4 4 3 Grolar:About Authentication and Authorization/de: Difference between revisions

From SEPsesam
(Created page with "Anmerkung")
(Created page with "Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter <tt>localFullAccess</tt> auf ''true'' gesetzt zu lassen.")
Line 84: Line 84:
<li>Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei <tt>sm.ini</tt> bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.</li></ol>
<li>Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei <tt>sm.ini</tt> bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.</li></ol>


{{Anmerkung|For SEP sesam versions ≤ 4.4.3: It is strongly recommended to leave the <tt>localFullAccess</tt> flag set to ''true''.}}
{{Anmerkung|Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter <tt>localFullAccess</tt> auf ''true'' gesetzt zu lassen.}}


<div class="noprint">
<div class="noprint">
==See also==
==See also==
[[Special:MyLanguage/4_4_3_Grolar:Configuring_LDAP/AD_Authentication|Configuring LDAP/AD Authentication]] – [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Configuring Policy-Based Authentication]] – [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Configuring Database-Based Authentication]] </div>
[[Special:MyLanguage/4_4_3_Grolar:Configuring_LDAP/AD_Authentication|Configuring LDAP/AD Authentication]] – [[Special:MyLanguage/Configuring_Policy-Based_Authentication|Configuring Policy-Based Authentication]] – [[Special:MyLanguage/4_4_3_Grolar:Configuring_Database-Based_Authentication|Configuring Database-Based Authentication]] </div>

Revision as of 12:17, 6 July 2018

Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Draft.png WORK IN PROGRESS
This article is in the initial stage and may be updated, replaced or deleted at any time. It is inappropriate to use this document as reference material as it is a work in progress and should be treated as such.
Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Grolar. Frühere Versionen der Dokumentation finden Sie hier: Authentifizierung in früheren Versionen.


Übersicht

SEP sesam introduces new authorization concept to grant and restrict access to SEP sesam Server, specific clients and locations. Note that authentication is the first step of authorization. This means that first the identity of a user who is accessing a SEP sesam Server is authenticated by verifying a user credentials (username and password).

After successful authentication starts the authorization, when SEP sesam validates if an authenticated user has appropriate permissions for accessing a specific resource or operation within SEP sesam Server.

Authentication is implemented through the following elements:

  • Permissions based on user type
    Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore.
    • Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
    • Der Operator überwacht den Sicherungsstatus des SEP sesam.
    • Der Nutzer Restore darf ausschließlich Rücksicherungen starten.

    Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.

  • Access Control Lists (ACLs)
    ACL specifies which users or groups are granted access to specific objects. As of SEP sesam version 4.4.3 Grolar, you can configure ACLs for locations and clients, if you have the admin rights. For details on ACLs configuration, see Using Access Control Lists.

Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.

Information sign.png Anmerkung
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.

Datenbank-basierte Authentifizierung

SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.

As of 4.4.3 Grolar, SEP sesam can be configured to use LDAP/AD authentication in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see Configuring LDAP/AD Authentication.

Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem user type), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.

Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.

Policy-basierte Authentifizierung

Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um Benutzerrechte mit SEP sesam V. ≥ 4.4.3 zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist.

Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei sm_java.policy zugeordnet. Man kann aber ebenso Benutzerrechte über das GUI gewähren durch anwählen im Menü von Konfiguration -> Benutzerrechte. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.

Konfigurieren von localFullAccess in sm.ini

Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf true gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.

Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl gespeichert.

Information sign.png Anmerkung
  • Unter UNIX kann nur der system root Benutzer auf dieses Verzeichnis zugreifen und die Kommandozeile ohne Authentifizierung nutzen.
  • Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.

Ändern des Parameters localFullAccess

  1. Suchen Sie die Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server (wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei sm.ini mit einem Texteditor und setzen Sie den Parameter localFullAccess auf true.
  2. Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei sm.ini bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.
Information sign.png Anmerkung
Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter localFullAccess auf true gesetzt zu lassen.