4 4 3 Grolar:Über Authentifizierung und Autorisierung

From SEPsesam
Revision as of 12:16, 6 July 2018 by Sta (talk | contribs) (Created page with "===Ändern des Parameters <tt>localFullAccess</tt>===")
Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Draft.png WORK IN PROGRESS
This article is in the initial stage and may be updated, replaced or deleted at any time. It is inappropriate to use this document as reference material as it is a work in progress and should be treated as such.
Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Grolar. Frühere Versionen der Dokumentation finden Sie hier: Authentifizierung in früheren Versionen.


Übersicht

SEP sesam introduces new authorization concept to grant and restrict access to SEP sesam Server, specific clients and locations. Note that authentication is the first step of authorization. This means that first the identity of a user who is accessing a SEP sesam Server is authenticated by verifying a user credentials (username and password).

After successful authentication starts the authorization, when SEP sesam validates if an authenticated user has appropriate permissions for accessing a specific resource or operation within SEP sesam Server.

Authentication is implemented through the following elements:

  • Permissions based on user type
    Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore.
    • Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
    • Der Operator überwacht den Sicherungsstatus des SEP sesam.
    • Der Nutzer Restore darf ausschließlich Rücksicherungen starten.

    Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.

  • Access Control Lists (ACLs)
    ACL specifies which users or groups are granted access to specific objects. As of SEP sesam version 4.4.3 Grolar, you can configure ACLs for locations and clients, if you have the admin rights. For details on ACLs configuration, see Using Access Control Lists.

Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.

Information sign.png Anmerkung
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.

Datenbank-basierte Authentifizierung

SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.

As of 4.4.3 Grolar, SEP sesam can be configured to use LDAP/AD authentication in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see Configuring LDAP/AD Authentication.

Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem user type), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.

Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.

Policy-basierte Authentifizierung

Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um Benutzerrechte mit SEP sesam V. ≥ 4.4.3 zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist.

Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei sm_java.policy zugeordnet. Man kann aber ebenso Benutzerrechte über das GUI gewähren durch anwählen im Menü von Konfiguration -> Benutzerrechte. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.

Konfigurieren von localFullAccess in sm.ini

Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf true gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.

Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl gespeichert.

Information sign.png Anmerkung
  • Unter UNIX kann nur der system root Benutzer auf dieses Verzeichnis zugreifen und die Kommandozeile ohne Authentifizierung nutzen.
  • Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.

Ändern des Parameters localFullAccess

  1. Locate the <SESAM_ROOT>/var/ini/sm.ini file on the SEP sesam Server (where <SESAM_ROOT> is the pathname of the SEP sesam home directory). Open the sm.ini file using a text editor and set the flag for the localFullAccess parameter to true.
  2. Once you have changed the settings, save your changes and restart the SEP sesam Server for the changes to take effect. The sm.ini file is preserved when you upgrade your SEP sesam Server.
Information sign.png Anmerkung
For SEP sesam versions ≤ 4.4.3: It is strongly recommended to leave the localFullAccess flag set to true.