5 1 0: Konfigurieren der Datenbank-basierten Authentifizierung
Übersicht
SEP sesam bietet verschiedene Methoden der Authentifzierung, welche sich gegenseitig ausschließen: Policy-basierte Authentifizierung und Datenbank-basierte Authentifizierung, die mit Lightweight Directory Access Protocol (LDAP) oder/und Active Directory kombiniert werden kann. Nur eine (Policy-basierte oder Datenbank-basierte) Authentifizierung kann aktiv sein. Im Standardfall ist die Policy-basierte Authentifzierung aktiviert.
Die Aktivierung der Datenbank-basierten Authentifizierung muss über die GUI erfolgen, um das Superuser/Admin-Passwort festzulegen. Beachten Sie, dass der Superuser mit SEP sesam Version 5.0.0 Jaglion die frühere Admin-Rolle ersetzt hat.
Nach dem Neustart von SEP sesam GUI Server und Client kann der Superuser/Admin Standard-Benutzerrechte konfigurieren, die auf vordefinierten Benutzertypen basieren.
SEP sesam bietet derzeit 5 Benutzertypen an. Die folgende Liste zeigt die verfügbaren Benutzertypen und ihre entsprechenden Rechte.
- Superuser (≥ Jaglion): Der einzige Benutzertyp mit voller Kontrolle über die SEP sesam Umgebung (früher Admin). Dieser Benutzertyp mit Superuser-Rechten wird automatisch den Benutzern Administrator und sesam zugewiesen.
- Administrator: Administratoren können das SEP sesam System administrieren und auf die GUI-Objekte zugreifen (außer Rechteverwaltung), wenn nicht eingeschränkt durch ACLs.
- Operator: Operatoren können die gesamte Umgebung überwachen.
- Backup (≥ Jaglion): Sicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Sicherungen starten.
- Restore: Rücksicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Rücksicherungen starten.
Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details finden Sie unter Verfügbare Oberflächenoptionen je nach Benutzertyp.
Anmerkung | |
Benutzer können sich auch mit einem signierten Zertifikat anstelle eines Benutzerpassworts authentifizieren, wenn die datenbankbasierte Authentifizierung aktiviert ist. Eine Schritt-für-Schritt-Anleitung finden Sie unter Konfiguration der zertifikatsbasierten Authentifizierung. |
Aktivieren der Datenbank-basierten Authentifizierung im GUI
- Im GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
- Klicken Sie Authentifizierung aktivieren. Setzen Sie das Passwort für den Benutzer Administrator; beachten Sie, dass dies der einzige Weg ist zum Setzen des Administrator-Passwortes.
- Nachdem Sie den Authentifizierungsmodus aktiviert und Ihre Aktion bestätigt haben, müssen Sie SEP sesam GUI und SEP sesam Client neu starten, damit die Änderungen wirksam werden.
- Die LDAP/AD-Authentifizierung ist standardmäßig aktiviert. Details zur Konfiguration der LDAP/AD Authentifizierung finden Sie unter Konfigurieren der LDAP/AD Authentifizierung.
- Sie müssen sich anmelden, um Benutzer zu konfigurieren und sie der ausgewählten Gruppe hinzuzufügen. Folgende Benutzertypen stehen zur Verfügung: Administratoren, Operatoren, Sicherungsbenutzer und Rücksicherungsbenutzer.
- Sie können eigene Untergruppen anlegen (z.B. SUB_ADMIN), um Benutzern spezifischere Rollen zuzuweisen. Klicken Sie im Reiter Gruppen auf Neu anlegen, um eine neue Untergruppe zu konfigurieren. Das Fenster Untergruppe wird geöffnet.
- Geben Sie einen Gruppennamen an und wählen Sie aus der Auswahlliste die entsprechende Rolle aus, die auf die gesamte Gruppe angewendet werden soll: Administrator, Operator, Backup oder Restore. Für weitere Informationen siehe Benutzerrollen und Berechtigungen.
- Klicken Sie im Reiter Benutzer auf Neu anlegen, um einen neuen Benutzer zu konfigurieren. Das Fenster Erstelle Benutzer wird geöffnet.
- Geben Sie einen Namen (z.B. mustermann) und ein Passwort an und ordnen Sie den Benutzer einer entsprechenden Gruppe zu, z.B. RESTORE.
- Ein Benutzer kann Mitglied einer oder mehrerer Gruppen sein. Doppelklicken Sie in dem Reiter Gruppen auf die entsprechende Gruppe und markieren oder entmarkieren Sie die Benutzer, um sie der jeweiligen Gruppe zuzuordnen oder aus ihr zu entfernen.
- Jetzt können Sie ACLs (Zugriffskontrolllisten) konfigurieren, um festzulegen, welchen Benutzern oder Gruppen der Zugriff auf den Standort (Gruppe von Clients) oder einen bestimmten Client gewährt wird. Sie können auch ACLs für Sicherungsaufträge, Medienpools und Zeitpläne konfigurieren. Details finden Sie unter Verwenden von Zugriffskontolllisten.
