5 0 0: Konfigurieren der Datenbank-basierten Authentifizierung
Übersicht
SEP sesam bietet verschiedene Methoden der Authentifzierung, welche sich gegenseitig ausschließen: Policy-basierte Authentifizierung und Datenbank-basierte Authentifizierung, die mit Lightweight Directory Access Protocol (LDAP) oder/und Active Directory kombiniert werden kann. Nur eine (Policy-basierte oder Datenbank-basierte) Authentifizierung kann aktiv sein. Im Standardfall ist die Policy-basierte Authentifzierung aktiviert.
Die Aktivierung der Datenbank-basierten Authentifizierung muss über die GUI erfolgen, um das Superuser/Admin-Passwort festzulegen. Beachten Sie, dass der Superuser mit SEP sesam Version 5.0.0 Jaglion die frühere Admin-Rolle ersetzt hat.
Nach dem Neustart von SEP sesam GUI Server und Client kann der Superuser/Admin (je nach Version) Standard-Benutzerrechte konfigurieren, die auf vordefinierten Benutzertypen basieren.SEP sesam bietet derzeit 5 Benutzertypen an. Die folgende Liste zeigt die verfügbaren Benutzertypen und ihre entsprechenden Rechte.
- Superuser (≥ Jaglion): Der einzige Benutzertyp mit voller Kontrolle über die SEP sesam Umgebung (früher Admin). Dieser Benutzertyp mit Superuser-Rechten wird automatisch den Benutzern Administrator und sesam zugewiesen.
- Administrator: Administratoren können das SEP sesam System administrieren und auf die GUI-Objekte zugreifen (außer Rechteverwaltung), wenn nicht eingeschränkt durch ACLs.
- Operator: Operatoren können die gesamte Umgebung überwachen.
- Backup (≥ Jaglion): Sicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Sicherungen starten.
- Restore: Rücksicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Rücksicherungen starten.Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details finden Sie unter Verfügbare Oberflächenoptionen je nach Benutzertyp.
Ab V. 5.0.0 Jaglion ist es auch möglich, Benutzer mit einem signierten Zertifikat anstelle eines Benutzerpasswortes zu authentifizieren, wenn die Datenbank-basierte Authentifizierung aktiviert ist. Eine Schritt-für-Schritt-Anleitung finden Sie unter Konfigurieren der Zertifikats-basierten Authentifizierung.
Voraussetzungen
- Stellen Sie sicher, dass die umgekehrte DNS Auflösung (von IP Adresse zu Rechnernamen) korrekt funktioniert. Wenn die Namensauflösung für den ausgewählten Rechner nicht korrekt ist, wird die Verbindung zum GUI Server fehlschlagen. Details finden Sie hier Prüfen der DNS Konfiguration.
Aktivieren der Datenbank-basierten Authentifizierung im GUI
- Im GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
- Klicken Sie Authentifizierung aktivieren. Setzen Sie das Passwort für den Benutzer Administrator. Beachten Sie, dass dies der einzige Weg ist das Administrator-Passwort zu setzen.
- Nachdem der Modus für die Authentifizierung aktiviert und diese Aktion bestätigt wurde, wird das SEP sesam GUI automatisch beendet und der Server neu gestartet. Sie müssen den SEP sesam Client händisch neustarten, damit die Änderungen wirksam werden.
- Die LDAP/AD-Authentifizierung ist standardmäßig aktiviert. Details zur Konfiguration der LDAP/AD Authentifizierung finden Sie unter Konfigurieren der LDAP/AD Authentifizierung.
- Sie müssen sich anmelden, um Benutzer zu konfigurieren und sie der entsprechenden Gruppe hinzuzufügen. Die Art und Weise, wie Sie sich einloggen müssen, hängt von der Version ab. In V. ≥ 5.0.0 Jaglion melden Sie sich als Administrator mit dem Benutzertyp Superuser an. In früheren Versionen melden Sie sich mit dem Benutzertyp Administrator an. Folgende Benutzertypen stehen zur Verfügung: Administratoren, Operatoren, Sicherungsbenutzer (≥ 5.0.0 Jaglion), Rücksicherungsbenutzer.
- Sie können eigene Untergruppen anlegen (z.B. SUB_ADMIN), um Benutzern spezifischere Rollen zuzuweisen. Klicken Sie im Reiter Gruppen auf Neu anlegen, um eine neue Untergruppe zu konfigurieren. Das Fenster Untergruppe wird geöffnet.
