Entra ID für Linux: Himmelblau 3.0 erweitert Enterprise-Funktionen
Das Open-Source-Framework Himmelblau bringt umfangreiche Neuerungen für die Integration von Linux-Systemen mit Microsoft Entra ID.
(Bild: heise medien)
Das Open-Source-Projekt Himmelblau hat Version 3.0.0 veröffentlicht und bringt damit umfangreiche Neuerungen für die Authentifizierung von Linux-Systemen gegen Microsoft Entra ID. Zu den wichtigsten Features gehören ein First-Class-OIDC-Support, Linux Hello TOTP sowie erweiterte Compliance-Funktionen für Intune.
Himmelblau ist ein Authentifizierungsframework, das eine nahtlose Integration zwischen Linux-Umgebungen und Microsoft Entra ID ermöglicht. Das unter der GPLv3-Lizenz stehende Projekt entstand als Fork des Kanidm OAuth2 Client und wird hauptsächlich von David Mulder entwickelt, mit Unterstützung von SUSE. Ziel ist es, Linux-Systeme ebenso gut in Microsoft-Infrastrukturen zu integrieren wie Windows-Rechner – inklusive Multi-Faktor-Authentifizierung, Device Trust und Intune-Compliance.
OIDC-Provider ohne Domänenkonfiguration
Die größte Neuerung in Version 3.0.0 ist der umfassende Support für OpenID Connect. Administratoren können nun beliebige OIDC-Provider über die Konfigurationsoption oidc_issuer_url einbinden. Die Implementierung unterstützt Password- und PIN-Flows sowie Breakglass-Mechanismen für Notfallszenarien, wenn der OIDC-Provider nicht erreichbar ist. Besonders hervorzuheben ist die Funktion Domainless OIDC: Nutzer können sich dank ihr auch ohne vorherige Domänenkonfiguration authentifizieren.
Der OIDC-Support macht Himmelblau unabhängiger von Microsoft-Diensten. Administratoren können nun auch alternative Identitäts-Provider wie Keycloak einsetzen. Für eine bessere Keycloak-Kompatibilität wurde seit Himmelblau 2.0 ein OIDC-Provider-Online-Check implementiert, der die Erreichbarkeit des Providers prüft.
Videos by heise
Zwei-Faktor-Authentifizierung per TOTP
Mit Linux Hello TOTP führt Himmelblau 3.0 eine Time-based One-Time-Password-Authentifizierung für Linux-Systeme ein. Die Einrichtung erfolgt über QR-Code-basierte Enrollment-Flows, die sowohl im Terminal als auch im GNOME QR-Greeter verfügbar sind. Der QR-Greeter funktioniert ab GNOME 49 und ist mit dem Login von Windows Hello vergleichbar.
Der QR-Greeter selbst wurde ebenfalls erweitert und unterstützt nun OIDC Device Admin Grants (DAG) sowie Microsoft Consumer DAG Flows. Auch persönliche Microsoft-Konten lassen sich nun für die Anmeldung an Linux-Systemen verwenden. Bislang war Himmelblau ausschließlich auf Unternehmen zugeschnitten, diese Funktion erweitert das Einsatzspektrum nun auch auf Privatnutzer.
Erweiterte Compliance und einfacheres Deployment
Für Enterprise-Umgebungen hat Himmelblau 3.0 die Compliance- und Policy-Unterstützung deutlich ausgebaut. Die neue Version bietet Default Custom Compliance Processing und dedizierte Pakete für Browser-SSO-Policy-Deployment. Mit himmelblau-broker steht zudem ein eigenständiges Broker-Paket zur Verfügung, das als separater Service läuft.
Auch die Bereitstellung wurde vereinfacht: Der Daemon startet nun konfigurationslos und automatisch bei der Installation oder einem Upgrade. Single-Domain-Autokonfiguration ermöglicht es, Systeme ohne manuelle Konfiguration in Betrieb zu nehmen. Für Umgebungen ohne Passwordless-Methoden gibt es einen Password-Only Local Authentication Mode.
Breite Distributionsunterstützung
Himmelblau 3.0 unterstützt offiziell openSUSE Tumbleweed, SUSE Linux Enterprise, Fedora, Red Hat Enterprise Linux, Ubuntu, Debian und NixOS. Neu hinzugekommen sind Amazon Linux 2023 und Gentoo. Zudem lässt sich die Software jetzt mit ARM64/aarch64 einsetzen.
Für NixOS-Nutzer bringt die neue Version eine moderne Flake Shell, eine Split-Modulstruktur für himmelblau und himmelblau-desktop sowie typisierte NixOS-Optionen, die aus XML-Konfigurationsdefinitionen generiert werden.
Weitere Informationen und Downloads zu Himmelblau stehen auf GitHub bereit.
(fo)
