Technische Universität Dresden Fakultät Informatik. Diplomarbeit

Größe: px
Ab Seite anzeigen:

Download "Technische Universität Dresden Fakultät Informatik. Diplomarbeit"

Transkript

1 Technische Universität Dresden Fakultät Informatik Diplomarbeit Konsolidierung mehrerer Zugangskontrollsysteme mit dem Ziel eines zentralen Identitäts- und Zugangskontrollsystems Jan Starke Matrikelnummer Eingereicht am: Verantwortlicher Hochschullehrer: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill 1. Gutachter: Dr. rer. nat. Dietbert Gütter 2. Gutachter: Dipl.-Ing. Matthias Herber

2

3 Erklärung Hiermit erkläre ich, dass ich die vorliegende Diplomarbeit in allen Teilen selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel (einschließlich elektronischer Medien und Online-Quellen) benutzt habe. Alle wörtlich oder sinngemäß übernommenen Textstellen habe ich als solche kenntlich gemacht. Name: Ort, Datum: Unterschrift:

4

5 Inhaltsverzeichnis 1 Einführung und Abgrenzung der Arbeit Ziel der Arbeit Inhaltlicher Überblick Begriffe Konzepte Identity Management und Access Management Phasen der Zugriffskontrolle Begriff der Identität Identity Management Process Gründe für zentrale Identitätsverwaltung Identifizierung und Authentifizierung Zugriffsschutz Technologien im Bereich Identitäts- und Zugriffskontrollmanagement Speichern von Passwörtern Authentifizierungsprotokolle und -Frameworks Identifikatoren Speichern von Identitäten Lightweight Directory Access Protocol Nachfolger von LDAP Beschreibung des Beispielnetzwerks Nutzer des Netzwerks Ressourcen Ziele der Umstellung Rechtsgrundlage Schutzziele Zu erwartende Veränderungen Implementierung der Benutzerverwaltung Sun Identity Manager als Metaverzeichnis Datenbanken und IDM Kerberos OpenLDAP und Kerberos Konfiguration von SPML LDAP-Authentifizierung Versionskontrolle mit Subversion Applicationserver Tomcat Solaris, PAM und NFS Analyse der Implementierung Datenschutz Sicherheit Zusätzlich benötigte Dienste Zusammenfassung und Ausblick Abkürzungsverzeichnis 81 Quellen- und Literaturverzeichnis 86 Tabellenverzeichnis 87 Abbildungsverzeichnis 87

6 Verzeichnis der Listings 87 Anhang 88 A Konfigurationsdateien 88 A.1 /etc/tomcat5/conf/server.xml A.2 /etc/pam.conf A.3 Erweiterung der User Form:LDAPUserForm A.4 Konfigurationsobjekt SPMLPerson A.5 Konfigurationsobjekt spml2personform B Quellcodes 97 B.1 Passwortspeicherung mit MySQL B.2 LDAP B.3 Scripted JDBC und MySQL B.4 Shell Script: MIT Kerberos B.5 Provisioning mit SPML C Beispieldaten 109 C.1 Datensatz eines Benutzers D Abbildungen 110 D.1 Resource Schema einer LDAP-Resource mit NIS-Attributen

7 1 Einführung und Abgrenzung der Arbeit Zugangskontrollsysteme in Netzwerken werden genutzt, um sicherzustellen, dass nur bestimmte Personen bestimmte Netzwerkressourcen nutzen können. Dazu sind drei wichtige Voraussetzungen notwendig: 1. Identitätsmanagement: Es ist notwendig, die einzelnen Nutzer des Netzwerks identifizieren zu können, weil unterschiedliche Personen verschiedene Zugriffsbefugnisse haben. In diesem Rahmen muss auch die Authentizität der Identität sichergestellt werden. 2. Berechtigungen: Für jede Person muss eine Menge von Regeln existieren, die angeben, welche Ressource in welchem Umfang genutzt werden darf. Alle Komponenten des Netzwerks müssen die Regeln umsetzen. 3. Konsistenz: In der Praxis existiert für jede Person mehr als eine Identität im Netzwerk; entsprechend existieren auch mehrere, verschiedene Regelwerke für eine Person. Es ist notwendig, dass sowohl die Identitäten selbst als auch die Regeln immer zueinander konsistent sind. Die Umsetzung der ersten beiden Forderungen ist technisch problemlos möglich. Die einzige Herausforderung hier besteht darin, das richtige Datenformat für die Identität und die Regeln zu finden und sicherzustellen, dass die Regeln umgesetzt werden. Es bietet praktisch jeder netzwerkbasierte Dienst eine eigene Benutzer- und Rechteverwaltung an. Genau dieses umfangreiche Angebot ist das Problem bei der Umsetzung der dritten Forderung. Jeder Nutzer hat für jede zu nutzende Ressource einen Benutzernamen und ein Passwort, der Administrator muss für jede Ressource extra die Berechtigungen verwalten. Dadurch entsteht die technische Möglichkeit von Inkonsistenzen, die die Sicherheit des Gesamtsystems verschlechtern: Security is a chain; it s only as secure as the weakest link [Sch04]. 1.1 Ziel der Arbeit Das Ziel der Arbeit ist, ein System zu entwickeln, dass die drei oben genannten Forderungen erfüllt. Der Fokus soll einerseits auf die Konsistenz der Daten gelegt werden. Durch zentrale Speicherung der Identitäten soll erreicht werden, dass Inkonsistenzen vermieden werden. Weiterhin soll es möglich sein, jede beliebige Netzwerkressource mit dem zentralen Identitäts- und Zugangskontrollsystem zu verwalten. Das entwickelte Konzept der Benutzerverwaltung ist sowohl allgemein als auch an einem Beispiel zu betrachten. Das bedeutet, dass anhand konkreter Produkte die Einrichung sowohl der zentralen Benutzerverwaltung als auch der Ressourcenanbindung gezeigt werden soll. Es müssen sowohl die Wartbarkeit als auch die Sicherheit des Systems untersucht werden. Zusätzlich ist zu untersuchen, ob das vorgestellte System datenschutzkonform betrieben werden kann. 1.2 Inhaltlicher Überblick Im Rahmen der Arbeit wird ein Konzept für eine zentrale Benutzerverwaltung entwickelt, das ein Metaverzeichnis, ein Verzeichnis und ein Ticket-basiertes Single Sign On (SSO)-System kombiniert. Es wird am Beispiel konkreter Softwareprodukte (Sun Identity Manager, OpenLPAP, MIT Kerberos 5) gezeigt, dass die Integration beliebiger Ressourcen in diese Struktur möglich ist und dass dadurch Administrationsaufwand und Kosten verringert und die Sicherheit erhöht werden. In Abschnitt wird gezeigt, dass die Modellierung von Geschäftsprozessen für die Konsolidierung von Zugangskontrollsystemen dringend notwendig ist. Die Geschäftsprozessmodellierung ist aber nicht Thema dieser Arbeit und wird daher inhaltlich nicht weiter betrachtet. Aus diesem Grund werden keine Verfahren für die Festlegung von Zugriffsrechten beschrieben; wohl aber für die Umsetzung. Der Autor betrachtet sowohl die Geschäftsprozessmodellierung als auch die Festlegung, welche Person welche Zugriffsrechte hat, als bereits abgeschlossene Phasen der Konsolidierung. 1

8 Anschließend werden aktuelle Technologien für das Identitäts- und Zutrittskontrollmanagement vorgestellt. Dabei wird der Fokus auf Technologien gelegt, die in vielen Systemen bereits erfolgreich eingesetzt werden, damit ein Gesamtsystem mit möglichst guter Interoperabilität entsteht. Aus diesem Angebot werden einige Technologien und Verfahren ausgewählt, die zur Implementierung des zentralen Identitätsmanagementsystems verwendet werden. Bevor das System implementiert wird, beschreibt der Autor in Abschnitt 4 ein Beispielnetzwerk, da die Eigenschaften eines neuen Identitätsmanagementkonzepts nicht an einem abstrakten System untersucht werden können. Um trotzdem größtmögliche Allgemeinheit zu erreichen, werden viele verschiedene Arten von Teilsystemen betrachtet (vgl. Abschnitt 4.2), von denen jeweils ein konkreter Vertreter in das Gesamtsystem eingebunden wird. Dadurch soll die größtmögliche Übertragbarkeit der Ergebnisse auf konkrete Netzwerke ermöglicht werden. Die Arbeit wird mit einer Betrachtung der Eigenschaften sowohl des implementierten Systems als auch des zu Grunde liegenden Konzepts abgeschlossen. Dies beinhaltet auch eine Spekulation über die weitere Entwicklung der Technologien in diesem Umfeld und die Möglichkeiten, das hier vorgestellte Konzept auch zukünftig nach modernen Maßstäben implementieren zu können. 1.3 Begriffe In dieser Arbeit werden Begriffe benutzt, die in anderen Kontexten zum Teil eine andere Bedeutung haben können. Aus diesem Grund werden nachfolgend einige in dieser Arbeit verwendete Begriffe eingeführt und deren Bedeutung erklärt. Benutzer: Ein Benutzer ist die abstrakte Sicht auf das Aktivum, dass den Zugriff auf eine Ressource durchführt. Die technische Umsetzung eines Benutzers ist stets ein Prozess, wobei unter dem Begriff des Benutzers sowohl der Prozess als auch die Person, die den Prozess gestartet hat, gemeint sind. Wenn in der Arbeit von einer Person die Rede ist, dann ist immer ein Mensch gemeint. Organisation: Eine Organisation ist der Kontext, in dem Benutzer verwaltet werden. In der Praxis sind das hauptsächlich Unternehmen oder Behörden. In der Fachliteratur triff man häufig den Begriff Service Provider. Darunter ist eine Organisation zu verstehen, die Dienste für eine nicht geschlossene Benutzergruppe erbringt, wie zum Beispiel ein werbefinanziertes -Konto. Im Rahmen dieser Arbeit werden jedoch nur Organisationen betrachtet, deren Ressourcen nicht öffentlich, sondern nur für eine geschlossene Benutzergruppe zugänglich sind. Shared Secret: Wissen, über das genau zwei Kommunikationspartner verfügen, wird als Shared Secret bezeichnet. Das kann beispielsweise ein symmetrischer Schlüssel sein. Credential: Bei jeder Authentifizierung ist ein Beglaubigungsnachweis erforderlich. In der (nicht nur englischsprachigen) Fachliteratur wird der Begriff Credential häufig als Abstraktion für Passwort verwendet. In dieser Arbeit ist Credential ein Oberbegriff für die Datenmenge, die für die Authentifizierung benutzt wird. Das beinhaltet u.a. biometrische Merkmale, Chipkarten und Passwörter. 2 Konzepte Identity Management und Access Management 2.1 Phasen der Zugriffskontrolle Ein Netzwerk ist, einfach formuliert, eine Menge von Rechnern, die dazu in der Lage sind, untereinander Daten auszutauschen. Wie in [Tan00] ausführlich beschrieben ist, werden Netzwerke in Unternehmen eingesetzt, um Ressourcen gemeinsam zu nutzen, hohe Zuverlässigkeit zu gewähren und Kosten einzusparen. Da mittlerweile nahezu jedes Unternehmen ein eigenes Netzwerk betreibt, gehört es mittlerweile zum Alltag, dass Informationen und Dokumente zwischen 2

