Unser heutiger Beitrag aus der Typo3-Reihe beschäftigt sich mit einem Problem und dessen Lösung. Wir zeigen euch, wie rsaauth per ftp deinstalliert werden kann, wenn ein Login ins Backend ohne rsaauth nicht mehr möglich ist.
Wer die Typo3-Extension RSA Authentication oder kurz „rsaauth“ im Backend deinstalliert, erhält nach dem Ausloggen beim erneuten Login-Versuch eine Fehlermeldung. Diese lautet:
„No authentication methods available. Please, contact your TYPO3 administrator.“
Die Eingabemaske zum Typo3-Backend erscheint zwar ganz normal, nach der Eingabe der Daten erscheint jedoch ein Overlay mit der Fehlermeldung. Der Login wird nicht ausgeführt.
Der erste Impuls zur Behebung des Problems wird nun sein, die Extension wieder aktivieren zu wollen. Allerdings ist ein Login ohne rsaauth jedoch nicht mehr möglich. Doch ohne einen Zugang zum Backend, ist das möglich? Natürlich, geht das. Mithilfe eines kleinen Tricks.
Um das Problem zu beheben und das Einloggen wieder zu ermöglichen, wird die Extension nicht direkt aktiviert. Stattdessen wird die Login-Methode von Typo3 in der LocalConfiguration.php via FTP geändert. So greift Typo3 beim Login nicht mehr auf die inaktive Extension rsaauth zurück, sondern auf den Standard-Login. Rsaauth wird also über die LocalConfiguration.php deaktiviert, indem wir unserem Typo3-System eine andere Login-Methode zuweisen.
Achtung: Sobald rsaauth nun wieder aktiviert wird, sollte man sicherstellen, dass das Login Security Level wieder zu ‚rsa‘ geändert wird.
Das Problem, dessen Behebung dieser Blogbeitrag thematisiert, kam natürlich nicht ohne Hintergrund zustande. Rsaauth ist der Hauptdarsteller in einer Sicherheitsmeldung für Typo3. Wie in dem folgenden Beitrag von Heise zu lesen ist, kann rsaauth für eine Sicherheitslücke in älteren Typo3 Systemen verantwortlich sein. Schon allein durch das Eingeben eines bereits registrierten Benutzernamens erfolgt ein Login – wohlgemerkt ist dafür nicht mal ein Passwort notwendig. Diese Sicherheitslücke ist erst dann von Bedeutung, wenn bei den genannten Versionen die rsaauth-Erweiterung aktiviert wurde und folgende Konfiguration aufweist.
$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'
Die Entwickler empfehlen ein Update auf Version 4.5.40, Nutzer neuerer Versionen ab 4.7.0 sind nicht betroffen. Ob diese Sicherheitslücke besteht sollte stets individuell geprüft werden. Wie das weitere Vorgehen aussieht, sollte mit den jeweiligen Verantwortlichen abgesprochen werden. Ihr habt noch Fragen zum Workflow oder benötigt Unterstützung rsaauth in der Localconfiguration zu deaktivieren? Postet uns eure Kommentare über unser Kontaktformular und wir antworten euch.