sicherheitscode. In dieses Feld geben Sie ab sofort bei jeder Anmeldung die sechsstellige Zahl ein, die Ihre Google-Authenticator-App zum Zeitpunkt des Logins darstellt (siehe Abbildung 11.29).