9 Unternehmen per , FTP oder HTTP ausgetauscht werden. In Bereichen wie etwa der Fertigungsindustrie werden Warenwirtschaftssysteme eingesetzt, die sich über mehrere Unternehmen erstrecken, so dass eine gesamte Wertschöpfungskette von der Gewinnung der Rohmaterialien bis zum Kundendienst abgebildet werden kann. Hier stellen Unternehmen ihre Netzwerkressourcen nicht nur den eigenen Mitarbeitern, sondern auch anderen Unternehmen zur Verfügung. In diesem komplexen Umfeld muss sichergestellt werden, dass ein Mitarbeiter auf Ressourcen (interne oder externe) genau im Rahmen seiner Tätigkeit zugreifen können muss. Diese Anforderung wird durch Zugriffskontrolle realisiert. Ein Zugriffskontrollsystem kann als Funktion von der Menge der Nutzer auf die Menge der Zugriffsrechte betrachtet werden. Der Zugriff auf eine Netzwerkressource wird kontrolliert, indem zunächst ermittelt wird, welcher Nutzer die Ressource verwendet möchte. Anschließend wird die Funktion auf den Nutzer angewendet und es wird überprüft, ob der erwünscht Zugriff im Funktionswert enthalten ist. Zugriffskontrolle wird demnach in den zwei Phasen 1. Identifizierung Authentifizierung 2. Umsetzen von Zugriffsrechten durchgeführt. In den nachfolgenden Abschnitten werden die Grundideen beider Phasen erläutert, ohne auf Möglichkeiten der technischen Umsetzung einzugehen. Im Abschnitt 3 werden aktuelle Technologien beschrieben, die zur Realisierung eines Zugriffskontrollsystems genutzt werden können. 2.2 Begriff der Identität Philosophische Betrachtungen Die etymologische Herkunft des Wortes Identität kann bis auf das lateinische Adjektiv īdem zurückverfolgt werden ([KS02]). Dieses bedeutet der-, die-, dasselbe, der gleiche und wird im lat. Sprachgebrauch besonders zur Bezeichnung der Einheit des Subjekts [SPS94] genutzt. Das philosophische Problem der Identität eines Objekts (Satz der Identität des Ununterscheidbaren, principium identitatis indiscernibilium) wird bereits in der griechischen Antike betrachtet. Die moderne Auffassung, was unter Identität zu verstehen ist, entstammt aus der Arbeit Discours de Métaphysique von Wilhelm Gottfried Leibniz. Hierin gibt Leibniz dem Theologen und Philosophen Thomas von Aquin Recht in der Behauptung quod ibi omne individuum sit species infima ( Alle Unterschiede sind wesentlich, unveränderlich und vollkommen deutlich [Spe92]). Außerdem wird diese Aussage auf alle Substanzen erweitert ( est vrai de toutes les substances [Lei86]), was sehr bedeutend ist, da Aquin sich auf nicht materielle Objekte ( des anges ou intelligences [Lei86]) beschränkt hatte. Heute wird dieses Leibniz-Gesetz genannte Prinzip vereinfacht mit der Aussage, dass zwei Objekt identisch sind, wenn all Ihre Eigenschaften gleich sind. Mathematisch lässt sich das in der Formel F(Fx Fy) x = y darstellen, wobei hier F eine Funktion ist, die ein Objekt auf eine seiner Eigenschaften abbildet und x und y die zu vergleichenden Objekte sind. Die Frage, ob x und y überhaupt identisch sein können im Sinne der Definition (gleiche Eigenschaften), obwohl sie doch verschiedene Namen haben, erscheint etwas spöttisch, ist aber der Punkt, worüber gegenwärtig Uneinigkeit in der Fachwelt herrscht. Betrachtet man x und y als Namen für Speicherplätze, dann unterscheiden sich die darin gespeicherten Werte offensichtlich durch ihre (physische Position). Wenn man sowohl Zeit als auch Ort in die Menge der zu vergleichenden Eigenschaften der Objekt einbezieht, wird die Definition der Identität deutlich restriktiver, denn dann können keine zwei Objekte identisch sein (vgl. Abbildung 2.1(a)). Alternativ könnte man auch x und y nur als von den Objekten losgelöste Referenzen (ähnlich einer Adresse) betrachten. Nach einer Anpassung des Typs von F ist hier sogar mit der o.g. Einschränkung (Zeit und Ort) eine Identität der von x und y referenzierten Objekte möglich, da ja beide Referenzen auf genau ein Objekt verweisen können (vgl. Abbildung 2.1(b) und (c)). 3

10 x y x y x y (a) zwei Objekte (b) Referenzen auf zwei Objekte Abbildung 2.1: Identität zweier Objekte (c) zwei Referenzen auf ein Objekt In der Praxis der Zugangskontrolle in Rechnernetzen werden Objekte und Subjekte über ihre Namen identifiziert, d.h. die bevorzugte Variante, zwei Objekte voneinander zu unterscheiden ist, die Namen der Objekte zu vergleichen. Interessant in diesem Zusammenhang ist jedoch, dass Objekte in Rechnernetzen kopiert werden können, sodass ein Objekt zur gleichen Zeit an verschiedenen Orten existieren kann. Der Speicherort bestimmter Objekte ist in diesem Kontext keine Eigenschaft, die zum Bestimmen der Identität von Objekten genutzt wird. Das scheint insgesamt widersprüchlich zu sein. Gemäß der in dieser Arbeit verwendeten Definition einer digitalen Identität (vgl. Abschnitt 2.2.3) ist der Speicherort bei der Unterscheidung zweier Identitäten ohne Bedeutung. Zur Identifikation von Objekten wird ein Identifikator benutzt, der einen atomaren Wert darstellt. Alle anderen Eigenschaften von Objekten werden insofern als losgelöst von der Identität betrachtet, dass sie nicht zur eindeutigen Unterscheidung von Objekten geeignet sind Identität von Personen Zur Bestimmung der Identität von Personen werden je nach Kontext unterschiedliche Merkmale der Person genutzt: 4 Der Vorname einer Person wird häufig im familiären Umfeld und Freundeskreis genutzt. Erste Probleme treten hier auf, wenn der Vorname nicht eindeutig ist. Beim Umgang mit weniger nahe stehenden Personen (z.b. unter Kollegen) wird häufig eher der Nachname zur Identifikation genutzt. Falls dieser nicht eindeutig ist insbesondere nicht im direkten Gespräch, sondern bei der Verwendung in der 3. Person wird der Vorname mit genutzt. Ansonsten gilt es im deutschsprachigen Raum als unfreundlich, fremde Personen ohne Absprache beim Vornamen zu nennen. Es ist zu beachten, dass der Aufbau des Namens als auch die kontextspezifische Verwendung einzelner Namensbestandteile zwischen einzelnen Kulturen stark variiert. Das ist wichtig bei der Nutzung von Namen für die Identifikation in Rechnernetzen. Da Namen allein nicht immer eindeutig sind, vor allem, wenn es um den Umgang mit vielen Identitäten geht (z.b. im Gesundheitsumfeld), wird häufig eine Kombination aus Name, Vorname, Geburtsdatum und Geburtsort als Identifikationsmerkmal verwendet. Das ist insbesondere dann günstig, wenn die Identität der Person nur für kurze Zeit wichtig ist, z.b. in Blutspendezentren. Hier ist es teilweise üblich, einen Teil der o.g. Kombination, z.b. das Geburtsdatum, zur Authentifikation zu nutzen. Dieses Schema kann allerdings nicht verwendet werden, wenn der Vorwurf des Missbrauchs dieser Daten vermieden werden soll. Ein Bereich, in dem dieses Problem beispielsweise auftritt, ist das Prüfungsamt einer Hochschule. Im Idealfall kann ein Dozent, der eine Prüfung korrigiert, nur eine Zuordnung der Arbeit zu einer Matrikelnummer treffen, was dazu führt, dass die Bewertung einer Arbeit nicht davon beeinflusst werden kann, ob der Dozent den Studenten mehr oder weniger mag. Auch im Teilbereichen der Krankenkassen werden Nummern genutzt, um Kunden zu verwalten, da Mitarbeiter der Krankenkassen zwar Abrechnung der Ärzte und Krankenhäuser bekommen, jedoch keine Rückschlüsse auf den Gesundheitszustand einer konkreten Person ziehen können dürfen. Im Bereich der Personalverwaltung wird nahezu ausschließlich eine Mitarbeiternummer zur Identifikation verwendet, was u.a. deswegen sehr günstig ist, weil es das Problem der nicht

