5 1 0: Konfigurieren der Policy-basierten Authentifizierung
Übersicht
SEP Sesam bietet verschiedene Methoden der Authentifzierung, welche sich gegenseitig ausschließen: Policy-basierte Authentifizierung und Datenbank-basierte Authentifizierung. Letztere kann in Kombination mit LDAP/AD Authentifizierung verwendet werden oder um die Zertifikat-basierten Authentifizierung (≥ 5.0.0 Jaglion) zu ermöglichen.
Es kann jeweils nur eine Authentifizierungsmethode aktiv sein. Im Standardfall ist die Policy-basierte Authentifzierung aktiviert.
Die Policy-basierte Authentifzierung nutzt die Datei sm_java.policy zum Setzen der benötigten Benutzerrechte. Sie können dies entweder in der Policy-Datei editieren oder das GUI zum Setzen der Berechtigungen nutzen, indem sie Benutzertypen (Rollen) angeben. SEP sesam bietet derzeit 5 Benutzertypen an. Die folgende Liste zeigt die verfügbaren Benutzertypen und ihre entsprechenden Rechte.
- Superuser (≥ Jaglion): Der einzige Benutzertyp mit voller Kontrolle über die SEP sesam Umgebung (früher Admin). Dieser Benutzertyp mit Superuser-Rechten wird automatisch den Benutzern Administrator und sesam zugewiesen.
- Administrator: Administratoren können das SEP sesam System administrieren und auf die GUI-Objekte zugreifen (außer Rechteverwaltung), wenn nicht eingeschränkt durch ACLs.
- Operator: Operatoren können die gesamte Umgebung überwachen.
- Backup (≥ Jaglion): Sicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Sicherungen starten.
- Restore: Rücksicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Rücksicherungen starten.
Beachten Sie, dass die angezeigten GUI-Komponenten vom Benutzertyp abhängen. Details finden Sie unter Verfügbare Oberflächenoptionen je nach Benutzertyp.
Voraussetzungen
- Das Modul zur Authentifizierung ist abhängig von der Version. Es wird in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server konfiguriert. Die Policy-basierte Authentifizierung ist im Standard aktiviert, so müssen keinerlei Parameter angepasst werden.
- Stellen Sie sicher, dass die umgekehrte DNS Auflösung (von IP Adresse zu Rechnernamen) korrekt funktioniert. Wenn die Namensauflösung für den ausgewählten Rechner nicht korrekt ist, wird die Verbindung zum GUI Server fehlschlagen. Details finden Sie hier Prüfen der DNS Konfiguration.
Schritte
Wählen Sie zum Konfigurieren der Policy-basierten Authentifizierung eine der folgenden Methoden aus.
Editieren der Datei sm_java.policy
Die Datei sm_java.policy befindet sich normalerweise hier <SESAM_ROOT>/var/ini/sm_java.policy
, wobei <SESAM_ROOT>
der Pfadname des SEP Sesam Installationsverzeichnisses ist.
- Öffnen Sie die Datei sm_java.policy mit einem Texteditor.
- Im Bereich // SEP legen Sie die Rollenberechtigungen fest. Das Zuweisen von Berechtigungen ist Benutzer- als auch Rechner-spezifisch. Eine Zugriffsberechtigung beginnt mit dem Schlüsselwort Permission und ist wie folgt zusammengesetzt:
- Nach Ändern und Speichern der Datei sm_java.policy muss das SEP Sesam GUI neu aufgerufen werden, damit die Änderungen wirksam werden.
permission de.sep.sesam.gui.server.''<permission_type''> "''<user_name>''@''<host_name>''";
Zum Beispiel:
permission de.sep.sesam.gui.server.AdminPermission "admin@veteranix"; permission de.sep.sesam.gui.server.AdminPermission "kd@veteranix"; permission de.sep.sesam.gui.server.OperatorPermission "operator@veteranix"; permission de.sep.sesam.gui.server.RestorePermission "restore@veteranix";
Das Platzhalterzeichen * kann ebenfalls genutzt werden, um Berechtigungen allen Benutzern eines Rechners zuzuweisen:
permission de.sep.sesam.gui.server.OperatorPermission "*@veteranix";
oder einem bestimmten Benutzer für den Zugriff auf den SEP Sesam Server von einem beliebigen Rechner:
permission de.sep.sesam.gui.server.AdminPermission "Administrator@*";
Webapplikationen nutzen den Namen dashboard, um sich am GUI Server zu authentifizieren:
permission de.sep.sesam.gui.server.OperatorPermission "dashboard@*";
Konfigurieren der Policy-basierten Authentifizierung im GUI
- Im GUI wählen Sie im Menu Konfiguration -> Berechtigungsverwaltung.
- Klicken Sie Neu anlegen um das Fenster Erstelle Benutzer zu öffnen und legen Sie die Berechtigung an. Nutzen Sie die Dropdown-Menü um die Benutzergruppe auszuwählen. Geben Sie die erforderlichen Informationen ein und klicken Sie auf OK.
Siehe auch
Benutzerrollen und Berechtigungen – Über Authentifizierung und Autorisierung – Konfigurieren der Datenbank-basierten Authentifizierung – Konfigurieren der LDAP/AD Authentifizierung – Konfigurieren der Zertifikat-basierten Authentifizierung