WiKID 4.0 Quick-Setup Anleitung

TL;DR

Kurzfassung: WiKID 4.0 bietet eine Quick-Setup-Option, mit der Sie einen Zwei-Faktor-Authentifizierungsserver über eine einfache Konfigurationsdatei automatisch einrichten können. Diese Anleitung erklärt die einzelnen Einträge der Beispielkonfiguration, gibt Sicherheits- und Betriebs-Hinweise, Troubleshooting-Tipps und Checklisten für Admins, Betrieb und Endnutzer.

Überblick

Die Version 4.0 des WiKID Strong Authentication Systems bringt zwei wesentliche Neuerungen: Sie ist kostenfrei für bis zu fünf Benutzer (ideal für Heimnutzer, kleine Firmen oder Langzeittests) und enthält ein neues Quick-Setup‑System. Dabei erstellen Sie eine Textdatei mit den relevanten Netzwerkdaten; das System nutzt diese Datei, um einen voll funktionsfähigen Zwei-Faktor‑Authentifizierungsserver zu erzeugen. Diese Anleitung führt Sie Schritt für Schritt durch die Quick-Setup‑Konfiguration, erklärt jeden Parameter und zeigt typische Fehlerquellen sowie Betriebs‑ und Sicherheitsmaßnahmen auf.

Voraussetzungen

Root‑Zugriff oder sudo‑Berechtigungen auf dem Server
PostgreSQL sollte installiert und lauffähig sein (wikidctl prüft dies)
Zugang zum WiKID‑Installationsverzeichnis (/opt/WiKID)
Ein Beispiel‑Konfigurationsfile (sample-quick-setup.properties) liegt im Installationsordner

Schnellstart: Datei kopieren und bearbeiten

Kopieren Sie die Beispielkonfiguration in Ihr Arbeitsverzeichnis und öffnen Sie sie mit Ihrem bevorzugten Editor. Ich gehe davon aus, dass Sie als root angemeldet sind oder sudo benutzen.

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf

Jetzt die Datei bearbeiten:

# vim wikid.conf

Achten Sie darauf, dass Semikolons (;) kommentierte Zeilen markieren. Im Folgenden finden Sie die wichtigsten Abschnitte der Datei mit Erläuterungen.

Erklärung der wichtigsten Einträge

; passphrase for protecting certs --------------------------------------  
passphrase=protectme  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Wichtig: Diese Passphrase schützt die Evaluierungszertifikate des Servers. Verlieren Sie sie nicht — Sie benötigen sie, um den Server zu starten oder um die p12-Dateien der Clients zu öffnen (alternativ können Sie sie in /etc/WiKID/security ablegen). Entfernen Sie diese Einstellung nach Abschluss der Konfiguration und ersetzen Sie sie durch sichereren Managementprozess.

; name to give the domain ----------------------------------------------  
domainname=mydomain

Dies ist der Anzeigename Ihrer WiKID‑Domain. Er erscheint auf den Tokens der Benutzer. Wählen Sie einen generischen, beschreibenden Namen (z. B. “Firma X Auth”), weil sich die Nutzung später ausweiten kann (VPN, SSH, Google Apps usw.).

; IP of the server -----------------------------------------------------  
domainip=127.0.0.1

Die externe IP-Adresse des WiKID-Servers. Tokens kommunizieren direkt mit dieser IP.

; 0-Padded IP without dots ---------------------------------------------  
domaincode=127000000001

Der Domaincode wird von Benutzern beim Einrichten ihres Tokens eingegeben. Er ist mit Nullen aufgefüllt, um die Eingabe zu erleichtern. Er muss nicht geheim gehalten werden; die eigentliche Sicherheit entsteht während der Registrierung.

; full hostname of the server; can be same as cn value ----------------------  
hostname=localhost.localdomain

Der vollqualifizierte Hostname des Servers.

; information for setting up a RADIUS host  
radiushostip=10.1.2.3  
radiushostsecret=mysharedsecret  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Dieser Abschnitt legt einen RADIUS‑Client auf dem WiKID‑Server an. Typische Ziele sind NPS, FreeRADIUS oder ein Service (VPN, Webserver, SSH Gateway), der WiKID zur Authentifizierung nutzt. Entfernen Sie Secrets aus der Datei nach der Einrichtung oder schützen Sie die Datei durch passende Dateirechte.

; optionally create an extra host cert for wauth; leave blank if not needed  
wauthhostip=

Falls Sie einen API‑Client (wAuth) mit einer festen IP haben, tragen Sie ihn hier ein. Andernfalls leer lassen. Beachten Sie, dass dessen p12‑Datei ebenfalls mit der oben definierten Passphrase geschützt wird.

; cert properties ------------------------------------------------------  
; administrative email for this server  
[email protected]  
; hostname of server  
cn=localhost.localdomain  
; organization/company name  
o=myorganization  
; department or other OU  
ou=mydepartment  
; city  
l=mylocation  
; full name of state  
st=mystate  
; 2-letter country code  
c=us

Diese Angaben werden zur Erstellung des Serverzertifikats verwendet. Sie sollten eindeutig und korrekt sein, damit Sie aus dem Evaluierungszertifikat später ein Produktivzertifikat machen können. Wenn Angaben ungültig sind, müssen Sie ggf. das CSR neu erstellen.