11 eindeutigen Namen löst. Außerdem kann so sichergestellt werden, dass nur bestimmte Mitarbeiter der Personalabteilung vertrauenswürdige Daten (z.b. Gehalt) konkreten Kollegen zuordnen können. Die Behörden der Bundesrepublik Deutschland nutzen Daten, die auf den Personalausweis gedruckt sind, zur Identifikation. Das kann die Personalausweisnummer sein, oder eine Kombination aus Detaildaten wie Name, Vorname und Hauptwohnsitz. Der Ausweis selbst wird hierbei zur Authentifizierung genutzt. Es ließen sich noch weitere Beispiele nennen, wie Personen identifiziert werden. Interessant ist ein Muster, dass man jedoch überall entdeckt, wenn Personen eindeutig identifiziert werden müssen: These: Zur Identifikation einer konkreten Person aus einer großen Menge von Personen ist ein eindeutiger, atomarer Wert notwendig. Mit Eindeutigkeit ist hier gemeint, dass die Relation zwischen Identifikationsmerkmal und Person rechtseindeutig sein muss. Zusätzlich sollte diese Relation linkseindeutig sein, damit zu einer konkreten Person der Identifikator bestimmt werden kann. Jede Person sollte beispielsweise nicht mehr als eine Sozialversicherungsnummer haben. Die Forderung, dass der Wert atomar sein muss, ergibt sich aus der Forderung nach Linkseindeutigkeit. Für den Fall, dass zur Identifikation eine Kombination aus n Merkmalen genutzt wird, ist der eindeutige, atomare Identifikator ein n-tupel. Nur ein Teil des Tupels kann nicht als Identifikator genutzt werden. Die Person ist von Ihrem Identifikator voll funktional abhängig Digitale Identität Aus technischer Sicht ist eine Identität zunächst ein Datensatz oder eine Menge von Datensätzen, die gemäß [Cho04] folgende Daten enthalten müssen: 1. Identitifier: atomares Feld, das genutzt wird, um eine Identifikation durchzuführen 2. Credentials: Daten, die für die Authentifizierung benötigt werden. Das könnte beispielsweise ein Passwort sein, ein X.509-Zertifikat oder gespeicherte biometrische Merkmale 3. Core Attributes: Eigenschaften, die die Identität näher beschreiben. Chong nennt hier Adresse und Telefonnummer als typische Beispiele 4. Context-Specific Attributes: Eigenschaften, die in bestimmten Kontexten zur näheren Beschreibung der Identität hilfreich sind. Typisches Beispiel sind Daten, die nur von der Personalverwaltung benötigt werden. 2.3 Identity Management Process Die Entscheidung, in einem Netzwerk ein zentrales Identitätsmanagement einzuführen, ist der erste Schritt in einem Prozess, dessen Aufgabe die ständige Verbesserung des Identitätsmanagement ist. In der Praxis wird man diesen Prozess nie zu Ende führen können, weil das Ziel ein optimal an die Organisation angepasstes Identitätsmanagementsystem nicht erreichbar ist. Das liegt in der Natur der Geschäftswelt begründet, dass Anforderungen an Netzwerke ständig verändert werden. Der Identity Management Process und seine Probleme werden in diesem Abschnitt beschrieben Lebenszyklus einer digitalen Identität Die digitale Identität als Datensatz durchläuft einen Lebenszyklus, der prinzipiell in 5 Abschnitte eingeteilt werden kann (siehe Abbildung 2.2, vgl. [Win05]). Bei der Bezeichung der einzelnen Abschnitte wurde die englische Bezeichnung aus der Fachliteratur übernommen, da die entsprechenden Termini auch als Funktionsbezeichnung in konkreten Softwareprodukten Verwendung finden. Nachfolgend werden die Abschnitte in der Reihenfolge, in der sie durchlaufen werden, beschrieben. 5

12 Provision Propagate Use Deprovision Maintain Abbildung 2.2: Lebenszyklus einer digitalen Identität, entlehnt nach [Win05], S. 99 Provision Während dieser Phase wird der Datensatz, der die digitale Identität beschreibt, angelegt und dessen Datenfelder (bzw. Attribute) mit Werten gefüllt. Es wird in jedem Fall ein Benutzername festgelegt und eventuell ein Identifikator, den das System intern nutzt, mit dem Datensatz verknüpft. Ebenfalls notwendig ist die Speicherung eines Authentifizierungsmerkmals, wie etwa eines Passworts oder eines X.509-Zertifikats. Je nachdem, wie die Identität später genutzt werden soll, werden zusätzliche Informationen wie Vorname, Nachname, -Adresse, Telefonnummer, Adresse o.ä. aufgenommen. Es wird festgelegt, welche Berechtigungen mit der Identität verknüpft sind und dies entsprechend im System eingetragen. Propagate Anschließend werden die Änderungen an alle Systeme, die die digitalen Identitäten benötigen, verteilt. Je nach Art des Systems kann das bedeuten, dass Kopien der digitalen Identität verteilt werden (wie beispielsweise bei NIS). Es ist auch möglich, dass nur Nachrichten verschickt werden und sich die angeschlossen Systemen bei Bedarf die nötigen Daten nachladen. Bei einigen Systemen (bspw. bei LDAP-Authentifizierung mit nur einem Server) kann diese Phase u.u. komplett entfallen. Use Dies ist die Phase, in der die digitale Identität ihrem Zweck entsprechend genutzt wird. In den meisten Fällen ist das die Identifizierung und Authentifizierung von Benutzern, die eine Ressource nutzen wollen. Maintain In der Praxis treten regelmäßig Änderungen an der gewünschten Nutzung der digitalen Identität auf. Das können u.a. Änderungen von Authentifizierungsmerkmalen, z.b. Passwörtern Zugriffrechten Adress- und Kontaktdaten sein. Es ist erforderlich, dass die Änderungen wieder an alle angeschlossen Systeme verteilt werden, daher schließt sich an den Maintain-Abschnitt direkt der Propagate-Abschnitt an. Während der Lebensdauer einer digitalen Identität kann der Zyklus Propate-Use-Maintain beliebig oft durchlaufen werden. Deprovision Wenn die digitale Identität nicht mehr benötigt wird, weil z.b. die zugehörige reale Person aus der Organisation ausgeschieden ist, dann wird der Lebenszyklus mit dem Deprovision- Abschnitt abgeschlossen. Das bedeutet nicht zwangsläufig, dass der Datensatz komplett gelöscht wird. In vielen Fällen z.b. um Revisionssicherheit zu gewährleisten wird die digitale Identität noch benötigt. Es ist aber trotzdem erwünscht, dass sie nicht mehr für die Authentifizierung genutzt werden kann, also sollte das entsprechende Benutzerkonto gesperrt werden. Erst, wenn die Identität auch für informative Zwecke nicht mehr benötigt wird, kann der Datensatz aus dem System gelöscht werden. Die einzelnen Abschnitte im oben beschriebenen Lebenszyklus unterliegen gesetzlichen Regelungen, die bei der praktischen Umsetzung zu beachten sind (vgl. Abschnitt 4.4). 6

13 2.3.2 Geschäftsprozesse Identitätsdaten sind kein Selbstzweck, sondern werden benötigt, um Geschäftsprozesse zu unterstützen [Win05]. Dass bei der Kontrolle des Zugriffs auf Ressourcen Identitätsdaten benötigt werden ist offensichtlich. Die Geschäftsprozesse eines Unternehmens oder einer Einrichtung können grob in zwei Bereiche aufgeteilt werden. Kernprozesse Zu diesem Bereich werden Geschäftsprozesse gezählt, durch die die eigentliche Aufgabe der Organisation realisiert wird. In einem Systemhaus gehören z.b. die Abgabe eines Angebots bei einer Ausschreibung oder die Einrichtung eines Server-Systems zu diesem Bereich. In diesem Beispiel könnten folgende Identitätsdaten Verwendung finden: Kundendaten: Offensichtlich werden bei beiden Vorgängen Daten des Kunden, z.b. die Adresse, verwendet. Im Fall der Ausschreibung könnte zusätzlich interessant sein, welche Präferenzen der Auftraggeber in Bezug auf die ausgeschriebene Leistung hat. Die Nutzung solcher Daten gehört in den Bereich Customer Relationship Management (CRM) und wird in dieser Arbeit nicht gesondert betrachtet. Dennoch ist CRM ein Teilbereich des Identitätsmanagement: es werden Daten der juristischen Person des Kunden gespeichert. Ansprechpartner: Meistens wird bei einem Vorgang wie einer Ausschreibung gespeichert, welcher Mitarbeiter den Vorgang bearbeitet; sowohl auf der Seite des Auftraggebers als auch auf Seite des Auftragnehmers. Das ermöglicht es beiden Seiten, bei Rückfragen einen Ansprechpartner zu haben, der über den gesamten Vorgang bereits informiert ist und sofort weiterhelfen kann. Zusätzlich kann man erkennen, welche (Verkaufs-)Mitarbeiter weniger oder besonders erfolgreich sind. Darüber hinaus sind in vielen Unternehmen einige Mitarbeiter für die Betreuung eines bestimmten Kundenkreises oder gar eines einzelnen Kunden (Key Account Manager) verantwortlich. Andersherum ist es vorstellbar, dass der Kunde die Möglichkeit hat, z.b. über eine Website Probleme des eingerichteten Serversystems zu beschreiben und die Bearbeitung der Problemlösung zu beobachten. Diese Site würde eine Kommunikationsschnittstelle zwischen den Ansprechpartnern sowohl des Dienstleisters als auch des Kunden sein. Anmeldeinformationen: Eventuell hat der Dienstleister ein Benutzerkonto auf dem eingerichteten Server, um bei Problemen (notfalls aus der Ferne) Unterstützung bieten zu können. Hier müssen die Informationen zu dem Benutzerkonto einerseits seitens des Dienstleisters gespeichert werden; aber auch der Kunde muss wissen, welche Möglichkeiten des Zugriffs der Dienstleister im Netzwerk hat. Unterstützende- und Managementprozesse Damit ein Unternehmen Produkte herstellen oder Dienstleistungen anbieten kann, müssen die im Kernbereich arbeitenden Mitarbeiter sich so gut wie möglich auf Ihre Arbeit konzentrieren können. Alle Arbeiten, die im Hintergrund anfallen wie Personalmanagement, Buchführung oder Sicherstellung der Betriebsfähigkeit der Produktionsmittel wie Maschinen oder Computer kosten viel Geld und nutzen der Organisation nicht direkt, sondern indirekt, indem sie die eigentliche Wertschöpfung langfristig ermöglichen. These: Es ist nicht möglich, die Verwaltung von Identitätsdaten zu zentralisieren, wenn die Geschäftsprozesse des Unternehmens nicht definiert sind. Bevor Identitätsmanagementsysteme eingeführt werden können, muss klar sein, welche Identitätsdaten überhaupt gebraucht werden. Es muss außerdem festgelegt werden, welcher Mitarbeiter Zugriff auf welche Daten haben muss. Dazu ist es unbedingt erforderlich, dass die Geschäftsprozesse der Organisation ausreichend beschrieben sind. Um die Bedeutung dieser Abhängigkeit klar zu machen, soll der Sachverhalt noch einmal anders formuliert werden: Existiert keine Beschreibung von Geschäftsprozessen, dann weiß niemand in der Organisation, welche Daten wann und wo benötigt werden. Es gäbe dann auch keinen Grund, ein System zur zentralen Verwaltung von Daten einzurichten, weil ja gar nicht klar ist, wie und vor allem warum das System genutzt werden soll. 7

