5 1 0: Konfigurieren der Policy-basierten Authentifizierung

From SEPsesam
This page is a translated version of the page 5 1 0:Configuring Policy-Based Authentication and the translation is 100% complete.
Other languages:


Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.1.0 Apollon. Frühere Versionen der Dokumentation finden Sie hier: Documentation Archiv.


Übersicht


SEP Sesam bietet verschiedene Methoden der Authentifzierung, welche sich gegenseitig ausschließen: Policy-basierte Authentifizierung und Datenbank-basierte Authentifizierung. Letztere kann in Kombination mit LDAP/AD Authentifizierung verwendet werden oder um die Zertifikat-basierten Authentifizierung (≥ 5.0.0 Jaglion) zu ermöglichen.

Es kann jeweils nur eine Authentifizierungsmethode aktiv sein. Im Standardfall ist die Policy-basierte Authentifzierung aktiviert.

Die Policy-basierte Authentifzierung nutzt die Datei sm_java.policy zum Setzen der benötigten Benutzerrechte. Sie können dies entweder in der Policy-Datei editieren oder das GUI zum Setzen der Berechtigungen nutzen, indem sie Benutzertypen (Rollen) angeben. SEP sesam bietet derzeit 5 Benutzertypen an. Die folgende Liste zeigt die verfügbaren Benutzertypen und ihre entsprechenden Rechte.

  • Superuser (≥ Jaglion): Der einzige Benutzertyp mit voller Kontrolle über die SEP sesam Umgebung (früher Admin). Dieser Benutzertyp mit Superuser-Rechten wird automatisch den Benutzern Administrator und sesam zugewiesen.
  • Administrator: Administratoren können das SEP sesam System administrieren und auf die GUI-Objekte zugreifen (außer Rechteverwaltung), wenn nicht eingeschränkt durch ACLs.
  • Operator: Operatoren können die gesamte Umgebung überwachen.
  • Backup (≥ Jaglion): Sicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Sicherungen starten.
  • Restore: Rücksicherungsbenutzer können auf die GUI-Objekte zugreifen, die durch ACLs gewährt werden. Sie dürfen Rücksicherungen starten.

Beachten Sie, dass die angezeigten GUI-Komponenten vom Benutzertyp abhängen. Details finden Sie unter Verfügbare Oberflächenoptionen je nach Benutzertyp.

Voraussetzungen

  • Das Modul zur Authentifizierung ist abhängig von der Version. Es wird in der Datei <SESAM_ROOT>/var/ini/sm.ini auf dem SEP sesam Server konfiguriert. Die Policy-basierte Authentifizierung ist im Standard aktiviert, so müssen keinerlei Parameter angepasst werden.
  • Stellen Sie sicher, dass die umgekehrte DNS Auflösung (von IP Adresse zu Rechnernamen) korrekt funktioniert. Wenn die Namensauflösung für den ausgewählten Rechner nicht korrekt ist, wird die Verbindung zum GUI Server fehlschlagen. Details finden Sie hier Prüfen der DNS Konfiguration.

Schritte

Wählen Sie zum Konfigurieren der Policy-basierten Authentifizierung eine der folgenden Methoden aus.

Editieren der Datei sm_java.policy

Die Datei sm_java.policy befindet sich normalerweise hier <SESAM_ROOT>/var/ini/sm_java.policy, wobei <SESAM_ROOT> der Pfadname des SEP Sesam Installationsverzeichnisses ist.

  1. Öffnen Sie die Datei sm_java.policy mit einem Texteditor.
  2. Im Bereich // SEP legen Sie die Rollenberechtigungen fest. Das Zuweisen von Berechtigungen ist Benutzer- als auch Rechner-spezifisch. Eine Zugriffsberechtigung beginnt mit dem Schlüsselwort Permission und ist wie folgt zusammengesetzt:
  3.  permission de.sep.sesam.gui.server.''<permission_type''> "''<user_name>''@''<host_name>''";

    Zum Beispiel:

     permission de.sep.sesam.gui.server.AdminPermission "admin@veteranix";
     permission de.sep.sesam.gui.server.AdminPermission "kd@veteranix";
     permission de.sep.sesam.gui.server.OperatorPermission "operator@veteranix";
     permission de.sep.sesam.gui.server.RestorePermission "restore@veteranix";

    Das Platzhalterzeichen * kann ebenfalls genutzt werden, um Berechtigungen allen Benutzern eines Rechners zuzuweisen:

     permission de.sep.sesam.gui.server.OperatorPermission "*@veteranix";

    oder einem bestimmten Benutzer für den Zugriff auf den SEP Sesam Server von einem beliebigen Rechner:

     permission de.sep.sesam.gui.server.AdminPermission "Administrator@*";

    Webapplikationen nutzen den Namen dashboard, um sich am GUI Server zu authentifizieren:

     permission de.sep.sesam.gui.server.OperatorPermission "dashboard@*";
  4. Nach Ändern und Speichern der Datei sm_java.policy muss das SEP Sesam GUI neu aufgerufen werden, damit die Änderungen wirksam werden.

Konfigurieren der Policy-basierten Authentifizierung im GUI

  1. Im GUI wählen Sie im Menu Konfiguration -> Berechtigungsverwaltung.
  2. User permissions Apollon de.jpg
  3. Klicken Sie Neu anlegen um das Fenster Erstelle Benutzer zu öffnen und legen Sie die Berechtigung an. Nutzen Sie die Dropdown-Menü um die Benutzergruppe auszuwählen. Geben Sie die erforderlichen Informationen ein und klicken Sie auf OK.
  4. New users permission Apollon de.jpg


Siehe auch

Benutzerrollen und BerechtigungenÜber Authentifizierung und AutorisierungKonfigurieren der Datenbank-basierten AuthentifizierungKonfigurieren der LDAP/AD AuthentifizierungKonfigurieren der Zertifikat-basierten Authentifizierung

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.