4 4 3 Grolar:About Authentication and Authorization/de: Difference between revisions

From SEPsesam
(Created page with "'''Access Control Lists (ACLs - Zugriffskontrolllisten)'''")
(Updating to match new version of source page)
(22 intermediate revisions by 3 users not shown)
Line 1: Line 1:
<div class="noprint"><languages/>
<noinclude><div class="noprint"><languages/>
{{Copyright SEP AG|de}}
{{Copyright SEP AG|de}}


{{Navigation_latest_de|release=[[Special:MyLanguage/SEP_sesam_Release_Versions|4.4.3 ''Grolar'']]|link=[[Special:MyLanguage/Authentication|Authentifizierung in früheren Versionen]]}}</div><br />
{{Navigation_latest_de|release=[[SEP_sesam_Release_Versions|4.4.3 ''Grolar''/4.4.3 ''Beefalo V2'']]|link=[[Special:MyLanguage/Authentication|Authentifizierung in früheren Versionen]]}}</div><br />


== Übersicht ==
</noinclude>===Übersicht===
<div class="boilerplate metadata" id="Additional resources" style="background-color:#ecedf1; color:#8695a7; border: 1px ridge #cdd3db; margin: 0.5em; padding: 0.5em; float: right; width: 35%; "><center><b>
<noinclude><div class="boilerplate metadata" id="Additional resources" style="background-color:#ecedf1; color:#8695a7; border: 1px ridge #cdd3db; margin: 0.5em; padding: 0.5em; float: right; width: 35%; "><center><b>
Weitere Quellen</b></center>
Weitere Quellen</b></center>


Line 12: Line 12:
[[File:SEP_next.png|45px|link=Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]]
[[File:SEP_next.png|45px|link=Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]]
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |
Siehe auch: [[Special:MyLanguage/4_4_3_Grolar:Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD Authentifizierung]] –  [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]] – [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Policy-basierten Authentifizierung]]
Siehe auch: [[Special:MyLanguage/Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD Authentifizierung]] –  [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]] – [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Policy-basierten Authentifizierung]]
|}
|}


Line 34: Line 34:
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |  
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |  
Im Problemfall nutzen Sie den  [[Special:MyLanguage/Troubleshooting_Guide|Troubleshooting Guide]].
Im Problemfall nutzen Sie den  [[Special:MyLanguage/Troubleshooting_Guide|Troubleshooting Guide]].
|}</div>
|}</div></noinclude>
SEP sesam führt ein neues ''Berechtigungskonzept'' ein, um den Zugriff auf den [[Special:MyLanguage/SEP_sesam_Glossary#SEP_sesam_Server|SEP sesam Server]], bestimmte Clients und Standorte zu gewähren und einzuschränken. Beachten Sie, dass die Authentifizierung der erste Schritt der Autorisierung ist. Dies bedeutet, dass zunächst die Identität eines Benutzers, der auf einen SEP sesam Server zugreift, durch Verifizierung der Benutzerdaten (Benutzername und Passwort) authentifiziert wird.  
SEP sesam führt ein neues ''Berechtigungskonzept'' ein, um den Zugriff auf den [[Special:MyLanguage/SEP_sesam_Glossary#SEP_sesam_Server|SEP sesam Server]], bestimmte Clients und Standorte zu gewähren und einzuschränken. Beachten Sie, dass die Authentifizierung der erste Schritt der Autorisierung ist. Dies bedeutet, dass zunächst die Identität eines Benutzers, der auf einen SEP sesam Server zugreift, durch Verifizierung der Benutzerdaten (Benutzername und Passwort) authentifiziert wird.  


Nach erfolgreicher Authentifizierung startet die Autorisierung, bei der SEP sesam prüft, ob ein authentifizierter Benutzer über entsprechende Berechtigungen für den Zugriff auf eine bestimmte Ressource oder Operation innerhalb des SEP sesam Servers verfügt.  
Nach erfolgreicher Authentifizierung startet die Autorisierung, bei der SEP sesam prüft, ob ein authentifizierter Benutzer über entsprechende Berechtigungen für den Zugriff auf eine bestimmte Ressource oder Operation innerhalb des SEP sesam Servers verfügt.  