14 Identity Management Architecture In [Win05] wird das Konzept der Identity Management Architecture (IMA) vorgestellt. Es handelt sich hierbei um Ideen und Methoden zur Entwicklung verständlicher Pläne, Prozesse und einer Infratruktur für Identitätsmanagement ( [...]ideas and methodology involved in creating one for developing comprehensive plans, processes, and infrastructure for identity management., vgl. [Win05], S. 134). Konkrete Bestandteile der Architektur sind u.a. IMA lifecycle: Beschreibung des Lebenszyklus einer IMA. Hier werden Geschäftsprozesse genannt und beschrieben, die direkt an der Gestaltung des Identitätsmanagementsystems beteiligt sind. IMA governance model: Die Einrichtung eines Identity Management System (IMS) in einer Organisation erfordert die Zusammenarbeit mehrerer Personen und Interessengruppen, z.b. Geschäftsführung/Direktion, Administration, Verwaltung und Betriebsrat/Personalrat. In der IMA werden die Rollen Audience, Champion, Overseer, Manager, IMA team, Communicator, Advisor, Reviewer und Auditor beschrieben. Jede aktiv beteiligte Person kann im IMA-Prozess eine oder mehrere dieser Rollen spielen und hat dementsprechend bestimmte Verantwortlichkeiten. Alle Personen, die eine bestimmte Rolle haben, werden zu einer Gruppe zusammengefasst. Im IMA governance model wird beschrieben, wie die Veratwortlichkeiten verteilt sind und welche Gruppen miteinander welche Daten austauschen (vgl. [Win05], S. 146). Es ist anzumerken, dass dieses Modell und auch die Rollen an die jeweiligen Bedürfnisse der Organisation angepasst werden müssen. Business Function Matrix: Eine Business Function Matrix (BFM) beschreibt eine Abbildung von Teilen einer Organisation auf deren Funktionen/Aufgaben. Diese Matrix wird durch Analyse der Geschäftsprozesse gebildet und anschließend vereinfacht mit dem Ziel, die Infrastruktur an den Bedürfnissen des Geschäfts ausrichten zu können. Inhalt der Matrix muss also letztlich sein, Wer innerhalb der Organisation Wann und Warum auf welche Daten zugreifen können muss. Die Einführung einer zentralen Identitätsverwaltung ist vornehmlich ein Ansatz zur Lösung organisatorischer Probleme (vgl. Abschnitt 2.4) und wird also primär mit organisatorischen Mitteln durchgeführt. Aufgrund der fortgeschrittenen Entwicklung existiert die Möglichkeit (und Notwendigkeit), Computer für die Verwaltung der Datenmengen und Kontrolle des Zugriffs auf computerbasierte Ressourcen zu verwenden. Der Autor betrachtet in dieser Arbeit nur die technischen Möglichkeiten, die zu diesem Zweck zur Verfügung stehen, jedoch nicht die notwendigen organisatorischen Maßnahmen. 2.4 Gründe für zentrale Identitätsverwaltung Für jeden Geschäftsbereich einer Organisation existiert eine Menge von Identitäten, die auf bestimmte Ressourcen zugreifen darf. Die Identitäten eines Geschäftsbereichs werden in einem Repository gespeichert. Zur Verwaltung der Identitäten werden (bewusst oder unbewusst) Geschäftsprozesse durchgeführt, die eine wie in Abschnitt beschriebene IMA implementieren. In der Praxis kann man sogar die Einrichtung mehrerer unabhängiger Repositories innerhalb eines Geschäftsbereichs einer Organisation beobachten. Das führt letztendlich zu höheren Kosten in der Verwaltung der Identitäten und zu der Frage, ob sich durch Zusammenlegen der Repositories Kosten sparen lassen. Wenn die zentrale Speicherung von Identitäten kostengünstiger ist als die dezentrale Speicherung, sollte eine Konsolidierung durchgeführt werden. Wichtig bei der Entscheidung ist die Auswahl der Kostenfaktoren: Kosten für Hardware, Software, Support: Je weniger Repositories eingesetzt werden, desto weniger Server und Softwarelizenzen müssen gekauft werden. Dem gegenüber zu setzen ist, dass bei zentraler Identitätsverwaltung eventuell leistungsfähigere Hardware oder besondere, teurere Software beschafft werden müssen. 8

15 administrativer Aufwand: Durch die Zentralisierung der Identitätsverwaltung können die freiwerdenden personellen Ressourcen anderweitig eingesetzt werden. Es ist jedoch zu beachten, dass der Administrator des zentralen Repositories umfangreichere Kenntnisse benötigt als der Administrator eines der ersetzten Teilrepositories. Es ist mit höheren Personalkosten im Umfeld der zentralen Benutzerverwaltung und mit Kostenreduzierung bei der Administration der ersetzten Systeme zu rechnen. Sicherheit: Wenn für eine Person in einem Repository ein Datensatz angelegt wird, sollte dieser die aktuellen Eigenschaften der Person (Kontaktdaten, Zugehörigkeit zur Organisation, Zugriffsrechte) widerspiegeln. Wenn zu einer Person mehrere digitale Identitäten existieren, müssen alle diese Datensätze aktuell sein. Je mehr unabhängige Datensätze zu einer Person existieren, umso mehr Aufwand (also Kosten) ist erforderlich, um die Daten aktuell zu halten. Da die digitale Identität auch Zugriffsrechte beinhaltet, ist dies eine Frage der Sicherheit. Zentrale Speicherung von Benutzerdaten verursacht daher weniger Kosten für das Erreichen einer konkreten Sicherheitsstufe als die dezentrale Speicherung von Benutzerdaten. Man muss dabei jedoch beachten, dass zentral gespeicherte Daten ein lukratives Angriffsziel darstellen, das besonders geschützt werden muss. 2.5 Identifizierung und Authentifizierung Wie schon in Abschnitt 2.1 beschrieben wurde ist der erste Schritt in der Umsetzung von Sicherheitsrichtlinien die Identifizierung des Benutzers. Technisch betrachtet ist die Identifizierung nichts anderes als die Auswahl der digitalen Identität, die der realen Identität d.h. des Benutzers selbst zugeordnet ist. Der wichtigste Teil in dieser Phase die Kontrolle, ob der Nutzer wirklich die Identität hat, die er zu haben vorgibt wird allgemein als Authentifizierung bezeichnet. Realisiert wird das über die Abfrage einer oder mehrerer Eigenschaften der realen Identität und Vergleich mit zuvor gespeicherten Werten. Im Rahmen dieser Arbeit werden zwei Anwendungsbereiche der Authentifizierung betrachtet: lokale Anmeldung an einem Rechner und Anmeldung an einem Netzwerkdienst (Fernanmeldung). Jede Authentifizierung beinhaltet, dass eine bestimmte Eigenschaft des Nutzers abgefragt wird. Diese Eigenschaft lässt sich in eine der Gruppen Wissen, Besitz oder (körperliches) Merkmal einordnen. In Tabelle 2.5 sind verschiedene Möglichkeiten genannt, wie aktuelle Systeme die jeweiligen Authentifizierungsmethoden implementieren. Methode Wissen Besitz Merkmal Realisierung PIN, Passwort, Passphrase, Antwort auf bestimmte Frage Privater Schlüssel, Smartcard, RFID-Karte, TAN bzw. itan, etoken, SecurID Handgefäßstruktur, Gesichtsgeometrie, Iris- Scan, Retina-Scan, Fingerabdruck, Tippverhalten, DNA Tabelle 2.1: Methoden der Authentifizierung Jede der genannten Methoden hat verschiedene Vor- und Nachteile, die nachfolgend kurz erläutert werden sollen. Wissen kann relativ kostengünstig erzeugt werden. Es erfordert beispielsweise nur einen geringen zeitlichen Aufwand, sich ein Passwort auszudenken. Alle Authentifizierungsverfahren, die auf dieser Methode aufbauen, sind allerdings dem Risiko ausgesetzt, dass der Benutzer das spezielle Wissen einfach vergisst. Es entsteht hier also administrativer Aufwand, bspw. um Passwörter zurückzusetzen. Häufig wird aus diesem Grund (und aus Bequemlichkeit) ein einfaches Passwort 9

