Technische Universität Dresden Fakultät Informatik. Diplomarbeit

Größe: px
Ab Seite anzeigen:

Download "Technische Universität Dresden Fakultät Informatik. Diplomarbeit"

Transkript

1 Technische Universität Dresden Fakultät Informatik Diplomarbeit Konsolidierung mehrerer Zugangskontrollsysteme mit dem Ziel eines zentralen Identitäts- und Zugangskontrollsystems Jan Starke Matrikelnummer Eingereicht am: Verantwortlicher Hochschullehrer: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill 1. Gutachter: Dr. rer. nat. Dietbert Gütter 2. Gutachter: Dipl.-Ing. Matthias Herber

2

3 Erklärung Hiermit erkläre ich, dass ich die vorliegende Diplomarbeit in allen Teilen selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel (einschließlich elektronischer Medien und Online-Quellen) benutzt habe. Alle wörtlich oder sinngemäß übernommenen Textstellen habe ich als solche kenntlich gemacht. Name: Ort, Datum: Unterschrift:

4

5 Inhaltsverzeichnis 1 Einführung und Abgrenzung der Arbeit Ziel der Arbeit Inhaltlicher Überblick Begriffe Konzepte Identity Management und Access Management Phasen der Zugriffskontrolle Begriff der Identität Identity Management Process Gründe für zentrale Identitätsverwaltung Identifizierung und Authentifizierung Zugriffsschutz Technologien im Bereich Identitäts- und Zugriffskontrollmanagement Speichern von Passwörtern Authentifizierungsprotokolle und -Frameworks Identifikatoren Speichern von Identitäten Lightweight Directory Access Protocol Nachfolger von LDAP Beschreibung des Beispielnetzwerks Nutzer des Netzwerks Ressourcen Ziele der Umstellung Rechtsgrundlage Schutzziele Zu erwartende Veränderungen Implementierung der Benutzerverwaltung Sun Identity Manager als Metaverzeichnis Datenbanken und IDM Kerberos OpenLDAP und Kerberos Konfiguration von SPML LDAP-Authentifizierung Versionskontrolle mit Subversion Applicationserver Tomcat Solaris, PAM und NFS Analyse der Implementierung Datenschutz Sicherheit Zusätzlich benötigte Dienste Zusammenfassung und Ausblick Abkürzungsverzeichnis 81 Quellen- und Literaturverzeichnis 86 Tabellenverzeichnis 87 Abbildungsverzeichnis 87

6 Verzeichnis der Listings 87 Anhang 88 A Konfigurationsdateien 88 A.1 /etc/tomcat5/conf/server.xml A.2 /etc/pam.conf A.3 Erweiterung der User Form:LDAPUserForm A.4 Konfigurationsobjekt SPMLPerson A.5 Konfigurationsobjekt spml2personform B Quellcodes 97 B.1 Passwortspeicherung mit MySQL B.2 LDAP B.3 Scripted JDBC und MySQL B.4 Shell Script: MIT Kerberos B.5 Provisioning mit SPML C Beispieldaten 109 C.1 Datensatz eines Benutzers D Abbildungen 110 D.1 Resource Schema einer LDAP-Resource mit NIS-Attributen

7 1 Einführung und Abgrenzung der Arbeit Zugangskontrollsysteme in Netzwerken werden genutzt, um sicherzustellen, dass nur bestimmte Personen bestimmte Netzwerkressourcen nutzen können. Dazu sind drei wichtige Voraussetzungen notwendig: 1. Identitätsmanagement: Es ist notwendig, die einzelnen Nutzer des Netzwerks identifizieren zu können, weil unterschiedliche Personen verschiedene Zugriffsbefugnisse haben. In diesem Rahmen muss auch die Authentizität der Identität sichergestellt werden. 2. Berechtigungen: Für jede Person muss eine Menge von Regeln existieren, die angeben, welche Ressource in welchem Umfang genutzt werden darf. Alle Komponenten des Netzwerks müssen die Regeln umsetzen. 3. Konsistenz: In der Praxis existiert für jede Person mehr als eine Identität im Netzwerk; entsprechend existieren auch mehrere, verschiedene Regelwerke für eine Person. Es ist notwendig, dass sowohl die Identitäten selbst als auch die Regeln immer zueinander konsistent sind. Die Umsetzung der ersten beiden Forderungen ist technisch problemlos möglich. Die einzige Herausforderung hier besteht darin, das richtige Datenformat für die Identität und die Regeln zu finden und sicherzustellen, dass die Regeln umgesetzt werden. Es bietet praktisch jeder netzwerkbasierte Dienst eine eigene Benutzer- und Rechteverwaltung an. Genau dieses umfangreiche Angebot ist das Problem bei der Umsetzung der dritten Forderung. Jeder Nutzer hat für jede zu nutzende Ressource einen Benutzernamen und ein Passwort, der Administrator muss für jede Ressource extra die Berechtigungen verwalten. Dadurch entsteht die technische Möglichkeit von Inkonsistenzen, die die Sicherheit des Gesamtsystems verschlechtern: Security is a chain; it s only as secure as the weakest link [Sch04]. 1.1 Ziel der Arbeit Das Ziel der Arbeit ist, ein System zu entwickeln, dass die drei oben genannten Forderungen erfüllt. Der Fokus soll einerseits auf die Konsistenz der Daten gelegt werden. Durch zentrale Speicherung der Identitäten soll erreicht werden, dass Inkonsistenzen vermieden werden. Weiterhin soll es möglich sein, jede beliebige Netzwerkressource mit dem zentralen Identitäts- und Zugangskontrollsystem zu verwalten. Das entwickelte Konzept der Benutzerverwaltung ist sowohl allgemein als auch an einem Beispiel zu betrachten. Das bedeutet, dass anhand konkreter Produkte die Einrichung sowohl der zentralen Benutzerverwaltung als auch der Ressourcenanbindung gezeigt werden soll. Es müssen sowohl die Wartbarkeit als auch die Sicherheit des Systems untersucht werden. Zusätzlich ist zu untersuchen, ob das vorgestellte System datenschutzkonform betrieben werden kann. 1.2 Inhaltlicher Überblick Im Rahmen der Arbeit wird ein Konzept für eine zentrale Benutzerverwaltung entwickelt, das ein Metaverzeichnis, ein Verzeichnis und ein Ticket-basiertes Single Sign On (SSO)-System kombiniert. Es wird am Beispiel konkreter Softwareprodukte (Sun Identity Manager, OpenLPAP, MIT Kerberos 5) gezeigt, dass die Integration beliebiger Ressourcen in diese Struktur möglich ist und dass dadurch Administrationsaufwand und Kosten verringert und die Sicherheit erhöht werden. In Abschnitt wird gezeigt, dass die Modellierung von Geschäftsprozessen für die Konsolidierung von Zugangskontrollsystemen dringend notwendig ist. Die Geschäftsprozessmodellierung ist aber nicht Thema dieser Arbeit und wird daher inhaltlich nicht weiter betrachtet. Aus diesem Grund werden keine Verfahren für die Festlegung von Zugriffsrechten beschrieben; wohl aber für die Umsetzung. Der Autor betrachtet sowohl die Geschäftsprozessmodellierung als auch die Festlegung, welche Person welche Zugriffsrechte hat, als bereits abgeschlossene Phasen der Konsolidierung. 1