- Geben Sie einen Gruppennamen an und wählen Sie aus der Auswahlliste die entsprechende Rolle aus, die auf die gesamte Gruppe angewendet werden soll: Administrator, Operator, Backup (in v. ≥ 5.0.0 Jaglion) und Restore. Für weitere Informationen siehe Benutzerrollen und Berechtigungen.
- Klicken Sie im Reiter Benutzer auf Neu anlegen, um einen neuen Benutzer zu konfigurieren. Das Fenster Erstelle Benutzer wird geöffnet.
- Geben Sie einen Namen (z.B. mustermann) und ein Passwort an und ordnen Sie den Benutzer einer entsprechenden Gruppe zu, z.B. RESTORE.
- Ein Benutzer kann Mitglied einer oder mehrerer Gruppen sein. Doppelklicken Sie in dem Reiter Gruppen auf die entsprechende Gruppe und markieren oder entmarkieren Sie die Benutzer, um sie der jeweiligen Gruppe zuzuordnen oder aus ihr zu entfernen.
- Jetzt können Sie ACLs (Zugriffskontrolllisten) konfigurieren, um festzulegen, welchen Benutzern oder Gruppen der Zugriff auf den Standort (Gruppe von Clients) oder einen bestimmten Client gewährt wird. Ab V. 5.0.0 Jaglion können Sie auch ACLs für Sicherungsaufträge, Medienpools und Zeitpläne konfigurieren. Details finden Sie unter Verwenden von Zugriffskontolllisten.
Anmerkung | |
Wenn Sie LDAP/AD einbinden wollen, müssen Sie den Reiter Externe Gruppen verwenden. Fügen Sie die Gruppe aus LDAP/AD hinzu und wählen Sie die Option Basierend auf Gruppe, um sie dieser speziellen SEP sesam Gruppe zuzuordnen. Siehe Konfigurieren der LDAP-Authentifizierung in der GUI. |
Anmerkung | |
Wenn die Datenbank-basierte Authentifizierung über das GUI aktiviert wurde, wird der Parameter authEnabled in der Datei sm.ini auf true gesetzt. Setzen des Wertes auf false aktiviert die Policy-basierte Authentifizierung und deaktiviert die Datenbank-basierte Authentifizierung. |
Rücksetzen des Benutzerpassworts
Um das Passwort eines anderen Benutzers zurückzusetzen, müssen Sie Admin Rechte besitzen. Das Zurücksetzen eines Passwortes ist ein zweistufiger Prozess: Der Administrator muss ein Passwort in der Kommandozeile mit sm_cmd command zurücksetzen und dann das neu generierte Passwort verwenden, um das Passwort unter Berechtigungsverwaltung im GUI ändern zu können.
Rücksetzen des Passworts über die Kommandozeile
Eine Access Control List (ACL - Zugriffskontrollliste) ist eine Liste von Berechtigungen, die mit einem Objekt (z.B. Client, Standort, Sicherung, etc.) verbunden sind. Die Konfiguration der ACLs in SEP sesam ist versionsspezifisch.
- SEP sesam 5.0.0 Jaglion führte eine verbesserte Authentifizierung und Autorisierung ein, indem es nur Benutzern mit Superuser-Rechten erlaubt, ACLs zu konfigurieren. Ein Superuser kann Berechtigungen für jeden Benutzer oder jede Gruppe mit fein abgestuften Zugriffsrechten für Standorte, Clients, Sicherungsaufträge (oder Gruppen), Medienpools und Zeitpläne. Für Details siehe Verwenden von Zugriffskontrollliste.
- Für SEP sesam Versionen ≤ 4.4.3 Beefalo V2 kann ein Benutzer mit Admin-Rechten ACLs für Standorte und Clients konfigurieren. Für weitere Details siehe Verwenden von ACLs in V. ≤ Beefalo V2.
Es ist möglich, ACLs in der Kommandozeile mit dem Befehl sm_cmd zu verwalten, wenn Sie Superuser-Rechte (vorher Admin) haben.
sm_cmd reset user
Um ein Benutzerpasswort zurückzusetzen, melden Sie sich an der SEP sesam Server Konsole an und geben Sie den folgenden Befehl ein:
sm_cmd reset user <ID or name>
Die Ausgabe des obigen Befehls wird im Beispiel gezeigt.
Beispiel:
In diesem Beispiel ist der Benutzername mustermann.
sm_cmd reset user mustermann C:\Program Files\SEPsesam\bin\sesam>sm_cmd reset user mustermann bouryper39
Anmerkung | |
Nach dem Zurücksetzen eines Benutzerpassworts in der Befehlszeile müssen Sie das Passwort unter der Berechtigungsverwaltung in der Benutzeroberfläche ändern. Details finden Sie unter Ändern eines Passworts in der GUI. |
sm_cmd list acl
Sie können alle Objekte, für die ACLs definiert sind, mit dem Befehl sm_cmd list acl überprüfen.
