5 1 0: Über Authentifizierung und Autorisierung

From SEPsesam
This page is a translated version of the page 5 1 0:About Authentication and Authorization and the translation is 100% complete.
Other languages:


Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.1.0 Apollon. Frühere Versionen der Dokumentation finden Sie hier: Documentation Archiv.


Übersicht


SEP sesam Operationen, wie z.B. Sicherung und Rücksicherung, können nur von Benutzern durchgeführt werden, die die entsprechenden Rechte haben. Das SEP sesam V. 5.0.0 Authentifizierungskonzept - welches verwendet wird, um den Zugriff auf SEP sesam Server(n) und spezifische Objekte zu gewähren und zu beschränken - hat sich geändert. Jetzt kann nur ein Benutzer mit Superuser Privilegien die Authentifizierung konfigurieren und Berechtigungen (ACLs) für erstellte Benutzer vergeben.

Die Authentifizierung ist ein zweistufiger Prozess. Zuerst wird die Identität eines Benutzers, der auf einen SEP sesam Server zugreift, authentifiziert, indem die Anmeldedaten des Benutzers (Benutzername und Passwort) überprüft werden. Nach erfolgreicher Authentifizierung prüft SEP sesam, ob der authentifizierte Benutzer die entsprechenden Berechtigungen für den Zugriff auf eine bestimmte Ressource oder Operation innerhalb des SEP sesam Servers hat.

Die Autorisierung wird durch Berechtigungen basierend auf dem Benutzertyp implementiert, der die Verbindung zum SEP sesam Server und die verfügbaren GUI Objekte definiert. Zusätzlich können durch einen Benutzer mit Superuser-Rechten speziell definierte Benutzerrollen mit Hilfe der Konfiguration von ACLs festgelegt werden.

Authentifizierungsmethoden

Nach der Erstinstallation von SEP sesam sind keine Benutzer außer dem Superuser konfiguriert. SEP sesam bietet mehrere Authentifizierungsmethoden, die sich gegenseitig ausschließen (und versionsabhängig sein können): Datenbank-basierte Authentifizierung, die einfach Authentifizierung genannt wird, und Policy-basierte Authentifizierung. Standardmäßig ist die Policy-basierte Authentifizierung aktiv. Beachten Sie, dass immer nur eine Authentifizierungsmethode aktiv sein kann.

Information sign.png Anmerkung
Sie können die Authentifizierung für den lokalen Server für alle Benutzer umgehen, indem Sie den Parameter localFullAccess in der Datei <SESAM_ROOT>/var/ini/sm.ini auf true setzen, wie im folgenden Abschnitt beschrieben.

Datenbank-basierte Authentifizierung

Es erlaubt Superusers, Benutzer zu konfigurieren und ihnen die entsprechenden Rechte zu erteilen, um SEP sesam Operationen durchzuführen, indem sie individuelle Passwörter setzen und Benutzer der entsprechenden Benutzergruppe zuordnen.

Sie können LDAP/AD Authentifizierung in Kombination mit Datenbank-basierter Authentifizierung verwenden. Auf diese Weise kann SEP sesam Benutzer gegen ein externes LDAP/AD-Verzeichnis authentifizieren. Wenn die LDAP/AD-Authentifizierung in SEP sesam aktiviert ist und die Benutzer korrekt zugeordnet sind, können sie sich entsprechend ihrem Eintrag im LDAP/AD-Verzeichnis und den Benutzerzuordnungsinformationen bei SEP sesam anmelden. Weitere Informationen finden Sie unter Konfigurieren der LDAP/AD Authentifizierung.

Wenn die Datenbank-basierte Authentifizierung aktiviert ist, können sich Benutzer auch mit einem signierten Zertifikat authentifizieren, indem sie bei der Anmeldung einfach ein (signiertes) Zertifikat auswählen, anstatt ein Kennwort einzugeben. Details finden Sie unter Konfigurieren der zertifikatsbasierten Authentifizierung.

Die zugewiesene Benutzergruppe bestimmt die Aktionen (basierend auf dem Benutzertyp), die ein Gruppenmitglied durchführen kann. Die Datenbank-basierte Authentifizierung kann über die GUI angeschaltet werden, indem im Menüpunkt Konfiguration ‐> Berechtigungsverwaltung die Authentifizierung aktiviert wird. Dies ist der einzige Weg, um das Passwort für den Superuser-Benutzer (Administrator) zu setzen.

Wenn die DB-basierte Authentifizierung über die GUI aktiviert wird, wird der Parameter authEnabled in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server auf true gesetzt. Details zur Datenbank-basierten Authentifizierung siehe Konfigurierung der Datenbank-basierten Authentifizierung.

Policy-basierte Authentifizierung

Die Policy-basierte Authentifizierung repräsentiert einen klassischen Ansatz um die Benutzerrechte zu verwalten. Die SEP sesam GUI basiert auf Java und nutzt die Datei sm_java.policy um die notwendigen Benutzerrechte zu gewähren. Die Policy-Datei befindet sich normalerweise unter <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist.

Bei der Policy-basierten Authentifizierung werden Benutzerrechte als Benutzer/Host-Kombinationen in der Datei sm_java.policy zugeordnet. Sie können aber ebenso Benutzerrechte über die GUI gewähren durch Auswählen von Konfiguration -> Benutzerrechte im Menü. Details zur Policy-basierten Authentifizierung finden Sie hier Konfigurieren der Policy-basierten Authentifizierung.