8 Anschließend werden aktuelle Technologien für das Identitäts- und Zutrittskontrollmanagement vorgestellt. Dabei wird der Fokus auf Technologien gelegt, die in vielen Systemen bereits erfolgreich eingesetzt werden, damit ein Gesamtsystem mit möglichst guter Interoperabilität entsteht. Aus diesem Angebot werden einige Technologien und Verfahren ausgewählt, die zur Implementierung des zentralen Identitätsmanagementsystems verwendet werden. Bevor das System implementiert wird, beschreibt der Autor in Abschnitt 4 ein Beispielnetzwerk, da die Eigenschaften eines neuen Identitätsmanagementkonzepts nicht an einem abstrakten System untersucht werden können. Um trotzdem größtmögliche Allgemeinheit zu erreichen, werden viele verschiedene Arten von Teilsystemen betrachtet (vgl. Abschnitt 4.2), von denen jeweils ein konkreter Vertreter in das Gesamtsystem eingebunden wird. Dadurch soll die größtmögliche Übertragbarkeit der Ergebnisse auf konkrete Netzwerke ermöglicht werden. Die Arbeit wird mit einer Betrachtung der Eigenschaften sowohl des implementierten Systems als auch des zu Grunde liegenden Konzepts abgeschlossen. Dies beinhaltet auch eine Spekulation über die weitere Entwicklung der Technologien in diesem Umfeld und die Möglichkeiten, das hier vorgestellte Konzept auch zukünftig nach modernen Maßstäben implementieren zu können. 1.3 Begriffe In dieser Arbeit werden Begriffe benutzt, die in anderen Kontexten zum Teil eine andere Bedeutung haben können. Aus diesem Grund werden nachfolgend einige in dieser Arbeit verwendete Begriffe eingeführt und deren Bedeutung erklärt. Benutzer: Ein Benutzer ist die abstrakte Sicht auf das Aktivum, dass den Zugriff auf eine Ressource durchführt. Die technische Umsetzung eines Benutzers ist stets ein Prozess, wobei unter dem Begriff des Benutzers sowohl der Prozess als auch die Person, die den Prozess gestartet hat, gemeint sind. Wenn in der Arbeit von einer Person die Rede ist, dann ist immer ein Mensch gemeint. Organisation: Eine Organisation ist der Kontext, in dem Benutzer verwaltet werden. In der Praxis sind das hauptsächlich Unternehmen oder Behörden. In der Fachliteratur triff man häufig den Begriff Service Provider. Darunter ist eine Organisation zu verstehen, die Dienste für eine nicht geschlossene Benutzergruppe erbringt, wie zum Beispiel ein werbefinanziertes -Konto. Im Rahmen dieser Arbeit werden jedoch nur Organisationen betrachtet, deren Ressourcen nicht öffentlich, sondern nur für eine geschlossene Benutzergruppe zugänglich sind. Shared Secret: Wissen, über das genau zwei Kommunikationspartner verfügen, wird als Shared Secret bezeichnet. Das kann beispielsweise ein symmetrischer Schlüssel sein. Credential: Bei jeder Authentifizierung ist ein Beglaubigungsnachweis erforderlich. In der (nicht nur englischsprachigen) Fachliteratur wird der Begriff Credential häufig als Abstraktion für Passwort verwendet. In dieser Arbeit ist Credential ein Oberbegriff für die Datenmenge, die für die Authentifizierung benutzt wird. Das beinhaltet u.a. biometrische Merkmale, Chipkarten und Passwörter. 2 Konzepte Identity Management und Access Management 2.1 Phasen der Zugriffskontrolle Ein Netzwerk ist, einfach formuliert, eine Menge von Rechnern, die dazu in der Lage sind, untereinander Daten auszutauschen. Wie in [Tan00] ausführlich beschrieben ist, werden Netzwerke in Unternehmen eingesetzt, um Ressourcen gemeinsam zu nutzen, hohe Zuverlässigkeit zu gewähren und Kosten einzusparen. Da mittlerweile nahezu jedes Unternehmen ein eigenes Netzwerk betreibt, gehört es mittlerweile zum Alltag, dass Informationen und Dokumente zwischen 2

