4 4 3 Grolar:Über Authentifizierung und Autorisierung
Übersicht
SEP sesam introduces new authorization concept to grant and restrict access to SEP sesam Server, specific clients and locations. Note that authentication is the first step of authorization. This means that first the identity of a user who is accessing a SEP sesam Server is authenticated by verifying a user credentials (username and password).
After successful authentication starts the authorization, when SEP sesam validates if an authenticated user has appropriate permissions for accessing a specific resource or operation within SEP sesam Server.
Authentication is implemented through the following elements:
- Permissions based on user type
Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore. - Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
- Der Operator überwacht den Sicherungsstatus des SEP sesam.
- Der Nutzer Restore darf ausschließlich Rücksicherungen starten.
- Access Control Lists (ACLs)
ACL specifies which users or groups are granted access to specific objects. As of SEP sesam version 4.4.3 Grolar, you can configure ACLs for locations and clients, if you have the admin rights. For details on ACLs configuration, see Using Access Control Lists.
Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.
Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.
Anmerkung | |
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.
|
Datenbank-basierte Authentifizierung
SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.
As of 4.4.3 Grolar, SEP sesam can be configured to use LDAP/AD authentication in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see Configuring LDAP/AD Authentication.
Die zugeordnete Benutzergruppe (basierend auf dem Benutzertyp) bestimmt die Aktionen, die die Gruppenmitglieder ausführen können. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.
Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini
auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.
Policy-based authentication
Policy-based authentication represents a traditional approach to managing user's permissions with SEP sesam v. ≥ 4.4.3. SEP sesam GUI is based on Java and uses sm_java.policy file to grant the required permissions. The policy file is by default located at <SESAM_ROOT>/var/ini/sm_java.policy
, where <SESAM_ROOT>
is the pathname of the SEP sesam home directory.
With policy-based authentication permissions are assigned to user/host combination in the sm_java.policy file. You can also grant users the required permissions by using GUI: Main Selection -> Configuration ‐> User Permissions. For details on policy-based permissions, see Configuring Policy-Based Authentication.
Configuring localFullAccess in sm.ini
localFullAccess defines whether a user that is logged to the SEP sesam Server directly may use SEP sesam CLI and GUI without any authentication. If set to true, authentication is not required. If set to false, the authentication is mandatory for all users. SEP sesam will prompt for the username and password to log in.
If database-based authentication is enabled, localFullAccess flag is set to false automatically. A certificate is passed from the SEP sesam command line to the SEP sesam Server, where it is verified. The certificate file is stored in <SESAM_ROOT>/var/ini/ssl
.
Anmerkung | |
|
How to change the localFullAccess flag
- Locate the
<SESAM_ROOT>/var/ini/sm.ini
file on the SEP sesam Server (where<SESAM_ROOT>
is the pathname of the SEP sesam home directory). Open the sm.ini file using a text editor and set the flag for the localFullAccess parameter to true. - Once you have changed the settings, save your changes and restart the SEP sesam Server for the changes to take effect. The sm.ini file is preserved when you upgrade your SEP sesam Server.
Anmerkung | |
For SEP sesam versions ≤ 4.4.3: It is strongly recommended to leave the localFullAccess flag set to true. |