4 4 3 Grolar:Über Authentifizierung und Autorisierung

From SEPsesam
Revision as of 10:21, 10 July 2018 by Kad (talk | contribs)
Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Grolar. Frühere Versionen der Dokumentation finden Sie hier: Authentifizierung in früheren Versionen.


Übersicht

SEP sesam führt ein neues Berechtigungskonzept ein, um den Zugriff auf den SEP sesam Server, bestimmte Clients und Standorte zu gewähren und einzuschränken. Beachten Sie, dass die Authentifizierung der erste Schritt der Autorisierung ist. Dies bedeutet, dass zunächst die Identität eines Benutzers, der auf einen SEP sesam Server zugreift, durch Verifizierung der Benutzerdaten (Benutzername und Passwort) authentifiziert wird.

Nach erfolgreicher Authentifizierung startet die Autorisierung, bei der SEP sesam prüft, ob ein authentifizierter Benutzer über entsprechende Berechtigungen für den Zugriff auf eine bestimmte Ressource oder Operation innerhalb des SEP sesam Servers verfügt.

Die Autorisierung erfolgt über die folgenden Elemente:

  • Berechtiungen basierend auf den Benutzertyp
    Benutzer können sich mit dem SEP sesam Server nur verbinden, wenn sie die notwendigen Zugriffsrechte besitzen. Ihre Zugriffsrechte hängen vom Typ des Benutzers ab. SEP sesam Benutzertypen sind admin, operator und restore.
    • Admin ist die einzige Benutzerrolle, die volle Kontrolle über den SEP sesam hat.
    • Der Operator überwacht den Sicherungsstatus des SEP sesam.
    • Der Nutzer Restore darf ausschließlich Rücksicherungen starten.

    Bitte beachten Sie, dass die im GUI angezeigten Komponenten vom Benutzertyp abhängen. Details zu den GUI Elementen finden Sie hier SEP sesam GUI.

  • Access Control Lists (ACLs - Zugriffskontrolllisten)
    Eine ACL legt fest, welche Benutzer oder Gruppen Zugriff auf bestimmte Objekte erhalten. Ab der SEP sesam Version 4.4.3 Grolar können Sie ACLs für Standorte und Clients konfigurieren, wenn Sie Admin-Rechte besitzen. Details zur Konfiguration von ACLs finden Sie unter Benutzen von Access Control Lists.

Nach der initialen Installation des SEP sesam sind außer dem Administrator keine weiteren Nutzer konfiguriert. Abhängig von der Version bietet der SEP sesam unterschiedliche Authentifizierungsmethoden, die sich gegenseitig ausschließen: Datenbank-basierte Authetifzierung (für V. ≥ 4.4.3 Tigon), die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung (gibt es in allen SEP sesam Versionen). Im Standard ist die Policy-basierte Authentifizierung aktiv. Es kann immer nur eine Authentifizierungsmethode aktiv sein.

Information sign.png Anmerkung
In SEP sesam V. 4.4.3 ≥ Tigon kann die Authentifizierung für den lokalen Server für alle Benutzer umgangen werden durch Setzen des Parameters localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true, wie im folgenden Abschnitt beschrieben.

Datenbank-basierte Authentifizierung

SEP sesam bietet eine Datenbank-basierte Authentifizierung, die es erlaubt, Benutzer und zugehörige Rechte für SEP sesam Operationen zu konfigurieren, indem individuelle Passwörter gesetzt und die Benutzer den relevanten Benutzergruppen zugewiesen werden.

As of 4.4.3 Grolar, SEP sesam can be configured to use LDAP/AD authentication in combination with database-based authentication. This way SEP sesam can authenticate users against an external LDAP/AD directory. If LDAP/AD authentication is enabled in SEP sesam and the users are mapped correctly, they can log in to SEP sesam according to their entry in the LDAP/AD directory and the user mapping information. For details, see Configuring LDAP/AD Authentication.

Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem user type), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über das GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Administrator-Benutzer zu setzen.

Wenn die DB-basierte Authentifizierung über das GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.

Policy-basierte Authentifizierung

Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um Benutzerrechte mit SEP sesam V. ≥ 4.4.3 zu verwalten. Das SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist.

Bei der Policy-basierten Authentifizierung werden Benutzerrechte user/host Kombinationen in der Datei sm_java.policy zugeordnet. Man kann aber ebenso Benutzerrechte über das GUI gewähren durch anwählen im Menü von Konfiguration -> Benutzerrechte. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.

Konfigurieren von localFullAccess in sm.ini

Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung das SEP sesam CLI und das GUI nutzen kann. Wenn es auf true gesetzt ist, ist keine Authentifizierung erforderlich. Wenn es auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.

Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl gespeichert.

Information sign.png Anmerkung
  • Unter UNIX kann nur der system root Benutzer auf dieses Verzeichnis zugreifen und die Kommandozeile ohne Authentifizierung nutzen.
  • Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.

Ändern des Parameters localFullAccess

  1. Suchen Sie die Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server (wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei sm.ini mit einem Texteditor und setzen Sie den Parameter localFullAccess auf true.
  2. Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei sm.ini bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.
Information sign.png Anmerkung
Für SEP sesam Versionen ≤ 4.4.3: Es wird strengstens empfohlen den Parameter localFullAccess auf true gesetzt zu lassen.