Quick-Setup ausführen

Nachdem die Datei gespeichert ist, starten Sie das Quick-Setup:

# wikidctl quick-setup configfile=wikid.conf

Während der Ausführung sehen Sie konsolenartige Ausgaben wie im Beispiel:

----------------------------------------------  
= Checking for valid args ...  
= Make sure Pg is running ...  
= Checking if DB exists ...NO!  
== Setting up new DB ...  
log4j:WARN No appenders could be found for logger (com.mchange.v2.log.MLog).  
log4j:WARN Please initialize the log4j system properly.  
== Got Pg connection ...  
= Setting up intermediate CA cert ...  
= Submitting intermediate CA CSR ...  
= Creating Tomcat cert ...  
= Installing intermediate CA cert ...  
== Intermediate cert installation completed!  
= Setting up cert for localhost ...  
== Setting up localhost settings ...  
== RADIUS host does not exist!  
== Setting up wAuth client ...  
= Setting up cert for 10.100.0.112 ...  
== Setting up non-localhost settings ...  
== Domain exists! 1  
== Adding keys ...

Wenn das Setup fertig ist, starten Sie den Server:

# wikidctl start

Öffnen Sie anschließend die WiKIDAdmin‑Weboberfläche unter https://yourserver.com/WiKIDAdmin/ . Dort sollten Ihre Domain, der RADIUS‑Client und alle erforderlichen Zertifikate sichtbar sein. Jetzt können Sie WiKID‑Token installieren und Benutzer registrieren.

Wichtige Sicherheits‑Hinweise

Entfernen Sie temporäre Passphrasen und Secrets aus der Konfigurationsdatei nach Abschluss der Einrichtung. Speichern Sie sensible Werte nur an sicheren Orten (z. B. /etc/WiKID/security mit restriktiven Rechten).
Die Evaluierungszertifikate müssen innerhalb der angegebenen Frist (z. B. 30 Tage) auf die kostenfreie 5‑Benutzer‑Lizenz oder ein Produktivzertifikat umgestellt werden.
Achten Sie auf sichere Dateirechte: chmod 600 für Konfigurationsdateien mit Secrets.

Important: Testen Sie den Login‑Flow mit mindestens einem Testnutzer, bevor Sie produktive Dienste über WiKID schützen.

Rollenbasierte Checklisten

Admin (Einrichtung)

Konfigurationsdatei kopieren und anpassen
Passphrase sicher verwahren
Quick-Setup starten und Konsolenausgaben überwachen
Server starten und Admin‑UI prüfen

Betrieb (Ops)

Backups von DB und Zertifikaten planen
Zertifikatserneuerungen überwachen
Firewall/Netzwerk prüfen (Portzugang für Tokens sicherstellen)

Endnutzer

Token installieren und Domaincode eingeben
Ersten Testlogin durchführen
Supportkontakt für Token‑Registrierung kennen

Troubleshooting — häufige Fehler und Lösungen

Fehler: “DB exists … NO!” — Ursache: PostgreSQL läuft nicht oder Anmeldeinformationen fehlen. Lösung: Postgres starten, Verbindungsdaten prüfen.
Fehler: “RADIUS host does not exist” — Hinweis: Kein RADIUS‑Eintrag in der Konfiguration; überprüfen Sie radiushostip und radiushostsecret.
Fehler: Zertifikatfehler im Browser — Prüfen Sie CN/Werksdaten und ob das Zertifikat in die Trust‑Store aufgenommen wurde.

Konkrete Prüfungen:

Prüfen Sie, ob Port 443 und ggf. 8443 erreichbar sind.
Überprüfen Sie die Logs in /opt/WiKID/logs auf detaillierte Fehlermeldungen.

Alternative Ansätze

Manuelle Einrichtung: Komplettes Setup über UI, Schritt für Schritt Zertifikate erzeugen, DB anlegen (nützlich bei ungewöhnlichen Umgebungen).
Automatisierte Provisionierung via Configuration Management (Ansible/Chef), wenn Sie viele Server zentral konfigurieren.

Entscheidungspfad: Quick-Setup nutzen oder manuell?

flowchart TD
  A[Start: Haben Sie eine einfache Umgebung?] -->|Ja| B[Quick-Setup]
  A -->|Nein| C[Manuelle Einrichtung]
  B --> D{Quick-Setup Ergebnis}
  D -->|Erfolgreich| E[Server starten, Testlogin]
  D -->|Fehler| F[Logs prüfen, Konfiguration anpassen]
  C --> G[Schrittweise Setup via UI und Zertifikatmanagement]

Kriterien für Abschluss

WiKIDAdmin UI zeigt die erwartete Domain an
RADIUS‑Client ist in der Konfiguration vorhanden und antwortet
Alle benötigten Zertifikate sind installiert und gültig
Mindestens ein Benutzer hat erfolgreich einen Testlogin durchgeführt

Mini‑Methodologie für wiederholbare Einrichtung

Vorbereitung: Backup vorhandener Dateien, Notieren aktueller Netzwerkdaten
Template anpassen: wikid.conf mit korrekten Werten füllen
Ausführung: wikidctl quick-setup configfile=wikid.conf
Validierung: Logs prüfen, WiKIDAdmin öffnen, Testlogins
Härtung: Temporäre Passphrasen/Secrets entfernen, Datei‑Berechtigungen setzen

Kurze Abschlusszusammenfassung

Die Quick‑Setup‑Option von WiKID 4.0 reduziert die Einstiegszeit erheblich und automatisiert viele wiederholbare Schritte: DB‑Anlage, Zertifikatserstellung und RADIUS‑Client‑Anlage. Achten Sie auf sichere Handhabung von Passphrasen und Secrets, testen Sie das System vor der produktiven Nutzung und erstellen Sie ein Recovery‑/Backup‑Konzept für DB und Zertifikate.

Hinweis: Sie können den WiKID Strong Authentication Server hier herunterladen.