Anmerkung | |
Wenn Sie LDAP/AD einbinden wollen, müssen Sie den Reiter Externe Gruppen verwenden. Fügen Sie die Gruppe aus LDAP/AD hinzu und wählen Sie die Option Basierend auf Gruppe, um sie dieser speziellen SEP sesam Gruppe zuzuordnen. Siehe Konfigurieren der LDAP-Authentifizierung in der GUI. |
Anmerkung | |
Wenn die Datenbank-basierte Authentifizierung über das GUI aktiviert wurde, wird der Parameter authEnabled in der Datei sm.ini auf true gesetzt. Setzen des Wertes auf false aktiviert die Policy-basierte Authentifizierung und deaktiviert die Datenbank-basierte Authentifizierung. |
Rücksetzen des Benutzerpassworts
Um das Passwort eines anderen Benutzers zurückzusetzen, müssen Sie Superuser/Admin-Rechte haben. SEP sesam generiert ein zufälliges Passwort, das Sie dem Benutzer zusenden. Der Benutzer kann dann das generierte Passwort verwenden, um sein Passwort zu ändern und ein neues zu setzen. Der Superuser/Admin kann das Passwort in der GUI oder in der Kommandozeile mit dem Befehl sm_cmd zurücksetzen.
Anmerkung | |
Das Zurücksetzen eines Passwortes in der SEP sesam Version 5.0.0 Jaglion ist ein zweistufiger Prozess: Der Superuser/Admin muss das Passwort in der Kommandozeile mit dem Befehl sm_cmd zurücksetzen und dann das neu generierte Passwort verwenden, um das Passwort in der Berechtigungsverwaltung in der GUI ändern zu können. Für eine detaillierte Vorgehensweise siehe Rücksetzen des Passworts in 5.0.0 Jaglion. |
Rücksetzen des Passworts in der GUI
Gehen Sie wie folgt vor, um das Passwort für einen Benutzer in der GUI zurückzusetzen:
- Wählen Sie in der Menüleiste Konfiguration -> Berechtigungsverwaltung. Das Fenster Berechtigungsverwaltung wird geöffnet.
- Doppelklicken Sie auf den Benutzer, für den Sie das Kennwort zurücksetzen möchten, oder wählen Sie den Benutzer aus und klicken Sie auf Ändern.
- Klicken Sie im Fenster Benutzer ändern auf Passwort zurücksetzen.
- Klicken Sie auf Ja, um die Aktion zu bestätigen.
- Kopieren Sie das generierte Passwort und senden Sie es an den Benutzer. Klicken Sie dann auf OK, um die Änderungen zu übernehmen.
Rücksetzen des Passworts über die Kommandozeile
Um ein Benutzerpasswort zurückzusetzen, melden Sie sich an der SEP sesam Server Konsole an und geben Sie den folgenden Befehl ein:
sm_cmd reset user <ID or name>
Die Ausgabe des obigen Befehls wird im Beispiel gezeigt.
Beispiel:
In diesem Beispiel ist der Benutzername mustermann.
sm_cmd reset user mustermann C:\Program Files\SEPsesam\bin\sesam>sm_cmd reset user mustermann bouryper39
Ändern des Passworts
Um Ihr eigenes Benutzerpasswort in der GUI zu ändern, gehen Sie wie folgt vor:
- Wählen Sie in der Menüleiste Konfiguration -> Passwort ändern. Das Fenster Passwort ändern wird geöffnet.
- Geben Sie Ihr aktuelles Passwort ein. Geben Sie dann Ihr neues Passwort ein und wiederholen Sie das neue Passwort, um die Änderung zu bestätigen.
- Klicken Sie erneut auf OK, um alle Änderungen zu speichern.
Deaktivieren der Datenbank-basierten Authentifizierung
- Im GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung -> Reiter Aktivierung.
- Klicken Sie Authentifizierung deaktivieren.
- Nachdem der Authentifzierungsmodus deaktiviert und die Aktion bestätigt wurde, wird automatisch das SEP sesam Server neugestartet und das GUI beendet. Den SEP sesam Client müssen Sie händisch neustarten, damit die Änderungen wirksam werden.
Nun ist die Policy-basierte Authentifizierung eingestellt und der Parameter authEnabled in der Datei sm.ini auf false gesetzt.
Siehe auch
Über Authentifizierung und Autorisierung – Benutzerrollen und Berechtigungen – Konfigurieren der Zertifikat-basierten Authentifizierung – Konfigurieren der LDAP/AD Authentifizierung – Benutzen von Access Control Lists (Zugriffskontrollisten) – Konfigurieren der Policy-basierten Authentifizierung