5 0 0: Konfigurieren der Zertifikat-basierten Authentifizierung

From SEPsesam
This page is a translated version of the page 5 0 0:Configuring Certificate-Based Authentication and the translation is 100% complete.
Other languages:


Icon archived docs.png Dies ist die Dokumentation für die SEP sesam Version 5.0.0 Jaglion.
Dies ist nicht die neueste Version der SEP sesam Dokumentation und bietet daher keine Informationen über die in der neuesten Version eingeführten Funktionen. Weitere Informationen zu SEP sesam Releases finden Sie unter SEP sesam Release Versionen. Die neueste Dokumentation finden Sie in der aktuellen SEP sesam Documentation.


Übersicht


Ab SEP sesam V. 5.0.0 Jaglion, ist es bei aktivierter Datenbank-basierter Authentifizierung möglich, Benutzer über ein signiertes Zertifikat zu authentifizieren, anstatt einen Benutzernamen und ein Passwort zu verwenden.

Authentifizierung mit einem signierten Zertifikat konfigurieren

Die Konfiguration der Authentifizierung mit einem signierten Zertifikat erfordert Superuser-Rechte. Sie müssen ein Benutzerauthentifizierungszertifikat erstellen und es einem Benutzerkonto zuweisen. Der einfachste Weg ist die SEP sesam GUI zu verwenden, wo das Zertifikat automatisch erstellt und einem Benutzerkonto zugewiesen wird. Optional können Sie auch ein Zertifikat manuell erstellen und zuweisen, dies erfordert jedoch zusätzliche Schritte.

Dann kann sich der Benutzer an einer der SEP sesam Schnittstellen (SEP sesam GUI, SEP sesam Web UI, SEP sesam CLI) über das Zertifikat authentifizieren.

Erstellen eines Benutzerauthentifizierungszertifikats in der GUI

In der SEP sesam GUI können Sie ein Benutzerauthentifizierungszertifikat automatisch erstellen und einem Benutzer zugeweisen.

  1. In der GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
  2. Doppelklicken Sie auf den Benutzer, für den Sie ein Benutzerauthentifizierungszertifikat erstellen möchten. Klicken Sie im neuen Fenster Benutzer ändern auf Neu.
  3. Authentication via certificate new de.jpg
  4. Wählen Sie einen Ordner auf Ihrem Computer, in dem Sie das Zertifikat speichern möchten, und klicken Sie auf Speichern. Das Zertifikat und der Fingerabdruck werden automatisch erstellt.
  5. Authentication via certificate save de.jpg
  6. Klicken Sie in beiden geöffneten Dialogen auf OK, um die Zertifikatserstellung abzuschließen.

Manuelles Erstellen eines Benutzerauthentifizierungszertifikats

Optional können Sie ein Benutzerauthentifizierungszertifikat auch manuell erstellen und zuweisen. Dieses Verfahren umfasst die folgenden Schritte:

  1. Ein Benutzer erstellt eine Zertifikatsignierungsanforderung (CSR) für die Benutzerauthentifizierung und sendet sie an einen Administrator mit Superuser-Rechten.
  2. Der Superuser (Systemadministrator) signiert das Zertifikat.
  3. Der Superuser weist dann das Zertifikat dem jeweiligen Benutzerkonto zu.
  4. Bei der LDAP/AD-basierten Authentifizierung bindet der Administrator das Zertifikat an den Benutzer in LDAP/AD. Anweisungen hierzu finden Sie in der entsprechenden LDAP/AD-Server-Dokumentation.

Erstellen einer Zertifikatssignierungsanforderung für die Benutzerauthentifizierung (Benutzerseite)

Information sign.png Anmerkung
Der private Schlüssel muss im PKCS8 Format vorliegen. Wenn Sie einen Schlüssel in einem anderen Format haben, müssen Sie ihn zunächst in das PKCS8 Format umwandeln. Hierfür können Sie das Dienstprogramm opensslverwenden.

