Bislang hat der LDAP-Service eine ggf. bei einzelnen Usern aktivierte Zwei-Faktor-Authentifizierung ignoriert, sodass sich ein User an dem externen System einfach mit seinem Passwort (ohne OTP-Token) anmelden konnte.
Seit der ChurchTools-Version 3.58.0 berücksichtigt die LDAP-Authentifizierung standardmäßig eine aktivierte Zwei-Faktor-Authentifizierung.
Damit sich ein User mit aktivierter Zwei-Faktor-Authentifizierung an einem externen System mit seinen ChurchTools-Zugangsdaten anmelden kann, muss der User bei der Eingabe seines Passwortes zusätzlich noch das generierte OTP-Token anhängen. Also z. B.
Username: meinnutzername
Passwort: meinSicheresPasswort689305 <= die letzten 6 Ziffern sind das generierte OTP-Token
Sollte dieses neue Verhalten des LDAP-Service für deinen Anwendungsfall Probleme bereiten, z. B. weil das Passwort der User nicht jedes Mal neu eingegeben werden kann (weil es z. B. auf einem Gerät hinterlegt ist), gibt es zwei Optionen:
Du schaltest die Zwei-Faktor-Authentifizierung für die betroffenen User aus. Dies verringert allerdings die Login-Sicherheit in ChurchTools. Die ChurchTools-Zugänge sind dann nicht mehr über einen zusätzlichen zweiten Faktor abgesichert.
Du schaltest die Zwei-Faktor-Authentifizierung für den LDAP-Service generell aus. Der Login in externe Systeme läuft dann wie bisher nur mit dem Passwort (ohne OTP-Token), der ChurchTools-Login ist aber weiterhin über die Zwei-Faktor-Authentifizierung abgesichert. Die Zwei-Faktor-Authentifizierung für den LDAP-Service kannst du in den System-Einstellungen unter Datenschutz/Sicherheit bearbeiten