16 gewählt, was wiederum einfach durch Brute-Force-Angriffe geknackt werden kann. Daher wird häufig durch den Administrator eine maximale Gültigkeitsdauer festgesetzt, was die Nutzungsdauer eines korrumpierten Benutzerkontos beschränkt. Die regelmäßigen Passwortänderungen motivieren andererseits die Nutzer wieder dazu, sich gerade einfache Passwörter zu wählen. Eine Analyse der möglichen Ursachen in [Wes08] kommt zu dem Schluss, dass Benutzer bestehende Risiken häufig zu niedrig bewerten und daher die niedrigen Kosten eines einfachen Passworts inkl. des niedrigen Risikos eines Sicherheitsvorfalls mit den damit verbundenen Kosten den sicheren Kosten eines guten Passworts vorziehen ( When there is a potential loss in a poor security decision compared to the guaranteed loss of making the pro-security decision, the user may be inclined to take the risk. ). Andere Realisierungen, wie z.b. PINs, bieten sehr selten die Möglichkeit, das spezielle Wissen regelmäßig zu ändern. Um trotzdem dem Problem der Bruts-Force-Angriffe begegnen zu können, kann man längere Zeichenketten (Passphrase, Antwort auf Frage) einsetzen. Hier entsteht wieder eine neue Sicherheitslücke: Aus Benutzbarkeitsgründen muss man eine längere Zeichenkette bei der Eingabe auf dem Bildschirm anzeigen, was das Mitlesen durch zufällig anwesende Personen ermöglicht. Zusammenfassend kann man also sagen, dass die Methode Wissen eine geringe Sicherheit bietet, einem gezielten Angriff jedoch nur schwer standhalten kann. Trotzdem steht eine sehr preiswerte und robuste Methode zur Verfügung, den Zugang zu Systemen zu kontrollieren. Besitz kann weder einfach kopiert noch selbst erzeugt werden. Wenn spezieller Besitz gestohlen wird oder verloren geht, wird das dem Besitzer meistens früher oder später bewusst. Es ist also sehr schwierig, ein Authentifizierungsverfahren, dass auf Besitz basiert, zu überlisten. Noch schwieriger ist, diese Sicherheitsverletzung unbemerkt zu begehen. Es steht hier eine ziemlich sichere und auch robuste Authentifizierungsmethode zur Verfügung. Der Nachteil hier sind die Kosten. Würde man beispielsweise in einem Netzwerk mit 1000 Benutzern jedem Benutzer ein etoken im Wert von 100ezur Verfügung gestellt werden, wären die Kosten höher als die jährlichen Personalkosten für einen Administrator zum Pflegen von Kennwörten. Wenn die Fluktuationsrate der Nutzer im Netzwerk hoch ist, muss gefragt werden, ob der Wert der zu schützenden Daten noch höher ist als der Aufwand, der zum Schutz betrieben wird. Merkmale haben gegenüber den beiden anderen Methoden den Vorteil, dass sie theoretisch nicht kopiert werden können und auch kein Geld kosten (abgesehen von den Lesegeräten). Man scheint hier die Methode mit der maximalen Sicherheit und den niedrigsten Kosten gefunden zu haben. Leider gibt es einige Probleme beim Nutzen biometrischer Merkmale für die Authentifizierung: Die Bereitschaft dafür, die digitale Kopie eines biometrischen Merkmals in einer fremden Datenbank abzulegen, ist bei vielen Personen nicht sehr hoch. Der Computer Chaos Club hat in [CCC04] gezeigt, dass es möglich ist, mit einem Laserdrucker, Projektorfolie und Holzkaltleim einen zuvor eingescannten Fingerabdruck zu kopieren. Mit diesem Abdruck wurde eine erfolgreiche Authentifierung durchgeführt. Experimente wie diese zeigen, dass es möglich ist, bestimmte biometrische Authentifizierungsverfahren zu umgehen und im Namen einer anderen Person bestimmte Handlungen (auch Straftaten) durchzuführen. Biometrie ist das Messen bestimmter physischer Merkmale eines Individuums. Die Nutzung für die Authentifizierung erfordert einerseits die sehr präzise Messung, andererseits auch den korrekten Umgang der Systeme mit Veränderungen der gemessenen Merkmale. So könnte eine Person sich z.b. eine Narbe zuziehen, wodurch sich der Fingerabdruck ändert. In [BioP2] wurde weiterhin festgestellt, dass der Einfluss von Alterungseffekten auf die Erkennungsleistung biometrischer Systeme bisher noch nicht ausreichend untersucht ist. Es ist also gegenwärtig mit einer hohen Fehlerrate (hauptsächlich Falschrückweisungsrate, vgl. [BioP2]) zu rechnen, was den Einsatz biometrischer Authentifizierungssysteme in der Praxis auf die Bereiche einschränkt, in denen man das gerne in Kauf nimmt, um höhere Sicherheit zu erhalten, wie etwa im militärischen Umfeld. 10

17 Frühe Authentifizierungssysteme waren sehr tolerant bei der Messung biometrischer Merkmale und konnten leicht umgangen werden. Aus schlechten Erfahrungen heraus wird mittlerweile geprüft, ob der Mensch, von dem gerade ein biometrisches Merkmal gemessen wird, noch am Leben ist (z.b. über Pulsmessung beim Fingerabdrucklesen). Solche Probleme verschlechtern die Akzeptanz biometrischer Zugangssysteme, was gemäß [BioP2] eine eine wesentliche Vorraussetzung für den erfolgreichen Einsatz biometrischer Verfahren ist. Nahezu alle Studien, die bisher die Nutzbarkeit der Biometrie untersucht haben, haben sich darauf konzentriert, die technische Umsetzbarkeit also Fehlerraten (false positives und false negatives) zu testen. Dem Autor sind jedoch momentan keine Studien bekannt, die testen, inwieweit biometrische Systeme in der Praxis den Zugang auf autorisierte Personen wirksam einschränken. Es gibt jedoch Einzelbeispiele, die zeigen, dass der Einsatz biometrischer Merkmale für die Authentifizierung das Risiko des Merkmalsträgers für einen physischen Angriff erhöhen (vgl. [Mau08]). Fazit Ein Authentifizierungsvorgang ist umso verlässlicher, je fester das Authentifizierungsmerkmal mit der Person verbunden ist. So lässt sich eine Chipkarte leichter nachmachen als bspw. ein genetischer Fingerabdruck. Dies scheint eine Tendenz aufzuzeigen, dass Passwörter, die sich am leichtesten kopieren bzw. knacken lassen, veraltet und unsicher erscheinen. In [Mau08] wurde gezeigt, dass praktisch alle Authentifizierungssysteme auf geheimen Informationen beruhen, die stark mit dem Besitzer zusammenhängen. In dem Sinne sind auch der private Schlüssel, der auf einer Smart-Card gespeichert ist oder ein Fingerabdruck nur Informationen, die man theoretisch lesen oder kopieren kann. Der theoretische Angriffspunkt gegen alle Authentifizierungssystem ist also, die Beziehung zwischen Authentifizierungsmerkmal und Merkmalsträger zu lockern, sei es durch Auslesen geheimer Daten, Diebstahl von Gegenständen o.a. Mittel. In Bezug auf Authentifizierung über das Prinzip Besitz stellt der Autor von von [Mau08] zusammenfassend fest, dass bei entsprechend attraktiven Angriffszielen [...] die Angriffsmethoden schnell von der virtuellen auf die physische Ebene und in die Nähe des Objektträgers, bis in den Bereich des Personenschutzes hinein verlagern. Ähnlich klingt das Urteil über biometrische Verfahren, die Sicherheitsfragen klar in die Ebene des Personenschutzes der Merkmalsträger [verlagern], womit sich nach Meinung des Autors Das Thema Biometrie als ernst zu nehmendes Authentifikationsmittel [...] in der Kosten/Nutzen-Abwägung [...] erledigt hat. An dieser Stelle sei auf die sehr interessanten Beispiele in [Mau08] verwiesen, wo u.a. gezeigt wird, dass selbst die Kombination aller drei Authentisierungsklassen [unzulänglich] sein kann. Im Rahmen dieser Arbei werden ausschließlich passwortbasierte Zugangskontrollsysteme betrachtet. Dies ist keine Einschränkung, da, wie in [Mau08] gezeigt, alle drei Authentifizierungsmethoden auf geschützen Informationen beruhen und sich nur durch Ihre technische Umsetzung unterscheiden. Die Probleme der sicheren Speicherung des Authentifizierungsmerkmals und der verlässlichen Überprüfung desselben müssen jedoch bei allen drei Methoden gelöst werden. 2.6 Zugriffsschutz Der Zugriff auf Ressourcen in einem Netzwerk wird durch eine Hardware oder Software kontrolliert, die sich wie ein Proxy (vgl. [GoF01]) verhält. Dabei wird eine Anfrage an eine Ressource zunächst von diesem Proxy empfangen, der dann auch entscheidet, ob die Anfrage weitergeleitet oder abgewiesen wird. In [And72] wird für die Kontrollinstanz der Name Referenzmonitor (Reference Monitor) eingeführt. Die Aufgabe des Referenzmonitors ist, alle Referenzen auf Ressourcen, die von einem Prozess angelegt werden, zu authoriseren ( [A reference monitor] is a continuously invoked validation that all references made by a user s program or any (executive) program operating on a users s behalf, are authorized for that user, vgl. [And72], S. 18). In Abbildung 2.3 wird allgemein dargestellt, an welcher Stelle beim Zugriff auf eine Ressource der Referenzmonitor arbeitet. An Stelle des Nutzers, des Nutzerprozesses oder eines Schutzbereichs ist hier der Principal gerückt, der einfach nur eine eindeutig identifizierbare, aktive Entität 11