Die Authentifizierung erfolgt über die folgenden Elemente:
Die Autorisierung erfolgt über die folgenden Elemente:
<ul><li>'''Berechtiungen basierend auf den Benutzertyp'''<br />  
<ul><li>'''Berechtiungen basierend auf den Benutzertyp'''<br />  
Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind ''admin'', ''operator'' und ''restore''.</li>
Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind ''admin'', ''operator'' und ''restore''.</li>
Line 47: Line 47:
Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier [[Special:MyLanguage/SEP sesam GUI|SEP sesam GUI]].
Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier [[Special:MyLanguage/SEP sesam GUI|SEP sesam GUI]].
<li>'''Access Control Lists (ACLs - Zugriffskontrolllisten)'''<br />  
<li>'''Access Control Lists (ACLs - Zugriffskontrolllisten)'''<br />  
ACL specifies which users or groups are granted access to specific objects. As of SEP sesam version  [[Special:MyLanguage/SEP_sesam_Release_Versions|4.4.3 ''Grolar'']], you can configure ACLs for locations and clients, if you have the ''admin'' rights. For details on ACLs configuration, see [[Special:MyLanguage/4_4_3_Grolar:Using_Access_Control_Lists|Using Access Control Lists]].</li></ul>
Eine ACL legt fest, welche Benutzer oder Gruppen Zugriff auf bestimmte Objekte erhalten. Ab der SEP sesam Version [[Special:MyLanguage/SEP_sesam_Release_Versions|4.4.3 ''Grolar'']]  
können Sie ACLs für Standorte und Clients konfigurieren, wenn Sie ''Admin''-Rechte besitzen. Details zur Konfiguration von ACLs finden Sie unter [[Special:MyLanguage/4_4_3_Grolar:Using_Access_Control_Lists|Benutzen von Access Control Lists]].</li></ul>


Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: ''Datenbank-basierte Authetifzierung'' (für V. ≥ ''4.4.3 Tigon''), die einfach Authentifizierung genannt wird, und ''Policy-basierte Authentifizierung'' (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.
Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: ''Datenbank-basierte Authetifzierung'' (für V. ≥ ''4.4.3 Tigon''), die einfach Authentifizierung genannt wird, und ''Policy-basierte Authentifizierung'' (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.
Line 53: Line 54:
{{Anmerkung|In ''SEP sesam V. 4.4.3 ≥ Tigon'' kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters <tt>localFullAccess</tt> in der Datei {{Sesamroot|/var/ini/sm.ini}} auf ''true'', wie im [[Special:MyLanguage/4_4_3_Grolar:About_Authentication_and_Authorization#localFullAccess|folgenden Abschnitt]] beschrieben.}}
{{Anmerkung|In ''SEP sesam V. 4.4.3 ≥ Tigon'' kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters <tt>localFullAccess</tt> in der Datei {{Sesamroot|/var/ini/sm.ini}} auf ''true'', wie im [[Special:MyLanguage/4_4_3_Grolar:About_Authentication_and_Authorization#localFullAccess|folgenden Abschnitt]] beschrieben.}}


=={{anchor|database}}Datenbank-basierte Authentifizierung==
==={{anchor|database}}Datenbank-basierte Authentifizierung===


SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.  
SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.  


As of [[Special:MyLanguage/SEP_sesam_Release_Versions|4.4.3 ''Grolar'']], SEP sesam can be configured to use '''''LDAP/AD authentication''''' in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see [[Special:MyLanguage/4_4_3_Grolar:Configuring_LDAP/AD_Authentication|Configuring LDAP/AD Authentication]].
Ab [[Special:MyLanguage/SEP_sesam_Release_Versions|4.4.3 ''Grolar'']] kann SEP sesam so konfiguriert werden, dass es '''''LDAP/AD Authentifizierung''''' in Kombination mit Datenbank-basierter Authentifizierung verwendet. Auf diese Weise kann SEP sesam Benutzer gegen ein externes LDAP/AD-Verzeichnis authentifizieren. Wenn die LDAP/AD-Authentifizierung in SEP sesam aktiviert ist und die Benutzer korrekt zugeordnet sind, können sie sich entsprechend ihrem Eintrag im LDAP/AD-Verzeichnis und den Benutzerzuordnungsinformationen bei SEP sesam anmelden. Weitere Informationen finden Sie unter [[Special:MyLanguage/Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD Authentifizierung]].  


Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem [[Special:MyLanguage/SEP_sesam_Glossary#user_types|user type]]), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt '''Konfiguration''' ‐>  '''Berechtigungsverwaltung''' die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den ''Administrator''-Benutzer zu setzen.  
Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem [[Special:MyLanguage/SEP_sesam_Glossary#user_types|Benutzertyp]]), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt '''Konfiguration''' ‐>  '''Berechtigungsverwaltung''' die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den ''Administrator''-Benutzer zu setzen.  


Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter <tt>authEnabled</tt> in der Datei {{Sesamroot|/var/ini/sm.ini}} auf dem SEP sesam Server auf ''true'' gesetzt. Details zur Datenbank-basierten Authentifizierung siehe [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Konfigurierung der Datenbank-basierten Authentifizierung]].
Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter <tt>authEnabled</tt> in der Datei {{Sesamroot|/var/ini/sm.ini}} auf dem SEP sesam Server auf ''true'' gesetzt. Details zur Datenbank-basierten Authentifizierung siehe [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Konfigurierung der Datenbank-basierten Authentifizierung]].


=={{anchor|policy}}Policy-basierte Authentifizierung==
==={{anchor|policy}}Policy-basierte Authentifizierung===


Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um [[Special:MyLanguage/SEP_sesam_Glossary#user_permissions|Benutzerrechte]] mit ''SEP sesam V. ≥ 4.4.3'' zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei <tt>sm_java.policy</tt> um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter {{Sesamroot|/var/ini/sm_java.policy}}, wobei {{Sesamroot|}} der Pfadname des SEP sesam Installationsverzeichnisses ist.  
Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um [[Special:MyLanguage/SEP_sesam_Glossary#user_permissions|Benutzerrechte]] mit ''SEP sesam V. ≥ 4.4.3'' zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei <tt>sm_java.policy</tt> um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter {{Sesamroot|/var/ini/sm_java.policy}}, wobei {{Sesamroot|}} der Pfadname des SEP sesam Installationsverzeichnisses ist.  
Line 69: Line 70:
Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei <tt>sm_java.policy</tt> zugeordnet. Man kann aber ebenso Benutzerrechte über das '''GUI''' gewähren durch anwählen im Menü von ''Konfiguration -> Benutzerrechte''. Details zur Policy-basierten Authentifizierung finden Sie hier [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Policy-basierten Authentifizierung]].
Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei <tt>sm_java.policy</tt> zugeordnet. Man kann aber ebenso Benutzerrechte über das '''GUI''' gewähren durch anwählen im Menü von ''Konfiguration -> Benutzerrechte''. Details zur Policy-basierten Authentifizierung finden Sie hier [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Konfigurieren der Policy-basierten Authentifizierung]].


=={{anchor|localFullAccess}}Konfigurieren von ''localFullAccess'' in <tt>sm.ini</tt>==
==={{anchor|localFullAccess}}Konfigurieren von ''localFullAccess'' in <tt>sm.ini</tt>===


Der Parameter <tt>localFullAccess</tt> legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf ''true'' gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf ''false'' gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.
Der Parameter <tt>localFullAccess</tt> legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf ''true'' gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf ''false'' gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.
Line 79: Line 80:
*Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.}}
*Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.}}


===Ändern des Parameters <tt>localFullAccess</tt>===
====Ändern des Parameters <tt>localFullAccess</tt>====


<ol><li>Suchen Sie die Datei {{Sesamroot|/var/ini/sm.ini}} auf dem SEP sesam Server (wobei {{Sesamroot|}} der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei <tt>sm.ini</tt> mit einem Texteditor und setzen Sie den Parameter <tt>localFullAccess</tt> auf ''true''.</li>  
<ol><li>Suchen Sie die Datei {{Sesamroot|/var/ini/sm.ini}} auf dem SEP sesam Server (wobei {{Sesamroot|}} der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei <tt>sm.ini</tt> mit einem Texteditor und setzen Sie den Parameter <tt>localFullAccess</tt> auf ''true''.</li>  
Line 86: Line 87:
{{Anmerkung|Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter <tt>localFullAccess</tt> auf ''true'' gesetzt zu lassen.}}
{{Anmerkung|Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter <tt>localFullAccess</tt> auf ''true'' gesetzt zu lassen.}}