9 Unternehmen per , FTP oder HTTP ausgetauscht werden. In Bereichen wie etwa der Fertigungsindustrie werden Warenwirtschaftssysteme eingesetzt, die sich über mehrere Unternehmen erstrecken, so dass eine gesamte Wertschöpfungskette von der Gewinnung der Rohmaterialien bis zum Kundendienst abgebildet werden kann. Hier stellen Unternehmen ihre Netzwerkressourcen nicht nur den eigenen Mitarbeitern, sondern auch anderen Unternehmen zur Verfügung. In diesem komplexen Umfeld muss sichergestellt werden, dass ein Mitarbeiter auf Ressourcen (interne oder externe) genau im Rahmen seiner Tätigkeit zugreifen können muss. Diese Anforderung wird durch Zugriffskontrolle realisiert. Ein Zugriffskontrollsystem kann als Funktion von der Menge der Nutzer auf die Menge der Zugriffsrechte betrachtet werden. Der Zugriff auf eine Netzwerkressource wird kontrolliert, indem zunächst ermittelt wird, welcher Nutzer die Ressource verwendet möchte. Anschließend wird die Funktion auf den Nutzer angewendet und es wird überprüft, ob der erwünscht Zugriff im Funktionswert enthalten ist. Zugriffskontrolle wird demnach in den zwei Phasen 1. Identifizierung Authentifizierung 2. Umsetzen von Zugriffsrechten durchgeführt. In den nachfolgenden Abschnitten werden die Grundideen beider Phasen erläutert, ohne auf Möglichkeiten der technischen Umsetzung einzugehen. Im Abschnitt 3 werden aktuelle Technologien beschrieben, die zur Realisierung eines Zugriffskontrollsystems genutzt werden können. 2.2 Begriff der Identität Philosophische Betrachtungen Die etymologische Herkunft des Wortes Identität kann bis auf das lateinische Adjektiv īdem zurückverfolgt werden ([KS02]). Dieses bedeutet der-, die-, dasselbe, der gleiche und wird im lat. Sprachgebrauch besonders zur Bezeichnung der Einheit des Subjekts [SPS94] genutzt. Das philosophische Problem der Identität eines Objekts (Satz der Identität des Ununterscheidbaren, principium identitatis indiscernibilium) wird bereits in der griechischen Antike betrachtet. Die moderne Auffassung, was unter Identität zu verstehen ist, entstammt aus der Arbeit Discours de Métaphysique von Wilhelm Gottfried Leibniz. Hierin gibt Leibniz dem Theologen und Philosophen Thomas von Aquin Recht in der Behauptung quod ibi omne individuum sit species infima ( Alle Unterschiede sind wesentlich, unveränderlich und vollkommen deutlich [Spe92]). Außerdem wird diese Aussage auf alle Substanzen erweitert ( est vrai de toutes les substances [Lei86]), was sehr bedeutend ist, da Aquin sich auf nicht materielle Objekte ( des anges ou intelligences [Lei86]) beschränkt hatte. Heute wird dieses Leibniz-Gesetz genannte Prinzip vereinfacht mit der Aussage, dass zwei Objekt identisch sind, wenn all Ihre Eigenschaften gleich sind. Mathematisch lässt sich das in der Formel F(Fx Fy) x = y darstellen, wobei hier F eine Funktion ist, die ein Objekt auf eine seiner Eigenschaften abbildet und x und y die zu vergleichenden Objekte sind. Die Frage, ob x und y überhaupt identisch sein können im Sinne der Definition (gleiche Eigenschaften), obwohl sie doch verschiedene Namen haben, erscheint etwas spöttisch, ist aber der Punkt, worüber gegenwärtig Uneinigkeit in der Fachwelt herrscht. Betrachtet man x und y als Namen für Speicherplätze, dann unterscheiden sich die darin gespeicherten Werte offensichtlich durch ihre (physische Position). Wenn man sowohl Zeit als auch Ort in die Menge der zu vergleichenden Eigenschaften der Objekt einbezieht, wird die Definition der Identität deutlich restriktiver, denn dann können keine zwei Objekte identisch sein (vgl. Abbildung 2.1(a)). Alternativ könnte man auch x und y nur als von den Objekten losgelöste Referenzen (ähnlich einer Adresse) betrachten. Nach einer Anpassung des Typs von F ist hier sogar mit der o.g. Einschränkung (Zeit und Ort) eine Identität der von x und y referenzierten Objekte möglich, da ja beide Referenzen auf genau ein Objekt verweisen können (vgl. Abbildung 2.1(b) und (c)). 3

10 x y x y x y (a) zwei Objekte (b) Referenzen auf zwei Objekte Abbildung 2.1: Identität zweier Objekte (c) zwei Referenzen auf ein Objekt In der Praxis der Zugangskontrolle in Rechnernetzen werden Objekte und Subjekte über ihre Namen identifiziert, d.h. die bevorzugte Variante, zwei Objekte voneinander zu unterscheiden ist, die Namen der Objekte zu vergleichen. Interessant in diesem Zusammenhang ist jedoch, dass Objekte in Rechnernetzen kopiert werden können, sodass ein Objekt zur gleichen Zeit an verschiedenen Orten existieren kann. Der Speicherort bestimmter Objekte ist in diesem Kontext keine Eigenschaft, die zum Bestimmen der Identität von Objekten genutzt wird. Das scheint insgesamt widersprüchlich zu sein. Gemäß der in dieser Arbeit verwendeten Definition einer digitalen Identität (vgl. Abschnitt 2.2.3) ist der Speicherort bei der Unterscheidung zweier Identitäten ohne Bedeutung. Zur Identifikation von Objekten wird ein Identifikator benutzt, der einen atomaren Wert darstellt. Alle anderen Eigenschaften von Objekten werden insofern als losgelöst von der Identität betrachtet, dass sie nicht zur eindeutigen Unterscheidung von Objekten geeignet sind Identität von Personen Zur Bestimmung der Identität von Personen werden je nach Kontext unterschiedliche Merkmale der Person genutzt: 4 Der Vorname einer Person wird häufig im familiären Umfeld und Freundeskreis genutzt. Erste Probleme treten hier auf, wenn der Vorname nicht eindeutig ist. Beim Umgang mit weniger nahe stehenden Personen (z.b. unter Kollegen) wird häufig eher der Nachname zur Identifikation genutzt. Falls dieser nicht eindeutig ist insbesondere nicht im direkten Gespräch, sondern bei der Verwendung in der 3. Person wird der Vorname mit genutzt. Ansonsten gilt es im deutschsprachigen Raum als unfreundlich, fremde Personen ohne Absprache beim Vornamen zu nennen. Es ist zu beachten, dass der Aufbau des Namens als auch die kontextspezifische Verwendung einzelner Namensbestandteile zwischen einzelnen Kulturen stark variiert. Das ist wichtig bei der Nutzung von Namen für die Identifikation in Rechnernetzen. Da Namen allein nicht immer eindeutig sind, vor allem, wenn es um den Umgang mit vielen Identitäten geht (z.b. im Gesundheitsumfeld), wird häufig eine Kombination aus Name, Vorname, Geburtsdatum und Geburtsort als Identifikationsmerkmal verwendet. Das ist insbesondere dann günstig, wenn die Identität der Person nur für kurze Zeit wichtig ist, z.b. in Blutspendezentren. Hier ist es teilweise üblich, einen Teil der o.g. Kombination, z.b. das Geburtsdatum, zur Authentifikation zu nutzen. Dieses Schema kann allerdings nicht verwendet werden, wenn der Vorwurf des Missbrauchs dieser Daten vermieden werden soll. Ein Bereich, in dem dieses Problem beispielsweise auftritt, ist das Prüfungsamt einer Hochschule. Im Idealfall kann ein Dozent, der eine Prüfung korrigiert, nur eine Zuordnung der Arbeit zu einer Matrikelnummer treffen, was dazu führt, dass die Bewertung einer Arbeit nicht davon beeinflusst werden kann, ob der Dozent den Studenten mehr oder weniger mag. Auch im Teilbereichen der Krankenkassen werden Nummern genutzt, um Kunden zu verwalten, da Mitarbeiter der Krankenkassen zwar Abrechnung der Ärzte und Krankenhäuser bekommen, jedoch keine Rückschlüsse auf den Gesundheitszustand einer konkreten Person ziehen können dürfen. Im Bereich der Personalverwaltung wird nahezu ausschließlich eine Mitarbeiternummer zur Identifikation verwendet, was u.a. deswegen sehr günstig ist, weil es das Problem der nicht