18 Principal Operation Reference Monitor Resource Abbildung 2.3: Prinzip des Referenzmonitors, nach [Ben05] ist. Ein Principal 1 kann dabei eine Person, die einen Computer bedient; ein Programm oder ein Computer selbst sein. Von konkreten technischen Details wird im Allgemeinen abstrahiert, indem man Ressourcen als Objekte bezeichnet und den Nutzer der Ressource, sei es ein Programm oder eine Person, Subjekt nennt Aufbau des Reference Monitor Für die weiteren Betrachtungen in dieser Arbeit ist der Aufbau des Reference Monitor von Interesse. Wie bereits beschrieben, müssen von diesem Softwarebestandteil folgende Aufgaben erfüllt werden: Identifizierung und Authentifizierung des Subjekts Identifizierung des Objekts Entscheiden, ob der Zugriff erlaubt ist und diesen entsprechend zulassen oder verhindern In [Win05] wurde das Zusammenwirken mehrerer Komponenten beschrieben, die in der Summe einen Reference Monitor implementieren. Deny/Allow 7 Credentials Request 1 Credentials Authentication PEP Yes/No 2 Authenication Server Access Request ADA PDP 4 Security Policy Identity Store Abbildung 2.4: Komponenten eines Reference Monitor, entlehnt aus Figure 2-1 aus [Win05], S.10 Die Bearbeitung eines Zugriffs auf die Ressource findet in den nachfolgend beschriebenen Schritten statt: 1. Ein Request und (nach Anfrage) Credentials werden an den Policy Enforcement Point (PEP) geschickt. Der PEP dient als Schnittstelle des Referenzmonitors für das Programm des Benutzers. 2. Die Credentials werden durch eine Komponente geprüft, die Zugriff auf die gespeicherten Credentials hat. 3. Wenn die Authentifizierung erfolgreich war, wird der Request weiter an den Policy Decision Point (PDP) geschickt. 1 Der Autor verzichtet auf eine Übersetzung des Terminus, da die Bedeutung der offensichtlichen Übersetzung Prinzipal sich von der eigentlich gemeinten Bedeutung unterscheidet. In der Fachliteratur hat sich das englische Wort Principal als Fachterminus etabliert. 12

19 6. Der PDP entscheidet mit Hilfe der Security Policy (4), ob der Zugriff für die bereits authentifizierte Identität (5) zulässig ist 7. Das Ergebnis wird dem PEP in Form einer Authorization Decision Assertion (ADA) mitgeteilt. Dieser führt den Zugriff auf die Ressource durch, falls dieser erlaubt ist, und 8. teilt dem aufrufenden Prozess das Ergebnis mit. In der Praxis wird die Authentifizierung aus Effizienzgründen nicht bei jedem Ressourcenzugriff durchgeführt. Statt dessen wird eine Sitzung erzeugt, von der aus Zugriffe ohne Authentifizierung möglich sind. Typische Implementierungen sind Login-Shells oder Transmission Control Protocol (TCP)-Verbindungen Access Control Matrix Eine einfache Möglichkeit, festzulegen, welcher Nutzer welche Aktionen mit welcher Ressource durchführen darf, ist das Anlegen einer Zugangskontrollmatrix (Access Control Matrix). Als eine der ersten Publikationen, in denen explizit eine Zugangskontrollmatrix (hier: Access Matrix) genutzt wurde, wird häufig [Lam71] genannt. Lampson nennt als Bestandteile der Matrix Reihen, die mit Bereichsnamen beschriftet sind; Spalten, die mit Objektnamen beschriftet sind; und Elemente, deren Inhalt Zeichenketten sind, die Zugriffsattribute beschreiben ( Its rows are labeled by domain names and its columns by object names. [...] Each element consists of a set of strings called access attributes; typical attributes are read, write, wakeup., vgl. [Lam71], S. 21). In [Den71] werden die Komponenten einer Zugangskontrollmatrix formal benannt: eine Menge X von Objekten ( First is a set X of objects, an object being any entity in the system that must be protected (i.e., to which access must be controlled)., vgl. [Den71], S. 206) eine Menge S von Subjekten ( The second part [...] is a set S of subjects, a subject being any entity that may access objects., vgl. [Den71], S. 206) Eine Sammlung von Zugriffsregeln R ( The third part [...] is a collection of access rules specifying the ways in which a subject may access objects., vgl. [Den71], S. 207) Es wird also von der konkreten Darstellung von Objekten, Subjekten und Zugriffsregeln abstrahiert und nur noch deren Zusammenhang untereinander betrachtet. Eine Beispiel für eine (kleine) Zugangskontrollmatrix ist in Tabelle 2.2 dargestellt. Datei 1 Datei 2 Prozess 1 Socket 1 Benutzer 1 read read wakeup read, write close Benutzer 2 read, write, delete, change permission Tabelle 2.2: Beispiel einer Zugangskontrollmatrix Der Vorteil dieses Ansatzes ist eine große Flexibilität, da nicht festgelegt ist, wie die Bestandteile der Matrix im Detail aussehen ( Because the access matrix model specifies only that there are rules (and subjects and objects and access modes), but not what the rules (or subjects or objects or access modes) are in detail, the model has great flexibility and wide applicability., vgl. [Lan81], S. 256). In diesem Modell wird die Existenz einer Funktion mit dem Typ X S R gefordert. Die Flexibilität besteht u.a. darin, dass der Implementierer entscheiden kann, auf welche Weise die Funktion berechnet wird. Da die Zugangskontrollmatrix häufig viele leere Elemente haben wird, haben sich in der Praxis zwei Varianten der Implementierung etabliert: Speicherung einer Liste von Berechtigungen für jeden Benutzer (Funktion des Typs S P(X R); Capabilities) 13

20 Speicherung einer Liste von Benutzern und zugehörigen Rechten für jede Ressource (Funktion des Typs X P(S R); Access Control List) Die Speicherung einer Liste statt einer Matrix hat die Vorteile, dass der Speicher effektiver genutzt werden kann, und das Suchen der gewünschten Regelmenge für ein konkretes Subjekt-Objekt-Paar schneller ist. Bei vielen System ist es sogar möglich, beide Ansätze kombiniert einzusetzen. Man kann zusammenfassend sagen, dass die Zugangskontrollmatrix eine theoretische Grundlage für viele der heute eingesetzten Zugangskontrollsysteme zur Verfügung stellt, wobei die praktische Umsetzung sich auf den ersten Blick stark vom ursprünglichen Ansatz unterscheidet Schutzmodelle Die Zugangskontrollmatrix stellt dar, welche Subjekte zu einem bestimmten Zeitpunkt auf welche Objekte zugreifen dürfen. Wie die Matrix zu Stande kommt und nach welchen Regeln sie im Laufe der Nutzung des Systems weiter entwickelt wird, ist Aufgabe der verschiedenen Schutzmodelle. Es existieren viele sehr verschiedene Schutzmodelle, von denen an dieser Stelle aufgrund Ihrer Relevanz nur zwei Modelle beschrieben werden. Discretionary Access Control Die Besonderheit an diesem Schutzmodell ist, dass es das Konzept des Besitztums von Objekten gibt. Für jedes Objekt existiert ein Subjekt, das Besitzer des Objekts ist. Der Besitzer legt die Zugriffsrechte auf das Objekt fest. Es gibt verschiedene Untersuchungen der Sicherheit dieses Modells, die meisten schränken jedoch die Möglichkeiten des Modells ein, um eine Aussage treffen zu können. In [HRU76] wurde gezeigt, dass es nicht entscheidbar ist, ob eine bestimmte Konfiguration eines gegebenen Schutzssystems für eine bestimmte Berechtigung sicher ist ( It is undecible whether a given configuration of a given protection system is safe for a given generic right, vgl. [HRU76], Theorem 2). Das Adjektiv sicher beschreibt in dem Zusammenhang eine Konfiguration, die es verhindert, dass eine Berechtigung durch ein Kommando in eine Zelle der Zugangskontrollmatrix schreibt, wo diese Berechtigung vorher nicht stand. Der Vorteil von Discretionary Access Control (DAC) demgegenüber sind die sehr flexiblen Möglichkeiten der Rechtevergabe, die gegenüber sichereren Modellen (z.b. Mandatory Access Control (MAC)) nicht unbedingt einer Hierachie mit gerichtetem, azyklischen Informationsfluss entsprechen müssen. Man kann so die Berechtigung eher an den Informationsfluss in Unternehmen anpassen, der sich nicht unbedingt an den Strukturen des Unternehmens orientiert. Role-Based Access Control Ein weiterer Nachteil von DAC ist das Prinzip, Rechte pro Benutzer zu vergeben, was in mittelgroßen Netzwerk nicht mehr praktikabel ist. Die Idee von Role- Based Access Control (RBAC) ist, jedem Mitglied einer Organisation eine oder mehrere Rollen zuzuweisen, die seiner Stellung bzw. seinen Aufgaben in der Organisation entsprechen. Die Berechtigungen werden dann nicht mehr den einzelnen Personen zugewiesen, sondern den Rollen. Dadurch reduziert sich der Aufwand in der Verwaltung der Berechtigungen. Weiterhin kann so die Sicherheit erhöht, da es über RBAC viel einfacher möglich ist, jedem Benutzer genau die Berechtigungen zuzuweisen, die er benötigt. RBAC ist ein theoretisches Modell, für das sowohl Implementierungen existieren (z.b. grsecurity), das jedoch als Ideenvorlage für andere Implementierung von Schutzmodellen gedient hat, wie z.b. Benutzergruppen in Windows oder UNIX. Im Rahmen dieser Arbeit sind die theoretischen Unterschiede von Rollen und Gruppen weniger interessant. Wichtig ist hier die Tatsache, dass Benutzer Mitglieder von Rollen bzw. Gruppen sein können und dass man Rollen bzw. Gruppen Berechtigungen zuordnen kann. Am Rande ist noch interessant, ob man mit aktuellen Implementierungen Rollen- bzw. Gruppenhierarchien aufbauen kann, was in der Praxis durchaus hilfreich sein kann. 14

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank

Mehr

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015 Systemsicherheit Lerneinheit 3: Security Enhanced Linux Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 26.4.2015 Übersicht Übersicht Diese Lerneinheit stellt mit Security

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!