Beispiel:
Wenn Sie die Benutzerberechtigung überprüfen wollen, verwenden Sie den Befehl list acl (ID: 10, Name: mustermann). Die Ausgabe des Befehls wird im Beispiel gezeigt.
G:\Jenkins\master-w86\su\src\msi>sm_cmd list acl id object label origin value 1 2 HIGHSECURITY Locations [{ID: 3, Type: GROUP, Name: RESTORE, Permissions: [Access : Deny]}, {ID: 10, Type: USER, Name: mustermann, Permissions: [Access : Allow]}] 2 7 SEP/Hyper-V Locations [{ID: 3, Type: GROUP, Name: RESTORE, Permissions: [Access : Deny]}, {ID: 7, Type: USER, Name: restricted_user, Permissions: [Access : Deny]}, {ID: 5, Type: USER, Name: restore, Permissions: [Access : Allow]}]
sm_cmd check acl
Sie können den Zugriff auf ein bestimmtes Objekt für einen bestimmten Benutzer überprüfen, indem Sie den Befehl sm_cmd check acl zusammen mit einer Objekt-ID, der Objektherkunft und einem Benutzernamen verwenden.
Beispiel:
- Prüft den Zugriff auf das Standortobjekt mit der ID 2 für Administratoren:
C:\Program Files\SEPsesam\bin\gui>sm_cmd check acl -o Locations 2
- Prüft den Zugriff auf das Standortobjekt mit der ID 2 für den Benutzer restore:
C:\Program Files\SEPsesam\bin\gui>sm_cmd check acl -o Locations 2 -u restore
- Überprüft den Zugriff auf das Clienten-Objekt mit der ID 0 für Administratoren:
C:\Program Files\SEPsesam\bin\gui>sm_cmd check acl -o Clients 0
- Überprüft den Zugriff auf das Clienten-Objekt mit der ID 0 für den Benutzer restricted_user:
C:\Program Files\SEPsesam\bin\gui>sm_cmd check acl -o Clients 0 -u restricted_user
sm_cmd remove acl
Sie können auch alle konfigurierten ACLs löschen, indem Sie den Befehl sm_cmd remove acl all verwenden. In diesem Fall erhalten die Benutzer Standardbenutzerzugriffsrechte, die auf den vordefinierten Benutzertypen (Admin, Operator, Restore) basieren.
- Benutzertyp in V. ≥ 5.0.0 Jaglion: Admin, Operator, Restore und Backup
- In vorherigen SEP sesam Versionen (≤ 4.4.3 Beefalo V2): Admin, Operator, Restore.
Ändern des Passworts in der GUI
Nach dem Zurücksetzen eines Benutzerpassworts mit dem Befehl sm_cmd reset user können Sie das Passwort für den jeweiligen Benutzer in der Berechtigungsverwaltung im GUI ändern, indem Sie das automatisch generierte Passwort aus der Befehlsausgabe verwenden. Beachten Sie, dass nur ein Superuser/Admin-Benutzer über genügend Rechte verfügt, um die Berechtigungsverwaltung zu verwenden und Benutzer zu konfigurieren.
- Wählen Sie in der Menüleiste Konfiguration -> Berechtigungsverwaltung. Das Fenster Berechtigungsverwaltung wird geöffnet. Wählen Sie den Benutzer aus, für den Sie das Passwort zurücksetzen möchten und klicken Sie auf Ändern. In unserem Beispiel heißt der Benutzer mustermann.
- Klicken Sie im Fenster Ändere Benutzer auf Passwort ändern.
- Das Fenster Passwort ändern wird geöffnet. Geben Sie das Passwort ein, das Sie durch Zurücksetzen des Passwortes in der Kommandozeile erhalten haben (in unserem Beispiel bouryper39), geben Sie ein neues Passwort ein und klicken Sie auf OK.
Deaktivieren der Datenbank-basierten Authentifizierung
- Im GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung -> Reiter Aktivierung.
- Klicken Sie Authentifizierung deaktivieren.
- Nachdem der Authentifzierungsmodus deaktiviert und die Aktion bestätigt wurde, wird automatisch das SEP sesam Server neugestartet und das GUI beendet. Den SEP sesam Client müssen Sie händisch neustarten, damit die Änderungen wirksam werden.
- Nun ist die Policy-basierte Authentifizierung eingestellt und der Parameter authEnabled in der Datei sm.ini auf false gesetzt.