11 eindeutigen Namen löst. Außerdem kann so sichergestellt werden, dass nur bestimmte Mitarbeiter der Personalabteilung vertrauenswürdige Daten (z.b. Gehalt) konkreten Kollegen zuordnen können. Die Behörden der Bundesrepublik Deutschland nutzen Daten, die auf den Personalausweis gedruckt sind, zur Identifikation. Das kann die Personalausweisnummer sein, oder eine Kombination aus Detaildaten wie Name, Vorname und Hauptwohnsitz. Der Ausweis selbst wird hierbei zur Authentifizierung genutzt. Es ließen sich noch weitere Beispiele nennen, wie Personen identifiziert werden. Interessant ist ein Muster, dass man jedoch überall entdeckt, wenn Personen eindeutig identifiziert werden müssen: These: Zur Identifikation einer konkreten Person aus einer großen Menge von Personen ist ein eindeutiger, atomarer Wert notwendig. Mit Eindeutigkeit ist hier gemeint, dass die Relation zwischen Identifikationsmerkmal und Person rechtseindeutig sein muss. Zusätzlich sollte diese Relation linkseindeutig sein, damit zu einer konkreten Person der Identifikator bestimmt werden kann. Jede Person sollte beispielsweise nicht mehr als eine Sozialversicherungsnummer haben. Die Forderung, dass der Wert atomar sein muss, ergibt sich aus der Forderung nach Linkseindeutigkeit. Für den Fall, dass zur Identifikation eine Kombination aus n Merkmalen genutzt wird, ist der eindeutige, atomare Identifikator ein n-tupel. Nur ein Teil des Tupels kann nicht als Identifikator genutzt werden. Die Person ist von Ihrem Identifikator voll funktional abhängig Digitale Identität Aus technischer Sicht ist eine Identität zunächst ein Datensatz oder eine Menge von Datensätzen, die gemäß [Cho04] folgende Daten enthalten müssen: 1. Identitifier: atomares Feld, das genutzt wird, um eine Identifikation durchzuführen 2. Credentials: Daten, die für die Authentifizierung benötigt werden. Das könnte beispielsweise ein Passwort sein, ein X.509-Zertifikat oder gespeicherte biometrische Merkmale 3. Core Attributes: Eigenschaften, die die Identität näher beschreiben. Chong nennt hier Adresse und Telefonnummer als typische Beispiele 4. Context-Specific Attributes: Eigenschaften, die in bestimmten Kontexten zur näheren Beschreibung der Identität hilfreich sind. Typisches Beispiel sind Daten, die nur von der Personalverwaltung benötigt werden. 2.3 Identity Management Process Die Entscheidung, in einem Netzwerk ein zentrales Identitätsmanagement einzuführen, ist der erste Schritt in einem Prozess, dessen Aufgabe die ständige Verbesserung des Identitätsmanagement ist. In der Praxis wird man diesen Prozess nie zu Ende führen können, weil das Ziel ein optimal an die Organisation angepasstes Identitätsmanagementsystem nicht erreichbar ist. Das liegt in der Natur der Geschäftswelt begründet, dass Anforderungen an Netzwerke ständig verändert werden. Der Identity Management Process und seine Probleme werden in diesem Abschnitt beschrieben Lebenszyklus einer digitalen Identität Die digitale Identität als Datensatz durchläuft einen Lebenszyklus, der prinzipiell in 5 Abschnitte eingeteilt werden kann (siehe Abbildung 2.2, vgl. [Win05]). Bei der Bezeichung der einzelnen Abschnitte wurde die englische Bezeichnung aus der Fachliteratur übernommen, da die entsprechenden Termini auch als Funktionsbezeichnung in konkreten Softwareprodukten Verwendung finden. Nachfolgend werden die Abschnitte in der Reihenfolge, in der sie durchlaufen werden, beschrieben. 5

12 Provision Propagate Use Deprovision Maintain Abbildung 2.2: Lebenszyklus einer digitalen Identität, entlehnt nach [Win05], S. 99 Provision Während dieser Phase wird der Datensatz, der die digitale Identität beschreibt, angelegt und dessen Datenfelder (bzw. Attribute) mit Werten gefüllt. Es wird in jedem Fall ein Benutzername festgelegt und eventuell ein Identifikator, den das System intern nutzt, mit dem Datensatz verknüpft. Ebenfalls notwendig ist die Speicherung eines Authentifizierungsmerkmals, wie etwa eines Passworts oder eines X.509-Zertifikats. Je nachdem, wie die Identität später genutzt werden soll, werden zusätzliche Informationen wie Vorname, Nachname, -Adresse, Telefonnummer, Adresse o.ä. aufgenommen. Es wird festgelegt, welche Berechtigungen mit der Identität verknüpft sind und dies entsprechend im System eingetragen. Propagate Anschließend werden die Änderungen an alle Systeme, die die digitalen Identitäten benötigen, verteilt. Je nach Art des Systems kann das bedeuten, dass Kopien der digitalen Identität verteilt werden (wie beispielsweise bei NIS). Es ist auch möglich, dass nur Nachrichten verschickt werden und sich die angeschlossen Systemen bei Bedarf die nötigen Daten nachladen. Bei einigen Systemen (bspw. bei LDAP-Authentifizierung mit nur einem Server) kann diese Phase u.u. komplett entfallen. Use Dies ist die Phase, in der die digitale Identität ihrem Zweck entsprechend genutzt wird. In den meisten Fällen ist das die Identifizierung und Authentifizierung von Benutzern, die eine Ressource nutzen wollen. Maintain In der Praxis treten regelmäßig Änderungen an der gewünschten Nutzung der digitalen Identität auf. Das können u.a. Änderungen von Authentifizierungsmerkmalen, z.b. Passwörtern Zugriffrechten Adress- und Kontaktdaten sein. Es ist erforderlich, dass die Änderungen wieder an alle angeschlossen Systeme verteilt werden, daher schließt sich an den Maintain-Abschnitt direkt der Propagate-Abschnitt an. Während der Lebensdauer einer digitalen Identität kann der Zyklus Propate-Use-Maintain beliebig oft durchlaufen werden. Deprovision Wenn die digitale Identität nicht mehr benötigt wird, weil z.b. die zugehörige reale Person aus der Organisation ausgeschieden ist, dann wird der Lebenszyklus mit dem Deprovision- Abschnitt abgeschlossen. Das bedeutet nicht zwangsläufig, dass der Datensatz komplett gelöscht wird. In vielen Fällen z.b. um Revisionssicherheit zu gewährleisten wird die digitale Identität noch benötigt. Es ist aber trotzdem erwünscht, dass sie nicht mehr für die Authentifizierung genutzt werden kann, also sollte das entsprechende Benutzerkonto gesperrt werden. Erst, wenn die Identität auch für informative Zwecke nicht mehr benötigt wird, kann der Datensatz aus dem System gelöscht werden. Die einzelnen Abschnitte im oben beschriebenen Lebenszyklus unterliegen gesetzlichen Regelungen, die bei der praktischen Umsetzung zu beachten sind (vgl. Abschnitt 4.4). 6