Mehr

NEVARIS Benutzerverwaltung

NEVARIS Benutzerverwaltung NEVARIS Benutzerverwaltung Integrierte Lösungen für das Bauwesen Diese Dokumentation wurde mit der größtmöglichen Sorgfalt erstellt; jedwede Haftung muss jedoch ausgeschlossen werden. Die Dokumentationen

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Enterprise User Security mit Active Directory

Enterprise User Security mit Active Directory Enterprise User Security mit Active Directory Jürgen Kühn Trivadis GmbH Düsseldorf Schlüsselworte: Enterprise User Security, Active Directory, Directory Integration and Provisioning, Active Directory Passwort

Mehr

File Sharing zwischen Mac OS X und Windows XP Clients

File Sharing zwischen Mac OS X und Windows XP Clients apple 1 Einführung File Sharing zwischen Mac OS X und Windows XP Clients Möchten Sie Dateien zwischen einem Macintosh Computer und Windows Clients austauschen? Dank der integralen Unterstützung für das

Mehr

Identity Management mit OpenID

Identity Management mit OpenID Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Identity Management mit OpenID Innovative Internet Technologien und Mobilkommunikation WS2008/2009 Verfasser:

Mehr

Benutzerverwaltung mit ASP.NET Membership

Benutzerverwaltung mit ASP.NET Membership Benutzerverwaltung mit ASP.NET Membership Dieser Artikel soll zeigen, wie man ASP.NET Membership einsetzt, um Benutzer einer Web Anwendung zu authentifizieren. Es werden sowohl Grundlagen wie die Einrichtung

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Kapitel 33. Der xml-datentyp. In diesem Kapitel: Der xml-datentyp 996 Abfragen aus xml-datentypen 1001 XML-Indizierung 1017 Zusammenfassung 1023

Kapitel 33. Der xml-datentyp. In diesem Kapitel: Der xml-datentyp 996 Abfragen aus xml-datentypen 1001 XML-Indizierung 1017 Zusammenfassung 1023 Kapitel 33 Der xml-datentyp In diesem Kapitel: Der xml-datentyp 996 Abfragen aus xml-datentypen 1001 XML-Indizierung 1017 Zusammenfassung 1023 995 996 Kapitel 33: Der xml-datentyp Eine der wichtigsten

Mehr

Das NT Domänen-Konzept

Das NT Domänen-Konzept Das NT Domänen-Konzept Einführung Was ist eine Domäne? Was ist eine Gruppe? Was ist ein Trust? Domänen Das Single Domain Model Das Single Master Domain Model Das Multiple Master Domain Model Das Complete

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Die Kontor.NET ebay-schnittstelle bindet Vorgänge auf der ebay Verkaufsplattform in Kontor.NET ein und ermöglicht ein weitgehend automatisches

Die Kontor.NET ebay-schnittstelle bindet Vorgänge auf der ebay Verkaufsplattform in Kontor.NET ein und ermöglicht ein weitgehend automatisches Die Kontor.NET ebay-schnittstelle bindet Vorgänge auf der ebay Verkaufsplattform in Kontor.NET ein und ermöglicht ein weitgehend automatisches Abwickeln von ebay-bestellungen. 1 Sie können einen oder mehrere

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

IRF2000 Application Note Eingeschränkter Remote Zugriff

IRF2000 Application Note Eingeschränkter Remote Zugriff Version 2.0 Original-Application Note ads-tec GmbH IRF2000 Application Note Eingeschränkter Remote Zugriff Stand: 28.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis 1 Einführung... 3 2 Benutzerkonten...

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

1. Einführung. 2. Die Mitarbeiterübersicht

1. Einführung. 2. Die Mitarbeiterübersicht 1. Einführung In orgamax können Sie jederzeit neue Mitarbeiter anlegen und diesen Mitarbeitern bestimmte Berechtigungen in der Software zuordnen. Darüber hinaus können auch Personaldaten wie Gehalt und

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Content Management System ADMINISTRATOR. Handbuch Version 3.20

Content Management System ADMINISTRATOR. Handbuch Version 3.20 Content Management System ADMINISTRATOR Handbuch Version 3.20 Die Informationen in diesem Handbuch werden ohne Rücksicht auf Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung

Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung www.docusnap.com TITEL Inventarisierung von Exchange AUTOR Mohr Carsten DATUM 28.10.2015 VERSION 1.0 Die Weitergabe, sowie Vervielfältigung

Mehr

Administration Erste Schritte im Brainloop Datenraum

Administration Erste Schritte im Brainloop Datenraum Administration Erste Schritte im Brainloop Datenraum Inhalt 1. Überblick... 2 2. Limits anpassen... 2 2.1 Anzahl der Benutzer Lizenzen anpassen. 2 2.2 Zusätzlichen Speicherplatz anpassen. 3 3. Gruppe anlegen...

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Einstiegsdokument Kursleiter

Einstiegsdokument Kursleiter Einstiegsdokument Kursleiter Inhaltsverzeichnis 1. Die Anmeldung...2 1.1 Login ohne Campus-Kennung...2 1.2 Login mit Campus-Kennung...2 1.3 Probleme beim Login...3 2. Kurse anlegen...4 3. Rollenrechte...4

Mehr

Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg

Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg Antrag auf Registrierung und Zugangserteilung beim Zentralen Vollstreckungsgericht des Landes Brandenburg An den Leiter des Zentralen Vollstreckungsgerichts bei dem Amtsgericht Nauen Paul-Jerchel-Straße

Mehr

sedex-client Varianten für den Betrieb in einer hoch verfügbaren

sedex-client Varianten für den Betrieb in einer hoch verfügbaren Département fédéral de l'intérieur DFI Office fédéral de la statistique OFS Division Registres Team sedex 29.07.2014, version 1.0 sedex-client Varianten für den Betrieb in einer hoch verfügbaren Umgebung

Mehr

meinfhd 2.2 Anleitung für den Login

meinfhd 2.2 Anleitung für den Login meinfhd 2.2 Anleitung für den Login Version: R18 Datum: 12.03.2014 Status: Final Seite ii Inhaltsverzeichnis 1 Einleitung 1 2 Zentrale / übergreifende Funktionen 1 2.1 Login-Seite / Zugang zum System...

Mehr

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3 Version 8.0 kommt in Kürze! Was ändert sich? Lesen Sie Folge 3 unserer Serie: Zusammenarbeit im Datenraum Lesen Sie in der dritten Folge unserer Artikel-Serie, wie Sie effizient über den Datenraum mit

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Sicherheits-Leitfaden

Sicherheits-Leitfaden Sicherheits-Leitfaden Sehr geehrter Kunde, bei dem von Ihnen genutzten Angebot handelt es sich um Webspace auf einem Shared-Server. Dies bedeutet, dass auf einem Server mehrere Kunden gehostet werden.

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Inhalt. Net-Base Internetservice. Dokumentation OTRS Ticketing-System

Inhalt. Net-Base Internetservice. Dokumentation OTRS Ticketing-System Inhalt Inhalt...1 1. Überblick...2 2. Ticketing-System aufrufen...2 3. Ein eigenes Konto anlegen...3 4. Eine Supportanfrage stellen...4 5. Ihre Supportanfragen ansehen / Status überprüfen...6 6. Weiterer

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Relationale Datenbanken Datenbankgrundlagen

Relationale Datenbanken Datenbankgrundlagen Datenbanksystem Ein Datenbanksystem (DBS) 1 ist ein System zur elektronischen Datenverwaltung. Die wesentliche Aufgabe eines DBS ist es, große Datenmengen effizient, widerspruchsfrei und dauerhaft zu speichern

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business Inhaltsverzeichnis 1 Erst-Login 2 2 Benutzerkonto einrichten 2 3 Benutzerkonto bearbeiten 2 3.1 Aktivieren/Deaktivieren 2 3.2 Speichererweiterung hinzubuchen/deaktivieren 3 3.3 Rufnummer hinzufügen/entfernen

Mehr

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten ELWIS 3.0 Dokumentation E-Mail-Verteilerlisten Dienstleistungszentrum Informationstechnik im Geschäftsbereich des BMVBS (DLZ-IT BMVBS) Bundesanstalt für Wasserbau Am Ehrenberg 8, 98693 Ilmenau Stand, 10.02.2011

Mehr

CAS genesisworld.exchange connect Abgleich von Adressen und Terminen

CAS genesisworld.exchange connect Abgleich von Adressen und Terminen Abgleich von Adressen und Terminen Stand Juni 2004 Was ist CAS genesisworld.exchange connect? Inhalt 1 Was ist CAS genesisworld.exchange connect?... 3 2 Systemvoraussetzungen... 5 2.1 Software...5 2.2

Mehr

Anlage zu FAQ Beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten

Anlage zu FAQ Beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten Frage: Wie kann man einen beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten, der sich entweder lokal oder am Netzwerk anmelden kann, bzw. wie kann der Benutzer "AUDUSER" auf

Mehr

Warenwirtschaft Handbuch - Administration. 2013 www.addware.de

Warenwirtschaft Handbuch - Administration. 2013 www.addware.de Warenwirtschaft Handbuch - Administration 2 Warenwirtschaft Inhaltsverzeichnis Vorwort 0 Teil I Administration 3 1 Datei... 4 2 Datenbank... 6 3 Warenwirtschaft... 12 Erste Schritte... 13 Benutzerverwaltung...

