Skip to main content

Yubico und Yubikey konfigurieren

Für die Zwei-Faktor-Authentifizierung des Yubikeys in Bitwarden ist es nötig, diesen entsprechende zu Authentifizieren. Folgende Schritte sind bis zur Serverkonfiguration nötig.

Yubikey registrieren

Die Zwei-Faktor-Authentifizierung in Bitwarden funktioniert mit dem Yubikey 4 und 5 (soweit getestet). Für Kompatibilität hier prüfen.

Der Yubikey muss zuvor mit der Software "YubiKey Manager" von Yubico vorbereitet werden.

OTP anpassen

OTP wird für die Übertragung eines One-Time-Passwords benötigt. In dem YubiKey Manager kann dies durchgeführt werden.

  1. Starten des YubiKey Managers mit administrativen Rechten
  2. Auf Applications klicken
  3. Hier entweder Configure bei "Short Touch" oder den "Long Touch" anklicken

    image2022-1-12_18-3-48.png


  4. Yubico OTP auswählen und Next drücken
  5. Hier "Use serial" anklicken
  6. "Private ID" und Secret key" generieren mit einem Klick auf "Generate"
  7. "Upload" anhaken und "Finish" drücken

    image2022-1-12_18-21-2.png


  8. Auf der Webseite den Key hochladen. Dieser muss bei Yubico bekannt sein, damit die Authentifizierung später in Bitwarden möglich ist. Sollte man mehr als einen Yubikey besitzen, muss diese Prozedur wiederholt werden. Die IDs und der Secret key können sich hierbei voneinander unterscheiden.

Api key

Auf der Webseite kann für den Yubikey ein Api key angefordert werden. Für den privaten Bitwarden Server wird nur ein Api key benötigt. Hier kann man einen beliebigen, der vorhandenen und vorher registrierten, Yubikeys nutzen!

Hinweis: In der Textbox "YubiKey OTP" wird ein Wert mit "cccccc..." vorgegeben. Auch wenn der Yubikey einen Wert mit "vvcccc..." eintragen wird, kann der Api key registriert werden. Der Unterschied zwischen einen OTP mit cc... und vv... ist, dass cc... für Server OTPs steht.

image2022-1-12_18-8-57.png

Bitwarden Server

Api key eintragen

Setzen des Api keys in der bwdata/env/global.override.env-Datei.

Auf dem Server in der o. g. Datei die von der API key signup-Webseite erhaltene ID und Api key eintragen.

globalSettings__yubico__clientId=
globalSettings__yubico__key=

Zum Abschluss den Server neustarten.

Fehlermeldung bei fehlendem Api key

Sofern noch kein Api key in Bitwarden eingetragen wurde, kann in der Log-Datei des Api-Services folgende Fehlermeldung gefunden werden, wenn versucht wird, den Yubikey mittels OTP im persönlichen Bitwarden Account zu registrieren. Leider ist die Fehlermeldung nicht aussagekräftig im Hinblick auf den fehlenden Api key.

[Error] The input is not a valid Base-64 string as it contains a non-base 64 character, more than two padding characters, or an illegal character among the padding characters.
System.FormatException: The input is not a valid Base-64 string as it contains a non-base 64 character, more than two padding characters, or an illegal character among the padding characters.
...

Yubikey registrieren

Im persönlichen Account anmelden, unter Einstellungen auf Zwei-Faktor-Authentifizierung und dann auf Verwalten klicken.

Hinweis: Leider ist es im persönlichen Account nur dann möglich einen oder merhere Yubikey zu registrieren, wenn dieser um die Premium-Mitgliedschaft erweitert wurde oder das Abo für eine Organisation (z. B. Familie) vorliegt.

image2022-1-12_18-16-25.png

In dem neuen Dialog können nun bis zu 5 Yubikeys registriert werden. Jeder Yubikey muss in den USB-Port gesteckt und nacheinander das OTP Passwort in ein eigenes Textfeld eingetragen werden.

image2022-1-12_18-19-2.png

 

No Comments
Back to top