Hello Frank, imho implementing MFA (or multi-step-authentication if you want to use PCI compliant terminology) should be done with single-sign-on-mechanism only as otherwise you run into
a. users have to authenticate all day when navigating to different systems, b. admins have the issue of enabling each and every backend separately. Typically some central portal will authenticate the user using MFA and issue a token or assertion, be it JWT or SAML or something else, and almost any backend can be configured to verify these. And of course you can pass tokens through Guacamole. Regards, Joachim Von: Frank Müller <[email protected]> Gesendet: Mittwoch, 16. August 2023 07:15 An: [email protected] Betreff: WG: Re: [*EXT*] **RSPAM** Guacamole SSH with already MFA for SSH Hello together, does somebody still have an idea how to get this running? Thanks Frank ----- Weitergeleitet von Frank Müller/RR/Roland am 16.08.2023 07:13 ----- Von: Frank Müller/RR/Roland An: [email protected] <mailto:[email protected]> Datum: 11.08.2023 09:51 Betreff: Antwort: Re: [*EXT*] **RSPAM** Guacamole SSH with already MFA for SSH _____ Hi, we have two different mechanism. One is using an app. On the app you have to click on an approve button. After that, in the ssh session, you only have to push enter on your keyboard and you where logged in. Or we are using MFA with mail. Some users are getting an e-mail with an pin that they have to type inside the ssh window after they have successfully enter their username and password. Frank Von: "Ionel GARDAIS" <[email protected] <mailto:[email protected]> > An: "user" <[email protected] <mailto:[email protected]> > Datum: 11.08.2023 09:21 Betreff: Re: [*EXT*] **RSPAM** Guacamole SSH with already MFA for SSH _____ Hi Frank, What kind of MFA is it ? A TOTP token to be input ? A validation on the app or a click-on-link that notify the authentication server on a side-channel ? Ionel _____ De: "Frank Müller" <[email protected] <mailto:[email protected]> > À: "user" <[email protected] <mailto:[email protected]> > Envoyé: Vendredi 11 Août 2023 09:04:18 Objet: [*EXT*] **RSPAM** Guacamole SSH with already MFA for SSH Hello all, i have a question about ssh connection in guacamole. I have installed guacamole as a container and it is working. I can rdp and ssh into servers. But for our linux servers that already have a MFA software running, i am not able to login to. The MFA process looks like this: 1. SSH into the Server. 2. Apply the MFA with an mobile app 3. On the server, there is an text displayed, that the second factor is sending via app or mail. 4. After you have applied the second factor or type the code inside the ssh session, you are logged into the server. And that is not working. If i ssh into the server with guacamole, it ask me for my username and passwort. I receive the mfa on my smartphone. But the ssh session directly get an time out. The message in the container logs look like this: guacd[7447]: ERROR: Password authentication failed: Authentication failed (username/password) guacd[7447]: INFO: User "@667789b9-71f1-4e73-bc63-8f6ee891f255" disconnected (0 users remain) guacd[7447]: INFO: Last user of connection "$5658b16e-ae8b-4d09-8382-cdfe8fdfe7f1" disconnected Also i did not see the login message that i will normaly see if i ssh into the server. How can i get this up and running with guacamole? Thanks all Frank Weitere Informationen unter www.roland-rechtsschutz.de. Alles Wichtige zum Datenschutz finden sie unter <https://www.roland-rechtsschutz.de/datenschutz/datenschutz.html> https://www.roland-rechtsschutz.de/datenschutz/datenschutz.html ROLAND Rechtsschutz-Versicherungs-AG | Vorsitzender des Aufsichtsrats: Dr. Thilo Schumacher | Vorstand: Rainer Brune (Vorsitzender), Dr. Ulrich Eberhardt, Tobias von Mäßenhausen | Handelsregister Köln HRB 2164 Der Inhalt dieser E-Mail (einschließlich etwaiger beigefügter Dateien) ist vertraulich und nur für den Empfänger bestimmt. Sollten Sie nicht der bestimmungsgemäße Empfänger sein, ist Ihnen jegliche Offenlegung, Vervielfältigung, Weitergabe oder Nutzung des Inhalts untersagt. Bitte informieren Sie in diesem Fall unverzüglich den Absender und löschen Sie die E-Mail (einschließlich etwaiger beigefügter Dateien) von Ihrem System. Vielen Dank. [Anhang "att8qz7z.gif" gelöscht von Frank Müller/RR/Roland] Weitere Informationen unter www.roland-rechtsschutz.de <http://www.roland-rechtsschutz.de> . Alles Wichtige zum Datenschutz finden sie unter https://www.roland-rechtsschutz.de/datenschutz/datenschutz.html ROLAND Rechtsschutz-Versicherungs-AG | Vorsitzender des Aufsichtsrats: Dr. Thilo Schumacher | Vorstand: Rainer Brune (Vorsitzender), Dr. Ulrich Eberhardt, Tobias von Mäßenhausen | Handelsregister Köln HRB 2164 Der Inhalt dieser E-Mail (einschließlich etwaiger beigefügter Dateien) ist vertraulich und nur für den Empfänger bestimmt. Sollten Sie nicht der bestimmungsgemäße Empfänger sein, ist Ihnen jegliche Offenlegung, Vervielfältigung, Weitergabe oder Nutzung des Inhalts untersagt. Bitte informieren Sie in diesem Fall unverzüglich den Absender und löschen Sie die E-Mail (einschließlich etwaiger beigefügter Dateien) von Ihrem System. Vielen Dank.