Wenn Sie bereits einen privaten SSL-Schlüssel haben, für den Sie ein Zertifikat erstellen möchten, überspringen Sie Schritt 1 und fahren Sie mit Schritt 2 fort.

  1. Erstellen Sie einen neuen privaten Schlüssel wie folgt:
  2.  openssl genrsa -out <Schlüsselname>.key
  3. Erstellen Sie eine Zertifikatsignierungsanforderung (Certificate Signing Request - CSR) mit dem privaten Schlüssel:
  4.  openssl req -new -key <Schlüsselname>.key -out <Schlüsselname>.csr
  5. Senden Sie die CSR an Ihren Systemadministrator.

Signieren des Benutzerauthentifizierungszertifikats (durch einen Benutzer mit Superuser-Rechten)

  1. Navigieren Sie zu dem Verzeichnis, in dem Sie die Benutzer-CSR-Datei abgelegt haben und signieren Sie die CSR mit dem REST-Server-Benutzerauthentifizierungszertifikat:
  2.  openssl x509 -trustout -days <Tage> -req -signkey <SESAM_VAR>/ini/ssl/sesam.auth.key -in <Schlüsselname>.csr -out <Schlüsselname>.crt
    Information sign.png Anmerkung
    In SEP sesam V. < 5.0.0 Jaglion heißt der Signierschlüssel für das Benutzerauthentifizierungszertifikat des REST-Servers sesam.gui.key.
  3. Abrufen des Fingerabdrucks des signierten Benutzerauthentifizierungszertifikats:
  4. openssl x509 -noout -fingerprint -sha1 -inform pem -in <Schlüsselname>.crt
  5. Senden Sie das Benutzerauthentifizierungszertifikat (crt) an den Benutzer zurück.

Zuweisung des Benutzerauthentifizierungszertifikats zu einem Benutzerkonto (durch einen Benutzer mit Superuser-Rechten)

Gehen Sie wie folgt vor, um das Benutzerauthentifizierungszertifikat einem Benutzerkonto zuzuweisen:

  1. In der GUI wählen Sie im Menü Konfiguration -> Berechtigungsverwaltung.
  2. Doppelklicken Sie auf das Benutzerkonto, dem ein Benutzerauthentifizierungszertifikat zugewiesen werden soll. Das neue Fenster Ändere Benutzer wird geöffnet.
  3. Klicken Sie auf die Schaltfläche + (Plus) und geben Sie den Fingerabdruck des Benutzerauthentifizierungszertifikats in das Fenster Fingerabdruck hinzufügen ein.
  4. Authentication via certificate add thumbprint de.jpg
  5. Klicken Sie in beiden geöffneten Dialogen auf OK, um das Zertifikat zur Liste Zertifikat Fingerabdrücke hinzuzufügen.

Verwendung des Benutzerauthentifizierungszertifikats zur Authentifizierung (Benutzerseite)

Ein Benutzer erhält das Authentifizierungszertifikat vom Administrator (mit Superuser-Rechten) und muss es an einem Ort speichern, der nur für den Benutzer lesbar ist. Sobald dies geschehen ist, sollte der Benutzer in der Lage sein, sich über das Zertifikat mit einer der SEP sesam Schnittstellen (SEP sesam GUI, SEP sesam Web UI, SEP sesam CLI) wie unten beschrieben zu authentifizieren.

Authentifizierung in der GUI

Um sich über ein Zertifikat in der GUI zu authentifizieren, gehen Sie wie folgt vor:

  1. Starten Sie die SEP sesam GUI als Administrator und überprüfen Sie, ob der Benutzername korrekt ist.
  2. Verwenden Sie die Schaltfläche Durchsuchen, um das Benutzerauthentifizierungszertifikat auszuwählen oder geben Sie den absoluten Pfad zur Datei des Benutzerauthentifizierungszertifikats in das Feld Zertifikatsdatei ein.
  3. Authentication via certificate GUI de.jpg
  4. Klicken Sie auf die Schaltfläche Login oder drücken Sie Enter, um den Benutzer am SEP sesam Server zu authentifizieren und die SEP sesam GUI zu öffnen.
Information sign.png Anmerkung
Das Benutzerauthentifizierungszertifikat kann auch beim Start der SEP sesam Administrator GUI mit dem Parameter -z <absoluter Pfad der Benutzerauthentifizierungszertifikatsdatei> angegeben werden. Ist die Authentifizierung erfolgreich, wird der Anmeldedialog nicht angezeigt und die GUI öffnet sich sofort.