13 2.3.2 Geschäftsprozesse Identitätsdaten sind kein Selbstzweck, sondern werden benötigt, um Geschäftsprozesse zu unterstützen [Win05]. Dass bei der Kontrolle des Zugriffs auf Ressourcen Identitätsdaten benötigt werden ist offensichtlich. Die Geschäftsprozesse eines Unternehmens oder einer Einrichtung können grob in zwei Bereiche aufgeteilt werden. Kernprozesse Zu diesem Bereich werden Geschäftsprozesse gezählt, durch die die eigentliche Aufgabe der Organisation realisiert wird. In einem Systemhaus gehören z.b. die Abgabe eines Angebots bei einer Ausschreibung oder die Einrichtung eines Server-Systems zu diesem Bereich. In diesem Beispiel könnten folgende Identitätsdaten Verwendung finden: Kundendaten: Offensichtlich werden bei beiden Vorgängen Daten des Kunden, z.b. die Adresse, verwendet. Im Fall der Ausschreibung könnte zusätzlich interessant sein, welche Präferenzen der Auftraggeber in Bezug auf die ausgeschriebene Leistung hat. Die Nutzung solcher Daten gehört in den Bereich Customer Relationship Management (CRM) und wird in dieser Arbeit nicht gesondert betrachtet. Dennoch ist CRM ein Teilbereich des Identitätsmanagement: es werden Daten der juristischen Person des Kunden gespeichert. Ansprechpartner: Meistens wird bei einem Vorgang wie einer Ausschreibung gespeichert, welcher Mitarbeiter den Vorgang bearbeitet; sowohl auf der Seite des Auftraggebers als auch auf Seite des Auftragnehmers. Das ermöglicht es beiden Seiten, bei Rückfragen einen Ansprechpartner zu haben, der über den gesamten Vorgang bereits informiert ist und sofort weiterhelfen kann. Zusätzlich kann man erkennen, welche (Verkaufs-)Mitarbeiter weniger oder besonders erfolgreich sind. Darüber hinaus sind in vielen Unternehmen einige Mitarbeiter für die Betreuung eines bestimmten Kundenkreises oder gar eines einzelnen Kunden (Key Account Manager) verantwortlich. Andersherum ist es vorstellbar, dass der Kunde die Möglichkeit hat, z.b. über eine Website Probleme des eingerichteten Serversystems zu beschreiben und die Bearbeitung der Problemlösung zu beobachten. Diese Site würde eine Kommunikationsschnittstelle zwischen den Ansprechpartnern sowohl des Dienstleisters als auch des Kunden sein. Anmeldeinformationen: Eventuell hat der Dienstleister ein Benutzerkonto auf dem eingerichteten Server, um bei Problemen (notfalls aus der Ferne) Unterstützung bieten zu können. Hier müssen die Informationen zu dem Benutzerkonto einerseits seitens des Dienstleisters gespeichert werden; aber auch der Kunde muss wissen, welche Möglichkeiten des Zugriffs der Dienstleister im Netzwerk hat. Unterstützende- und Managementprozesse Damit ein Unternehmen Produkte herstellen oder Dienstleistungen anbieten kann, müssen die im Kernbereich arbeitenden Mitarbeiter sich so gut wie möglich auf Ihre Arbeit konzentrieren können. Alle Arbeiten, die im Hintergrund anfallen wie Personalmanagement, Buchführung oder Sicherstellung der Betriebsfähigkeit der Produktionsmittel wie Maschinen oder Computer kosten viel Geld und nutzen der Organisation nicht direkt, sondern indirekt, indem sie die eigentliche Wertschöpfung langfristig ermöglichen. These: Es ist nicht möglich, die Verwaltung von Identitätsdaten zu zentralisieren, wenn die Geschäftsprozesse des Unternehmens nicht definiert sind. Bevor Identitätsmanagementsysteme eingeführt werden können, muss klar sein, welche Identitätsdaten überhaupt gebraucht werden. Es muss außerdem festgelegt werden, welcher Mitarbeiter Zugriff auf welche Daten haben muss. Dazu ist es unbedingt erforderlich, dass die Geschäftsprozesse der Organisation ausreichend beschrieben sind. Um die Bedeutung dieser Abhängigkeit klar zu machen, soll der Sachverhalt noch einmal anders formuliert werden: Existiert keine Beschreibung von Geschäftsprozessen, dann weiß niemand in der Organisation, welche Daten wann und wo benötigt werden. Es gäbe dann auch keinen Grund, ein System zur zentralen Verwaltung von Daten einzurichten, weil ja gar nicht klar ist, wie und vor allem warum das System genutzt werden soll. 7

14 Identity Management Architecture In [Win05] wird das Konzept der Identity Management Architecture (IMA) vorgestellt. Es handelt sich hierbei um Ideen und Methoden zur Entwicklung verständlicher Pläne, Prozesse und einer Infratruktur für Identitätsmanagement ( [...]ideas and methodology involved in creating one for developing comprehensive plans, processes, and infrastructure for identity management., vgl. [Win05], S. 134). Konkrete Bestandteile der Architektur sind u.a. IMA lifecycle: Beschreibung des Lebenszyklus einer IMA. Hier werden Geschäftsprozesse genannt und beschrieben, die direkt an der Gestaltung des Identitätsmanagementsystems beteiligt sind. IMA governance model: Die Einrichtung eines Identity Management System (IMS) in einer Organisation erfordert die Zusammenarbeit mehrerer Personen und Interessengruppen, z.b. Geschäftsführung/Direktion, Administration, Verwaltung und Betriebsrat/Personalrat. In der IMA werden die Rollen Audience, Champion, Overseer, Manager, IMA team, Communicator, Advisor, Reviewer und Auditor beschrieben. Jede aktiv beteiligte Person kann im IMA-Prozess eine oder mehrere dieser Rollen spielen und hat dementsprechend bestimmte Verantwortlichkeiten. Alle Personen, die eine bestimmte Rolle haben, werden zu einer Gruppe zusammengefasst. Im IMA governance model wird beschrieben, wie die Veratwortlichkeiten verteilt sind und welche Gruppen miteinander welche Daten austauschen (vgl. [Win05], S. 146). Es ist anzumerken, dass dieses Modell und auch die Rollen an die jeweiligen Bedürfnisse der Organisation angepasst werden müssen. Business Function Matrix: Eine Business Function Matrix (BFM) beschreibt eine Abbildung von Teilen einer Organisation auf deren Funktionen/Aufgaben. Diese Matrix wird durch Analyse der Geschäftsprozesse gebildet und anschließend vereinfacht mit dem Ziel, die Infrastruktur an den Bedürfnissen des Geschäfts ausrichten zu können. Inhalt der Matrix muss also letztlich sein, Wer innerhalb der Organisation Wann und Warum auf welche Daten zugreifen können muss. Die Einführung einer zentralen Identitätsverwaltung ist vornehmlich ein Ansatz zur Lösung organisatorischer Probleme (vgl. Abschnitt 2.4) und wird also primär mit organisatorischen Mitteln durchgeführt. Aufgrund der fortgeschrittenen Entwicklung existiert die Möglichkeit (und Notwendigkeit), Computer für die Verwaltung der Datenmengen und Kontrolle des Zugriffs auf computerbasierte Ressourcen zu verwenden. Der Autor betrachtet in dieser Arbeit nur die technischen Möglichkeiten, die zu diesem Zweck zur Verfügung stehen, jedoch nicht die notwendigen organisatorischen Maßnahmen. 2.4 Gründe für zentrale Identitätsverwaltung Für jeden Geschäftsbereich einer Organisation existiert eine Menge von Identitäten, die auf bestimmte Ressourcen zugreifen darf. Die Identitäten eines Geschäftsbereichs werden in einem Repository gespeichert. Zur Verwaltung der Identitäten werden (bewusst oder unbewusst) Geschäftsprozesse durchgeführt, die eine wie in Abschnitt beschriebene IMA implementieren. In der Praxis kann man sogar die Einrichtung mehrerer unabhängiger Repositories innerhalb eines Geschäftsbereichs einer Organisation beobachten. Das führt letztendlich zu höheren Kosten in der Verwaltung der Identitäten und zu der Frage, ob sich durch Zusammenlegen der Repositories Kosten sparen lassen. Wenn die zentrale Speicherung von Identitäten kostengünstiger ist als die dezentrale Speicherung, sollte eine Konsolidierung durchgeführt werden. Wichtig bei der Entscheidung ist die Auswahl der Kostenfaktoren: Kosten für Hardware, Software, Support: Je weniger Repositories eingesetzt werden, desto weniger Server und Softwarelizenzen müssen gekauft werden. Dem gegenüber zu setzen ist, dass bei zentraler Identitätsverwaltung eventuell leistungsfähigere Hardware oder besondere, teurere Software beschafft werden müssen. 8

