5 0 0: Konfigurieren der Zertifikat-basierten Authentifizierung
Übersicht
Ab SEP sesam V. 5.0.0 Jaglion, ist es bei aktivierter Datenbank-basierter Authentifizierung möglich, Benutzer über ein signiertes Zertifikat zu authentifizieren, anstatt einen Benutzernamen und ein Passwort zu verwenden.
Authentifizierung mit einem signierten Zertifikat konfigurieren
Die Konfiguration der Authentifizierung mit einem signierten Zertifikat erfordert Superuser-Rechte. Sie müssen ein Benutzerauthentifizierungszertifikat erstellen und es einem Benutzerkonto zuweisen. Der einfachste Weg ist die SEP sesam GUI zu verwenden, wo das Zertifikat automatisch erstellt und einem Benutzerkonto zugewiesen wird. Optional können Sie auch ein Zertifikat manuell erstellen und zuweisen, dies erfordert jedoch zusätzliche Schritte.
Dann kann sich der Benutzer an einer der SEP sesam Schnittstellen (SEP sesam GUI, SEP sesam Web UI, SEP sesam CLI) über das Zertifikat authentifizieren.
Erstellen eines Benutzerauthentifizierungszertifikats in der GUI
In der SEP sesam GUI können Sie ein Benutzerauthentifizierungszertifikat automatisch erstellen und einem Benutzer zugeweisen.
- In der GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
- Doppelklicken Sie auf den Benutzer, für den Sie ein Benutzerauthentifizierungszertifikat erstellen möchten. Klicken Sie im neuen Fenster Benutzer ändern auf Neu.
- Wählen Sie einen Ordner auf Ihrem Computer, in dem Sie das Zertifikat speichern möchten, und klicken Sie auf Speichern. Das Zertifikat und der Fingerabdruck werden automatisch erstellt.
- Klicken Sie in beiden geöffneten Dialogen auf OK, um die Zertifikatserstellung abzuschließen.
Manuelles Erstellen eines Benutzerauthentifizierungszertifikats
Optional können Sie ein Benutzerauthentifizierungszertifikat auch manuell erstellen und zuweisen. Dieses Verfahren umfasst die folgenden Schritte:
- Ein Benutzer erstellt eine Zertifikatsignierungsanforderung (CSR) für die Benutzerauthentifizierung und sendet sie an einen Administrator mit Superuser-Rechten.
- Der Superuser (Systemadministrator) signiert das Zertifikat.
- Der Superuser weist dann das Zertifikat dem jeweiligen Benutzerkonto zu.
- Bei der LDAP/AD-basierten Authentifizierung bindet der Administrator das Zertifikat an den Benutzer in LDAP/AD. Anweisungen hierzu finden Sie in der entsprechenden LDAP/AD-Server-Dokumentation.
Erstellen einer Zertifikatssignierungsanforderung für die Benutzerauthentifizierung (Benutzerseite)
Anmerkung | |
Der private Schlüssel muss im PKCS8 Format vorliegen. Wenn Sie einen Schlüssel in einem anderen Format haben, müssen Sie ihn zunächst in das PKCS8 Format umwandeln. Hierfür können Sie das Dienstprogramm openssl verwenden.
|
Wenn Sie bereits einen privaten SSL-Schlüssel haben, für den Sie ein Zertifikat erstellen möchten, überspringen Sie Schritt 1 und fahren Sie mit Schritt 2 fort.
- Erstellen Sie einen neuen privaten Schlüssel wie folgt:
- Erstellen Sie eine Zertifikatsignierungsanforderung (Certificate Signing Request - CSR) mit dem privaten Schlüssel:
- Senden Sie die CSR an Ihren Systemadministrator.
openssl genrsa -out <Schlüsselname>.key
openssl req -new -key <Schlüsselname>.key -out <Schlüsselname>.csr
Signieren des Benutzerauthentifizierungszertifikats (durch einen Benutzer mit Superuser-Rechten)
- Navigieren Sie zu dem Verzeichnis, in dem Sie die Benutzer-CSR-Datei abgelegt haben und signieren Sie die CSR mit dem REST-Server-Benutzerauthentifizierungszertifikat:
- Abrufen des Fingerabdrucks des signierten Benutzerauthentifizierungszertifikats:
- Senden Sie das Benutzerauthentifizierungszertifikat (crt) an den Benutzer zurück.
openssl x509 -trustout -days <Tage> -req -signkey <SESAM_VAR>/ini/ssl/sesam.auth.key -in <Schlüsselname>.csr -out <Schlüsselname>.crt
Anmerkung | |
In SEP sesam V. < 5.0.0 Jaglion heißt der Signierschlüssel für das Benutzerauthentifizierungszertifikat des REST-Servers sesam.gui.key. |
openssl x509 -noout -fingerprint -sha1 -inform pem -in <Schlüsselname>.crt
Zuweisung des Benutzerauthentifizierungszertifikats zu einem Benutzerkonto (durch einen Benutzer mit Superuser-Rechten)
Gehen Sie wie folgt vor, um das Benutzerauthentifizierungszertifikat einem Benutzerkonto zuzuweisen:
- In der GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
- Doppelklicken Sie auf das Benutzerkonto, dem ein Benutzerauthentifizierungszertifikat zugewiesen werden soll. Das neue Fenster Ändere Benutzer wird geöffnet.
