4 4 3 Grolar:Über Authentifizierung und Autorisierung
Übersicht
SEP sesam introduces new authorization concept to grant and restrict access to SEP sesam Server, specific clients and locations. Note that authentication is the first step of authorization. This means that first the identity of a user who is accessing a SEP sesam Server is authenticated by verifying a user credentials (username and password).
After successful authentication starts the authorization, when SEP sesam validates if an authenticated user has appropriate permissions for accessing a specific resource or operation within SEP sesam Server.
Authentication is implemented through the following elements:
- Permissions based on user type
Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore. - Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
- Der Operator überwacht den Sicherungsstatus des SEP sesam.
- Der Nutzer Restore darf ausschließlich Rücksicherungen starten.
- Access Control Lists (ACLs)
ACL specifies which users or groups are granted access to specific objects. As of SEP sesam version 4.4.3 Grolar, you can configure ACLs for locations and clients, if you have the admin rights. For details on ACLs configuration, see Using Access Control Lists.
Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.
Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.
Anmerkung | |
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.
|
Datenbank-basierte Authentifizierung
SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.
As of 4.4.3 Grolar, SEP sesam can be configured to use LDAP/AD authentication in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see Configuring LDAP/AD Authentication.
Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem user type), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.
Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini
auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.
Policy-basierte Authentifizierung
Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um Benutzerrechte mit SEP sesam V. ≥ 4.4.3 zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy
, wobei <SESAM_ROOT>
der Pfadname des SEP sesam Installationsverzeichnisses ist.
Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei sm_java.policy zugeordnet. Man kann aber ebenso Benutzerrechte über das GUI gewähren durch anwählen im Menü von Konfiguration -> Benutzerrechte. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.
Konfigurieren von localFullAccess in sm.ini
Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf true gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.
Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl
gespeichert.
Anmerkung | |
|
Ändern des Parameters localFullAccess
- Suchen Sie die Datei
<SESAM_ROOT>/var/ini/sm.ini
auf dem SEP sesam Server (wobei<SESAM_ROOT>
der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei sm.ini mit einem Texteditor und setzen Sie den Parameter localFullAccess auf true. - Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei sm.ini bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.
Anmerkung | |
Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter localFullAccess auf true gesetzt zu lassen. |