15 administrativer Aufwand: Durch die Zentralisierung der Identitätsverwaltung können die freiwerdenden personellen Ressourcen anderweitig eingesetzt werden. Es ist jedoch zu beachten, dass der Administrator des zentralen Repositories umfangreichere Kenntnisse benötigt als der Administrator eines der ersetzten Teilrepositories. Es ist mit höheren Personalkosten im Umfeld der zentralen Benutzerverwaltung und mit Kostenreduzierung bei der Administration der ersetzten Systeme zu rechnen. Sicherheit: Wenn für eine Person in einem Repository ein Datensatz angelegt wird, sollte dieser die aktuellen Eigenschaften der Person (Kontaktdaten, Zugehörigkeit zur Organisation, Zugriffsrechte) widerspiegeln. Wenn zu einer Person mehrere digitale Identitäten existieren, müssen alle diese Datensätze aktuell sein. Je mehr unabhängige Datensätze zu einer Person existieren, umso mehr Aufwand (also Kosten) ist erforderlich, um die Daten aktuell zu halten. Da die digitale Identität auch Zugriffsrechte beinhaltet, ist dies eine Frage der Sicherheit. Zentrale Speicherung von Benutzerdaten verursacht daher weniger Kosten für das Erreichen einer konkreten Sicherheitsstufe als die dezentrale Speicherung von Benutzerdaten. Man muss dabei jedoch beachten, dass zentral gespeicherte Daten ein lukratives Angriffsziel darstellen, das besonders geschützt werden muss. 2.5 Identifizierung und Authentifizierung Wie schon in Abschnitt 2.1 beschrieben wurde ist der erste Schritt in der Umsetzung von Sicherheitsrichtlinien die Identifizierung des Benutzers. Technisch betrachtet ist die Identifizierung nichts anderes als die Auswahl der digitalen Identität, die der realen Identität d.h. des Benutzers selbst zugeordnet ist. Der wichtigste Teil in dieser Phase die Kontrolle, ob der Nutzer wirklich die Identität hat, die er zu haben vorgibt wird allgemein als Authentifizierung bezeichnet. Realisiert wird das über die Abfrage einer oder mehrerer Eigenschaften der realen Identität und Vergleich mit zuvor gespeicherten Werten. Im Rahmen dieser Arbeit werden zwei Anwendungsbereiche der Authentifizierung betrachtet: lokale Anmeldung an einem Rechner und Anmeldung an einem Netzwerkdienst (Fernanmeldung). Jede Authentifizierung beinhaltet, dass eine bestimmte Eigenschaft des Nutzers abgefragt wird. Diese Eigenschaft lässt sich in eine der Gruppen Wissen, Besitz oder (körperliches) Merkmal einordnen. In Tabelle 2.5 sind verschiedene Möglichkeiten genannt, wie aktuelle Systeme die jeweiligen Authentifizierungsmethoden implementieren. Methode Wissen Besitz Merkmal Realisierung PIN, Passwort, Passphrase, Antwort auf bestimmte Frage Privater Schlüssel, Smartcard, RFID-Karte, TAN bzw. itan, etoken, SecurID Handgefäßstruktur, Gesichtsgeometrie, Iris- Scan, Retina-Scan, Fingerabdruck, Tippverhalten, DNA Tabelle 2.1: Methoden der Authentifizierung Jede der genannten Methoden hat verschiedene Vor- und Nachteile, die nachfolgend kurz erläutert werden sollen. Wissen kann relativ kostengünstig erzeugt werden. Es erfordert beispielsweise nur einen geringen zeitlichen Aufwand, sich ein Passwort auszudenken. Alle Authentifizierungsverfahren, die auf dieser Methode aufbauen, sind allerdings dem Risiko ausgesetzt, dass der Benutzer das spezielle Wissen einfach vergisst. Es entsteht hier also administrativer Aufwand, bspw. um Passwörter zurückzusetzen. Häufig wird aus diesem Grund (und aus Bequemlichkeit) ein einfaches Passwort 9