Mehr

H A E S S L E R. DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS. Installation & Anleitung

H A E S S L E R. DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS. Installation & Anleitung H A E S S L E R DoRIS Office Add-In DoRIS Baustein für die Integration von MS Office in DoRIS Installation & Anleitung DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS Installation

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

16 Sicherheit und Benutzerverwaltung

16 Sicherheit und Benutzerverwaltung Leseprobe aus Access und SQL Server http://www.acciu.de/asqllesen 16 Sicherheit und Benutzerverwaltung Einer der Hauptgründe, warum Sie Access-Anwendungen mit einer SQL Server-Datenbank als Backend verwenden,

Mehr

Phasen bei Aufbau und Betrieb einer Infrastruktur für Context Computer Heinz-Jürgen Burkhardt / Rainer Prinoth

Phasen bei Aufbau und Betrieb einer Infrastruktur für Context Computer Heinz-Jürgen Burkhardt / Rainer Prinoth Phasen bei Aufbau und Betrieb einer Infrastruktur für Context Computer Heinz-Jürgen Burkhardt / Rainer Prinoth In unserer bisherigen Beschreibung sind wir davon ausgegangen, dass eine arbeitsfähige Infrastruktur

Mehr

Collax Active Directory

Collax Active Directory Collax Active Directory Howto Dieses Howto beschreibt die Konfiguration eines Collax Servers um einer Windows Active Directory Service (ADS) Domäne beizutreten. Im Englischen spricht man hierbei von einem

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 15.07.2013 Dokumentenart: Anwenderbeschreibung Version: 3.2 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger Identitätskonzepte OpenID, WebID und OAuth Hauptseminar Web Engineering Vortrag Robert Unger WS 12/13 07.12.2012 Inhalt Einführung OpenID WebID OAuth Fazit Quellen TU-Chemnitz - Hauptseminar Web Engineering

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Semantische Integrität (auch: Konsistenz) der in einer Datenbank gespeicherten Daten als wichtige Anforderung

Semantische Integrität (auch: Konsistenz) der in einer Datenbank gespeicherten Daten als wichtige Anforderung 6. Datenintegrität Motivation Semantische Integrität (auch: Konsistenz) der in einer Datenbank gespeicherten Daten als wichtige Anforderung nur sinnvolle Attributwerte (z.b. keine negativen Semester) Abhängigkeiten

Mehr

Datenbanken 16.1.2008. Die Entwicklung der Datenbanksysteme ist eng an die der Hardware gekoppelt und wird wie jene in Generationen eingeteilt:

Datenbanken 16.1.2008. Die Entwicklung der Datenbanksysteme ist eng an die der Hardware gekoppelt und wird wie jene in Generationen eingeteilt: Datenbanksysteme Entwicklung der Datenbanksysteme Die Entwicklung der Datenbanksysteme ist eng an die der Hardware gekoppelt und wird wie jene in Generationen eingeteilt: 1. Generation: In den fünfziger

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP)

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) 1 Inhaltsverzeichnis Einleitung 3 Benutzerrechte 4 Schwarzes Brett 5 Umfragen 6 Veranstaltungen 7 Protokolle 9 Mitgliederverzeichnis

Mehr

Dokumentation: Erste Schritte für Reseller

Dokumentation: Erste Schritte für Reseller pd-admin v4.x Dokumentation: Erste Schritte für Reseller 2004-2007 Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 9 44787 Bochum 1 Einleitung Diese Anleitung ist für Reseller gedacht, die für Ihre

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X von Cornelius Höchel-Winter Technologie Report: Sicherheit in Enterprise-Netzen durch 802.1X Seite 4-76 4 Produkte und Methoden: Kriterien zur

Mehr

In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor.

In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor. In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor.NET automatisch Artikel, Bestände und Bestellungen und weitere Informationen

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel)

SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel) SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel) Windows Server 2003 ist der erste Server von Microsoft, der einen kompletten SMTP- und POP3- Dienst mitbringt. Wir zeigen, wie Sie diese Dienste

Mehr

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Erfahrungen im Münchner Wissenschaftsnetz Silvia Knittl, Wolfgang Hommel {knittl,hommel}@mnm-team.org Agenda Hybrid Cloud im Münchner Wissenschaftsnetz

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13. Dokumentation KREDITVERZEICHNIS. Teil 2. Konfiguration

KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13. Dokumentation KREDITVERZEICHNIS. Teil 2. Konfiguration KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13 Dokumentation KREDITVERZEICHNIS Teil 2 Konfiguration Stand 20.02.2013 KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 2/13 Inhalt 1. KONFIGURATION...

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Kurzanleitung E-Mail System bildung-rp.de

Kurzanleitung E-Mail System bildung-rp.de Kurzanleitung E-Mail System bildung-rp.de VERSION: 1.3 DATUM: 22.02.12 VERFASSER: IT-Support FREIGABE: Inhaltsverzeichnis Benutzername und Passwort... 1 Support... 1 Technische Konfiguration... 2 Webmail-Oberfläche...

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Treckerverein Monschauer Land e.v.

Treckerverein Monschauer Land e.v. Der Mitgliederbereich Der Mitgliederbereich (TV-MON Intern) ist ein Teil der Webseiten des Treckervereins, der nicht öffentlich und für jedermann zugängig ist. Dieser Bereich steht ausschließlich Mitgliedern

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Benutzeranleitung Superadmin Tool

Benutzeranleitung Superadmin Tool Benutzeranleitung Inhalt 1 Einleitung & Voraussetzungen... 2 2 Aufruf des... 3 3 Konto für neuen Benutzer erstellen... 3 4 Services einem Konto hinzufügen... 5 5 Benutzer über neues Konto informieren...

Mehr

Uniform Resource Identifiers (URI) und Domain Name Service (DNS)

Uniform Resource Identifiers (URI) und Domain Name Service (DNS) Kurzvortrag zum Thema: Uniform Resource Identifiers (URI) und Domain Name Service (DNS) Beschreiben Sie Aufbau und Einsatzzweck von URI, URL und URN. Lesen Sie die dazu passenden RFCs. Was ist der Domain

Mehr

Architektur eines Identitätsmanagementsystems an einer Hochschule

Architektur eines Identitätsmanagementsystems an einer Hochschule Diplomarbeit Architektur eines Identitätsmanagementsystems an einer Hochschule steffen.hofmann@fu-berlin.de betreut von Birgit Feldmann an der Fakultät für Mathematik und Informatik, Lehrgebiet Informationssysteme

Mehr

Betriebssysteme SS 2013. Hans-Georg Eßer Dipl.-Math., Dipl.-Inform. Foliensatz E SB 5 (11.04.2013) ACLs und Capabilities

Betriebssysteme SS 2013. Hans-Georg Eßer Dipl.-Math., Dipl.-Inform. Foliensatz E SB 5 (11.04.2013) ACLs und Capabilities Betriebssysteme SS 2013 Hans-Georg Eßer Dipl.-Math., Dipl.-Inform. Foliensatz E SB 5 (11.04.2013) ACLs und Capabilities 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-1 ACLs und

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

Endkunden Dokumentation

Endkunden Dokumentation Endkunden Dokumentation X-Unitconf Windows Version - Version 1.1 - Seite 1 von 20 Inhaltsverzeichnis 1. Anmeldung an X-Unitconf... 3 2. Menü Allgemein... 4 2.1. Übersicht... 4 2.2. Passwort ändern... 5

Mehr

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Kerberos: Prinzip und Umsetzung. Sascha Klopp Kerberos: Prinzip und Umsetzung Sascha Klopp Inhalt Prinzip Umsetzung Anwendungen Vor- und Nachteile Sascha Klopp, Kerberos: Prinzip und Umsetzung, 18.11.2008 Seite 2 Historie Das Kerberos-Protokoll wurde

Mehr

RACFBroker/j. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/j ist ein Produkt der

RACFBroker/j. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/j ist ein Produkt der RACFBroker/j Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/j ist ein Produkt der XPS Software GmbH Eching RACFBroker/j XPS Software GmbH Untere Hauptstr. 2

Mehr

STAR-Host Kurzanleitung ISP-Config

STAR-Host Kurzanleitung ISP-Config STAR-Host Kurzanleitung ISP-Config Webseite (Domain) einrichten Loggen Sie sich unter ISPConfig ein. Im Hauptmenü können Sie jetzt direkt eine Webseite (Domain) einrichten oder zunächst einen Kunden. Klicken

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Skyfillers Hosted SharePoint. Kundenhandbuch

Skyfillers Hosted SharePoint. Kundenhandbuch Skyfillers Hosted SharePoint Kundenhandbuch Kundenhandbuch Inhalt Generell... 2 Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2 Zugriff & Einrichtung... 3 Windows... 3 SharePoint als

Mehr

AFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und

AFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und AFS / OpenAFS Präsentiert von Bastian Steinert Und obert Schuppenies Agenda AFS Verteilte Dateisysteme, allg. Aufbau Sicherheit und Zugriffsrechte Installation Demo Vergleich zu anderen DFs Diskussion

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

smis_secure mail in der srg / pflichtenheft /

smis_secure mail in der srg / pflichtenheft / smis_secure mail in der srg / pflichtenheft / Dok.-Nr: Version: 1.1 PH.002 Status: Klassifizierung: Autor: Verteiler: Draft Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep Pflichtenheft, Seite 2 / 2 Änderungskontrolle

Mehr