Authentifizierung in der Web UI

Zur Authentifizierung über ein Zertifikat in der Web-UI gehen Sie wie folgt vor:

  1. Geben Sie den Benutzernamen des Administrators ein.
  2. Verwenden Sie die Schaltfläche Datei auswählen, um die Datei des Benutzerauthentifizierungszertifikats von Ihrem Computer auszuwählen.
  3. Authentication via certificate Web UI Jaglion de.jpg
  4. Klicken Sie auf die Schaltfläche Anmelden oder drücken Sie Enter, um den Benutzer am SEP sesam Server zu authentifizieren und öffnen Sie die SEP sesam Web UI.

Authentifizierung in der SEP sesam CLI

Um sich mit einem Zertifikat in der SEP sesam CLI zu authentifizieren, verwenden Sie die folgenden Kommandozeilenoptionen:

sm_cmd ... -U <Benutzername> -z <absoluter Pfad der Benutzerauthentifizierungszertifikats-Datei> ...

Ersetzen des selbstsignierten Zertifikats durch ein benutzerdefiniertes Serverzertifikat für die Benutzerauthentifizierung

Sobald der REST-Server startet, erzeugt er ein selbstsigniertes Benutzerauthentifizierungs-Serverzertifikat und einen privaten Schlüssel. Normalerweise reichen diese aus, um die oben beschriebene zertifikatsbasierte Benutzerauthentifizierung zu ermöglichen.

Ein Serveradministrator (Superuser) kann jedoch das selbstsignierte Zertifikat durch das offizielle Firmenzertifikat (Root-Benutzer-Authentifizierungszertifikat) ersetzen, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. Wenn Sie das Zertifikat und den privaten Schlüssel als Root-Benutzer-Authentifizierungszertifikat verwenden wollen, fügen Sie beides zum Template:Pfad hinzu und benennen die Dateien sesam.auth.crt (Zertifikat) und sesam.auth.key (privater Schlüssel).

In diesem Fall führt der REST-Server beim Start folgende Schritte aus, um das Root-Benutzer-Authentifizierungszertifikat zu finden:

  1. Wenn ein Zertifikat und ein zugehöriger privater Schlüssel über Kommandozeilenoptionen (Template:Pfad) angegeben werden, versucht es, die angegebenen Dateien zu verwenden.
  2. Wenn die Variable gv_ro_ssl_auth in sm.ini (PATHES Abschnitt) vorhanden ist, wird dieser Ort als nächstes unter Verwendung der Standard-Dateinamen abgefragt.
  3. Wenn die Variable gv_ro_ssl in sm.ini (PATHES Abschnitt) vorhanden ist, wird dieser Ort als nächstes unter Verwendung der Standard-Dateinamen überprüft.
  4. Betrachtet den Standard-Speicherort unter Verwendung der Standard-Dateinamen (Standard-Speicherort = <SESAM_VAR>/ini/ssl, Standard-Dateinamen = sesam.auth.crt, sesam.auth.key).

Um zu überprüfen, ob das richtige Root-Benutzer-Authentifizierungszertifikat verwendet wird, suchen Sie im sm_gui_server.log nach einer Zeile, die lautet:

Enabling certificate-based user authentication using root certificate file  <absoluter Pfad zur verwendeten Zertifikatsdatei>


Siehe auch

Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk - Konfigurieren der LDAP/AD Authentifizierung - Über Authentifizierung und Autorisierung

Copyright © SEP AG 1999-2023. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.