16 gewählt, was wiederum einfach durch Brute-Force-Angriffe geknackt werden kann. Daher wird häufig durch den Administrator eine maximale Gültigkeitsdauer festgesetzt, was die Nutzungsdauer eines korrumpierten Benutzerkontos beschränkt. Die regelmäßigen Passwortänderungen motivieren andererseits die Nutzer wieder dazu, sich gerade einfache Passwörter zu wählen. Eine Analyse der möglichen Ursachen in [Wes08] kommt zu dem Schluss, dass Benutzer bestehende Risiken häufig zu niedrig bewerten und daher die niedrigen Kosten eines einfachen Passworts inkl. des niedrigen Risikos eines Sicherheitsvorfalls mit den damit verbundenen Kosten den sicheren Kosten eines guten Passworts vorziehen ( When there is a potential loss in a poor security decision compared to the guaranteed loss of making the pro-security decision, the user may be inclined to take the risk. ). Andere Realisierungen, wie z.b. PINs, bieten sehr selten die Möglichkeit, das spezielle Wissen regelmäßig zu ändern. Um trotzdem dem Problem der Bruts-Force-Angriffe begegnen zu können, kann man längere Zeichenketten (Passphrase, Antwort auf Frage) einsetzen. Hier entsteht wieder eine neue Sicherheitslücke: Aus Benutzbarkeitsgründen muss man eine längere Zeichenkette bei der Eingabe auf dem Bildschirm anzeigen, was das Mitlesen durch zufällig anwesende Personen ermöglicht. Zusammenfassend kann man also sagen, dass die Methode Wissen eine geringe Sicherheit bietet, einem gezielten Angriff jedoch nur schwer standhalten kann. Trotzdem steht eine sehr preiswerte und robuste Methode zur Verfügung, den Zugang zu Systemen zu kontrollieren. Besitz kann weder einfach kopiert noch selbst erzeugt werden. Wenn spezieller Besitz gestohlen wird oder verloren geht, wird das dem Besitzer meistens früher oder später bewusst. Es ist also sehr schwierig, ein Authentifizierungsverfahren, dass auf Besitz basiert, zu überlisten. Noch schwieriger ist, diese Sicherheitsverletzung unbemerkt zu begehen. Es steht hier eine ziemlich sichere und auch robuste Authentifizierungsmethode zur Verfügung. Der Nachteil hier sind die Kosten. Würde man beispielsweise in einem Netzwerk mit 1000 Benutzern jedem Benutzer ein etoken im Wert von 100ezur Verfügung gestellt werden, wären die Kosten höher als die jährlichen Personalkosten für einen Administrator zum Pflegen von Kennwörten. Wenn die Fluktuationsrate der Nutzer im Netzwerk hoch ist, muss gefragt werden, ob der Wert der zu schützenden Daten noch höher ist als der Aufwand, der zum Schutz betrieben wird. Merkmale haben gegenüber den beiden anderen Methoden den Vorteil, dass sie theoretisch nicht kopiert werden können und auch kein Geld kosten (abgesehen von den Lesegeräten). Man scheint hier die Methode mit der maximalen Sicherheit und den niedrigsten Kosten gefunden zu haben. Leider gibt es einige Probleme beim Nutzen biometrischer Merkmale für die Authentifizierung: Die Bereitschaft dafür, die digitale Kopie eines biometrischen Merkmals in einer fremden Datenbank abzulegen, ist bei vielen Personen nicht sehr hoch. Der Computer Chaos Club hat in [CCC04] gezeigt, dass es möglich ist, mit einem Laserdrucker, Projektorfolie und Holzkaltleim einen zuvor eingescannten Fingerabdruck zu kopieren. Mit diesem Abdruck wurde eine erfolgreiche Authentifierung durchgeführt. Experimente wie diese zeigen, dass es möglich ist, bestimmte biometrische Authentifizierungsverfahren zu umgehen und im Namen einer anderen Person bestimmte Handlungen (auch Straftaten) durchzuführen. Biometrie ist das Messen bestimmter physischer Merkmale eines Individuums. Die Nutzung für die Authentifizierung erfordert einerseits die sehr präzise Messung, andererseits auch den korrekten Umgang der Systeme mit Veränderungen der gemessenen Merkmale. So könnte eine Person sich z.b. eine Narbe zuziehen, wodurch sich der Fingerabdruck ändert. In [BioP2] wurde weiterhin festgestellt, dass der Einfluss von Alterungseffekten auf die Erkennungsleistung biometrischer Systeme bisher noch nicht ausreichend untersucht ist. Es ist also gegenwärtig mit einer hohen Fehlerrate (hauptsächlich Falschrückweisungsrate, vgl. [BioP2]) zu rechnen, was den Einsatz biometrischer Authentifizierungssysteme in der Praxis auf die Bereiche einschränkt, in denen man das gerne in Kauf nimmt, um höhere Sicherheit zu erhalten, wie etwa im militärischen Umfeld. 10

17 Frühe Authentifizierungssysteme waren sehr tolerant bei der Messung biometrischer Merkmale und konnten leicht umgangen werden. Aus schlechten Erfahrungen heraus wird mittlerweile geprüft, ob der Mensch, von dem gerade ein biometrisches Merkmal gemessen wird, noch am Leben ist (z.b. über Pulsmessung beim Fingerabdrucklesen). Solche Probleme verschlechtern die Akzeptanz biometrischer Zugangssysteme, was gemäß [BioP2] eine eine wesentliche Vorraussetzung für den erfolgreichen Einsatz biometrischer Verfahren ist. Nahezu alle Studien, die bisher die Nutzbarkeit der Biometrie untersucht haben, haben sich darauf konzentriert, die technische Umsetzbarkeit also Fehlerraten (false positives und false negatives) zu testen. Dem Autor sind jedoch momentan keine Studien bekannt, die testen, inwieweit biometrische Systeme in der Praxis den Zugang auf autorisierte Personen wirksam einschränken. Es gibt jedoch Einzelbeispiele, die zeigen, dass der Einsatz biometrischer Merkmale für die Authentifizierung das Risiko des Merkmalsträgers für einen physischen Angriff erhöhen (vgl. [Mau08]). Fazit Ein Authentifizierungsvorgang ist umso verlässlicher, je fester das Authentifizierungsmerkmal mit der Person verbunden ist. So lässt sich eine Chipkarte leichter nachmachen als bspw. ein genetischer Fingerabdruck. Dies scheint eine Tendenz aufzuzeigen, dass Passwörter, die sich am leichtesten kopieren bzw. knacken lassen, veraltet und unsicher erscheinen. In [Mau08] wurde gezeigt, dass praktisch alle Authentifizierungssysteme auf geheimen Informationen beruhen, die stark mit dem Besitzer zusammenhängen. In dem Sinne sind auch der private Schlüssel, der auf einer Smart-Card gespeichert ist oder ein Fingerabdruck nur Informationen, die man theoretisch lesen oder kopieren kann. Der theoretische Angriffspunkt gegen alle Authentifizierungssystem ist also, die Beziehung zwischen Authentifizierungsmerkmal und Merkmalsträger zu lockern, sei es durch Auslesen geheimer Daten, Diebstahl von Gegenständen o.a. Mittel. In Bezug auf Authentifizierung über das Prinzip Besitz stellt der Autor von von [Mau08] zusammenfassend fest, dass bei entsprechend attraktiven Angriffszielen [...] die Angriffsmethoden schnell von der virtuellen auf die physische Ebene und in die Nähe des Objektträgers, bis in den Bereich des Personenschutzes hinein verlagern. Ähnlich klingt das Urteil über biometrische Verfahren, die Sicherheitsfragen klar in die Ebene des Personenschutzes der Merkmalsträger [verlagern], womit sich nach Meinung des Autors Das Thema Biometrie als ernst zu nehmendes Authentifikationsmittel [...] in der Kosten/Nutzen-Abwägung [...] erledigt hat. An dieser Stelle sei auf die sehr interessanten Beispiele in [Mau08] verwiesen, wo u.a. gezeigt wird, dass selbst die Kombination aller drei Authentisierungsklassen [unzulänglich] sein kann. Im Rahmen dieser Arbei werden ausschließlich passwortbasierte Zugangskontrollsysteme betrachtet. Dies ist keine Einschränkung, da, wie in [Mau08] gezeigt, alle drei Authentifizierungsmethoden auf geschützen Informationen beruhen und sich nur durch Ihre technische Umsetzung unterscheiden. Die Probleme der sicheren Speicherung des Authentifizierungsmerkmals und der verlässlichen Überprüfung desselben müssen jedoch bei allen drei Methoden gelöst werden. 2.6 Zugriffsschutz Der Zugriff auf Ressourcen in einem Netzwerk wird durch eine Hardware oder Software kontrolliert, die sich wie ein Proxy (vgl. [GoF01]) verhält. Dabei wird eine Anfrage an eine Ressource zunächst von diesem Proxy empfangen, der dann auch entscheidet, ob die Anfrage weitergeleitet oder abgewiesen wird. In [And72] wird für die Kontrollinstanz der Name Referenzmonitor (Reference Monitor) eingeführt. Die Aufgabe des Referenzmonitors ist, alle Referenzen auf Ressourcen, die von einem Prozess angelegt werden, zu authoriseren ( [A reference monitor] is a continuously invoked validation that all references made by a user s program or any (executive) program operating on a users s behalf, are authorized for that user, vgl. [And72], S. 18). In Abbildung 2.3 wird allgemein dargestellt, an welcher Stelle beim Zugriff auf eine Ressource der Referenzmonitor arbeitet. An Stelle des Nutzers, des Nutzerprozesses oder eines Schutzbereichs ist hier der Principal gerückt, der einfach nur eine eindeutig identifizierbare, aktive Entität 11