Konfigurieren von localFullAccess in sm.ini

Der Parameter localFullAccess legt fest, ob ein Benutzer, der am SEP sesam Server eingeloggt ist, direkt und ohne Authentifizierung die SEP sesam CLI und die GUI nutzen kann. Wenn der Parameter auf true gesetzt ist, ist lokal keine Authentifizierung erforderlich. Wenn er auf false gesetzt ist, wird eine Authentifizierung für alle Benutzer erzwungen. Zum Einloggen am SEP sesam wird dann der Benutzername und das Passwort abgefragt.

Falls die Datenbank-basierte Authentifizierung aktiviert ist, wird der Parameter localFullAccess automatisch auf false gesetzt. Ein Zertifikat wird von der SEP sesam Kommandozeile zum SEP sesam Server übertragen und dort verifziert. Die Datei mit dem Zertifikat wird unter <SESAM_ROOT>/var/ini/ssl gespeichert.

Information sign.png Anmerkung
  • Unter UNIX kann nur der system root-Benutzer auf dieses Verzeichnis zugreifen und die Kommandozeile ohne Authentifizierung nutzen.
  • Unter Windows sollte man Windows User Account Control (UAC) nutzen, um den Zugriff auf die Zertifikatsdatei zu beschränken.

Ändern des Parameters localFullAccess

  1. Suchen Sie die Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server (wobei <SESAM_ROOT> der Pfadname des SEP sesam Installationsverzeichnisses ist). Öffnen Sie die Datei sm.ini mit einem Texteditor und setzen Sie den Parameter localFullAccess auf true.
  2. Wenn Sie die Einstellungen vorgenommen haben, sichern Sie Ihre Änderungen und starten Sie den SEP sesam Server neu, damit die Änderungen wirksam werden. Die Datei sm.ini bleibt erhalten, wenn Sie Ihren SEP sesam Server aktualisieren.

Implementierung von Authentifizierung und Autorisierung

Nachdem Sie die entsprechende Authentifizierungsmethode aktiviert haben (Datenbank-basierte oder Policy-basierte Authentifizierung, wie oben beschrieben), führen Sie die folgenden Schritte durch, um Benutzer zu verwalten und Authentifizierung und Autorisierung zu implementieren:

  1. Erstellen Sie neue Benutzer.
  2. Fügen Sie Benutzer zu Gruppen hinzu.
  3. Weisen Sie den neuen Benutzern Benutzertypen (Rollen) zu.
  4. Zusätzlich zu den Benutzerrollen (und den auf dem Benutzertyp basierenden Berechtigungen) gibt es mehrere Benutzerberechtigungen (ACLs), die Sie festlegen (einer Rolle zuweisen) können, um den Zugriff auf bestimmte Ressourcen oder Vorgänge zu steuern.

Authentication and authorization concept.png

Benutzer verwalten

Sobald die Authentifizierung aktiviert ist, können Sie neue Benutzer anlegen und sie zu Gruppen hinzufügen (Superuser, Admin, Backup, Restore oder Operator). Bei der Auswahl eines Benutzertyps (Rolle) repräsentiert dieser eine bestimmte Rolle in SEP sesam mit zugehörigen Rechten (z.B. Superuser hat volle Kontrolle über SEP sesam). Die Berechtigungen basierend auf dem ausgewählten Benutzertyp (Standardberechtigungen) steuern den Zugriff auf SEP sesam Server, eine bestimmte Ressource, Operation und verfügbare UI Optionen.

Beachten Sie, dass das Verfahren zur Verwaltung von Benutzern je nach gewählter Authentifizierungsmethode unterschiedlich ist, so dass Sie sicherstellen müssen, dass Sie das entsprechende Verfahren anwenden:

Hinzufügen von Benutzerberechtigungen

Zusätzlich zu den Standardberechtigungen (wie oben beschrieben), die auf dem ausgewählten Benutzertyp basieren, können Sie auch benutzerdefinierte Benutzerrollen festlegen, indem Sie ACLs konfigurieren, wenn Sie Superuser-Rechte haben. Weitere Details zu Berechtigungen finden Sie unter Benutzerrollen und Berechtigungen.

ACLs ermöglichen Ihnen die Konfiguration von Berechtigungen für jeden Benutzer oder jede Gruppe mit fein abgestuften Zugriffsrechten für Standorte, Clients, Sicherungsaufträge (oder Gruppen), Medienpools und Zeitpläne. Wenn Sie beispielsweise einem bestimmten Sicherungsauftrag die Benutzerberechtigung Rücksichern zuweisen, kann dieser Benutzer die auftragsspezifische Sicherung starten. Weitere Informationen finden Sie unter Verwenden von Zugriffskontrolllisten.


Troubleshooting

Wenn Sie nach der Aktualisierung auf 5.0.0 Probleme beim Einloggen haben, lesen Sie bitte Troubleshooting Authentifizierung.

See also

Konfigurieren der Datenbank-basierten AuthentifizierungKonfigurieren der LDAP/AD AuthentifizierungKonfigurieren der Policy-basierten AuthentifizierungKonfigurieren der Zertifikat-basierten AuthentifizierungBenutzerrollen und BerechtigungenVerwendung von Zugriffskontrolllisten

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.