- Klicken Sie auf die Schaltfläche + (Plus) und geben Sie den Fingerabdruck des Benutzerauthentifizierungszertifikats in das Fenster Fingerabdruck hinzufügen ein.
- Klicken Sie in beiden geöffneten Dialogen auf OK, um das Zertifikat zur Liste Zertifikat Fingerabdrücke hinzuzufügen.
Verwendung des Benutzerauthentifizierungszertifikats zur Authentifizierung (Benutzerseite)
Ein Benutzer erhält das Authentifizierungszertifikat vom Administrator (mit Superuser-Rechten) und muss es an einem Ort speichern, der nur für den Benutzer lesbar ist. Sobald dies geschehen ist, sollte der Benutzer in der Lage sein, sich über das Zertifikat mit einer der SEP sesam Schnittstellen (SEP sesam GUI, SEP sesam Web UI, SEP sesam CLI) wie unten beschrieben zu authentifizieren.
Authentifizierung in der GUI
Um sich über ein Zertifikat in der GUI zu authentifizieren, gehen Sie wie folgt vor:
- Starten Sie die SEP sesam GUI als Administrator und überprüfen Sie, ob der Benutzername korrekt ist.
- Verwenden Sie die Schaltfläche Durchsuchen, um das Benutzerauthentifizierungszertifikat auszuwählen oder geben Sie den absoluten Pfad zur Datei des Benutzerauthentifizierungszertifikats in das Feld Zertifikatsdatei ein.
- Klicken Sie auf die Schaltfläche Login oder drücken Sie Enter, um den Benutzer am SEP sesam Server zu authentifizieren und die SEP sesam GUI zu öffnen.
Anmerkung | |
Das Benutzerauthentifizierungszertifikat kann auch beim Start der SEP sesam Administrator GUI mit dem Parameter -z <absoluter Pfad der Benutzerauthentifizierungszertifikatsdatei> angegeben werden. Ist die Authentifizierung erfolgreich, wird der Anmeldedialog nicht angezeigt und die GUI öffnet sich sofort.
|
Authentifizierung in der Web UI
Zur Authentifizierung über ein Zertifikat in der Web-UI gehen Sie wie folgt vor:
- Geben Sie den Benutzernamen des Administrators ein.
- Verwenden Sie die Schaltfläche Datei auswählen, um die Datei des Benutzerauthentifizierungszertifikats von Ihrem Computer auszuwählen.
- Klicken Sie auf die Schaltfläche Anmelden oder drücken Sie Enter, um den Benutzer am SEP sesam Server zu authentifizieren und öffnen Sie die SEP sesam Web UI.
Authentifizierung in der SEP sesam CLI
Um sich mit einem Zertifikat in der SEP sesam CLI zu authentifizieren, verwenden Sie die folgenden Kommandozeilenoptionen:
sm_cmd ... -U <Benutzername> -z <absoluter Pfad der Benutzerauthentifizierungszertifikats-Datei> ...
Ersetzen des selbstsignierten Zertifikats durch ein benutzerdefiniertes Serverzertifikat für die Benutzerauthentifizierung
Sobald der REST-Server startet, erzeugt er ein selbstsigniertes Benutzerauthentifizierungs-Serverzertifikat und einen privaten Schlüssel. Normalerweise reichen diese aus, um die oben beschriebene zertifikatsbasierte Benutzerauthentifizierung zu ermöglichen.
Ein Serveradministrator (Superuser) kann jedoch das selbstsignierte Zertifikat durch das offizielle Firmenzertifikat (Root-Benutzer-Authentifizierungszertifikat) ersetzen, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. Wenn Sie das Zertifikat und den privaten Schlüssel als Root-Benutzer-Authentifizierungszertifikat verwenden wollen, fügen Sie beides zum <SESAM_VAR>/ini/ssl
hinzu und benennen die Dateien sesam.auth.crt (Zertifikat) und sesam.auth.key (privater Schlüssel).
In diesem Fall führt der REST-Server beim Start folgende Schritte aus, um das Root-Benutzer-Authentifizierungszertifikat zu finden:
- Wenn ein Zertifikat und ein zugehöriger privater Schlüssel über Kommandozeilenoptionen (
[-Z|--sesamUserSslCertificate] <absoluter Dateiname Zertifikat>, [-K|--sesamUserSslPrivateKey> <absoluter Dateiname privater Schlüssel>
) angegeben werden, versucht es, die angegebenen Dateien zu verwenden. - Wenn die Variable gv_ro_ssl_auth in sm.ini (PATHES Abschnitt) vorhanden ist, wird dieser Ort als nächstes unter Verwendung der Standard-Dateinamen abgefragt.
- Wenn die Variable gv_ro_ssl in sm.ini (PATHES Abschnitt) vorhanden ist, wird dieser Ort als nächstes unter Verwendung der Standard-Dateinamen überprüft.
- Betrachtet den Standard-Speicherort unter Verwendung der Standard-Dateinamen (Standard-Speicherort =
<SESAM_VAR>/ini/ssl
, Standard-Dateinamen = sesam.auth.crt, sesam.auth.key).
Um zu überprüfen, ob das richtige Root-Benutzer-Authentifizierungszertifikat verwendet wird, suchen Sie im sm_gui_server.log nach einer Zeile, die lautet:
Enabling certificate-based user authentication using root certificate file <absoluter Pfad zur verwendeten Zertifikatsdatei>
Siehe auch
Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk - Konfigurieren der LDAP/AD Authentifizierung - Über Authentifizierung und Autorisierung