<div class="noprint">
<noinclude><div class="noprint">
==Siehe auch==
===Siehe auch===
[[Special:MyLanguage/4_4_3_Grolar:Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD Authentifizierung]] – [[Special:MyLanguage/Configuring Policy-Based Authentication|Konfigurieren der Policy-basierten Authentifizierung]] – [[Special:MyLanguage/4_4_3:Configuring_Database-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]]</div>
[[Special:MyLanguage/Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD Authentifizierung]] – [[Special:MyLanguage/Configuring Policy-Based Authentication|Konfigurieren der Policy-basierten Authentifizierung]] – [[Special:MyLanguage/4_4_3:Configuring_Database-Based_Authentication|Konfigurieren der Datenbank-basierten Authentifizierung]]</div></noinclude>

Revision as of 11:39, 27 January 2021

Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Grolar/4.4.3 Beefalo V2. Frühere Versionen der Dokumentation finden Sie hier: Authentifizierung in früheren Versionen.


Übersicht

SEP sesam führt ein neues Berechtigungskonzept ein, um den Zugriff auf den SEP sesam Server, bestimmte Clients und Standorte zu gewähren und einzuschränken. Beachten Sie, dass die Authentifizierung der erste Schritt der Autorisierung ist. Dies bedeutet, dass zunächst die Identität eines Benutzers, der auf einen SEP sesam Server zugreift, durch Verifizierung der Benutzerdaten (Benutzername und Passwort) authentifiziert wird.

Nach erfolgreicher Authentifizierung startet die Autorisierung, bei der SEP sesam prüft, ob ein authentifizierter Benutzer über entsprechende Berechtigungen für den Zugriff auf eine bestimmte Ressource oder Operation innerhalb des SEP sesam Servers verfügt.

Die Autorisierung erfolgt über die folgenden Elemente:

  • Berechtiungen basierend auf den Benutzertyp
    Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore.
    • Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
    • Der Operator überwacht den Sicherungsstatus des SEP sesam.
    • Der Nutzer Restore darf ausschließlich Rücksicherungen starten.

    Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.

  • Access Control Lists (ACLs - Zugriffskontrolllisten)
    Eine ACL legt fest, welche Benutzer oder Gruppen Zugriff auf bestimmte Objekte erhalten. Ab der SEP sesam Version 4.4.3 Grolar können Sie ACLs für Standorte und Clients konfigurieren, wenn Sie Admin-Rechte besitzen. Details zur Konfiguration von ACLs finden Sie unter Benutzen von Access Control Lists.

Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.

Information sign.png Anmerkung
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.

Datenbank-basierte Authentifizierung

SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.

Ab 4.4.3 Grolar kann SEP sesam so konfiguriert werden, dass es LDAP/AD Authentifizierung in Kombination mit Datenbank-basierter Authentifizierung verwendet. Auf diese Weise kann SEP sesam Benutzer gegen ein externes LDAP/AD-Verzeichnis authentifizieren. Wenn die LDAP/AD-Authentifizierung in SEP sesam aktiviert ist und die Benutzer korrekt zugeordnet sind, können sie sich entsprechend ihrem Eintrag im LDAP/AD-Verzeichnis und den Benutzerzuordnungsinformationen bei SEP sesam anmelden. Weitere Informationen finden Sie unter Konfigurieren der LDAP/AD Authentifizierung.

Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem Benutzertyp), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.

Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.

Policy-basierte Authentifizierung

Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um Benutzerrechte mit SEP sesam V. ≥ 4.4.3 zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist.

Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei sm_java.policy zugeordnet. Man kann aber ebenso Benutzerrechte über das GUI gewähren durch anwählen im Menü von Konfiguration -> Benutzerrechte. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.

Konfigurieren von localFullAccess in sm.ini

Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf true gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.

Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl gespeichert.

Information sign.png Anmerkung
  • Unter UNIX kann nur der system root Benutzer auf dieses Verzeichnis zugreifen und die Kommandozeile ohne Authentifizierung nutzen.
  • Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.

Ändern des Parameters localFullAccess

  1. Suchen Sie die Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server (wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei sm.ini mit einem Texteditor und setzen Sie den Parameter localFullAccess auf true.
  2. Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei sm.ini bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.
Information sign.png Anmerkung
Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter localFullAccess auf true gesetzt zu lassen.