18 Principal Operation Reference Monitor Resource Abbildung 2.3: Prinzip des Referenzmonitors, nach [Ben05] ist. Ein Principal 1 kann dabei eine Person, die einen Computer bedient; ein Programm oder ein Computer selbst sein. Von konkreten technischen Details wird im Allgemeinen abstrahiert, indem man Ressourcen als Objekte bezeichnet und den Nutzer der Ressource, sei es ein Programm oder eine Person, Subjekt nennt Aufbau des Reference Monitor Für die weiteren Betrachtungen in dieser Arbeit ist der Aufbau des Reference Monitor von Interesse. Wie bereits beschrieben, müssen von diesem Softwarebestandteil folgende Aufgaben erfüllt werden: Identifizierung und Authentifizierung des Subjekts Identifizierung des Objekts Entscheiden, ob der Zugriff erlaubt ist und diesen entsprechend zulassen oder verhindern In [Win05] wurde das Zusammenwirken mehrerer Komponenten beschrieben, die in der Summe einen Reference Monitor implementieren. Deny/Allow 7 Credentials Request 1 Credentials Authentication PEP Yes/No 2 Authenication Server Access Request ADA PDP 4 Security Policy Identity Store Abbildung 2.4: Komponenten eines Reference Monitor, entlehnt aus Figure 2-1 aus [Win05], S.10 Die Bearbeitung eines Zugriffs auf die Ressource findet in den nachfolgend beschriebenen Schritten statt: 1. Ein Request und (nach Anfrage) Credentials werden an den Policy Enforcement Point (PEP) geschickt. Der PEP dient als Schnittstelle des Referenzmonitors für das Programm des Benutzers. 2. Die Credentials werden durch eine Komponente geprüft, die Zugriff auf die gespeicherten Credentials hat. 3. Wenn die Authentifizierung erfolgreich war, wird der Request weiter an den Policy Decision Point (PDP) geschickt. 1 Der Autor verzichtet auf eine Übersetzung des Terminus, da die Bedeutung der offensichtlichen Übersetzung Prinzipal sich von der eigentlich gemeinten Bedeutung unterscheidet. In der Fachliteratur hat sich das englische Wort Principal als Fachterminus etabliert. 12

19 6. Der PDP entscheidet mit Hilfe der Security Policy (4), ob der Zugriff für die bereits authentifizierte Identität (5) zulässig ist 7. Das Ergebnis wird dem PEP in Form einer Authorization Decision Assertion (ADA) mitgeteilt. Dieser führt den Zugriff auf die Ressource durch, falls dieser erlaubt ist, und 8. teilt dem aufrufenden Prozess das Ergebnis mit. In der Praxis wird die Authentifizierung aus Effizienzgründen nicht bei jedem Ressourcenzugriff durchgeführt. Statt dessen wird eine Sitzung erzeugt, von der aus Zugriffe ohne Authentifizierung möglich sind. Typische Implementierungen sind Login-Shells oder Transmission Control Protocol (TCP)-Verbindungen Access Control Matrix Eine einfache Möglichkeit, festzulegen, welcher Nutzer welche Aktionen mit welcher Ressource durchführen darf, ist das Anlegen einer Zugangskontrollmatrix (Access Control Matrix). Als eine der ersten Publikationen, in denen explizit eine Zugangskontrollmatrix (hier: Access Matrix) genutzt wurde, wird häufig [Lam71] genannt. Lampson nennt als Bestandteile der Matrix Reihen, die mit Bereichsnamen beschriftet sind; Spalten, die mit Objektnamen beschriftet sind; und Elemente, deren Inhalt Zeichenketten sind, die Zugriffsattribute beschreiben ( Its rows are labeled by domain names and its columns by object names. [...] Each element consists of a set of strings called access attributes; typical attributes are read, write, wakeup., vgl. [Lam71], S. 21). In [Den71] werden die Komponenten einer Zugangskontrollmatrix formal benannt: eine Menge X von Objekten ( First is a set X of objects, an object being any entity in the system that must be protected (i.e., to which access must be controlled)., vgl. [Den71], S. 206) eine Menge S von Subjekten ( The second part [...] is a set S of subjects, a subject being any entity that may access objects., vgl. [Den71], S. 206) Eine Sammlung von Zugriffsregeln R ( The third part [...] is a collection of access rules specifying the ways in which a subject may access objects., vgl. [Den71], S. 207) Es wird also von der konkreten Darstellung von Objekten, Subjekten und Zugriffsregeln abstrahiert und nur noch deren Zusammenhang untereinander betrachtet. Eine Beispiel für eine (kleine) Zugangskontrollmatrix ist in Tabelle 2.2 dargestellt. Datei 1 Datei 2 Prozess 1 Socket 1 Benutzer 1 read read wakeup read, write close Benutzer 2 read, write, delete, change permission Tabelle 2.2: Beispiel einer Zugangskontrollmatrix Der Vorteil dieses Ansatzes ist eine große Flexibilität, da nicht festgelegt ist, wie die Bestandteile der Matrix im Detail aussehen ( Because the access matrix model specifies only that there are rules (and subjects and objects and access modes), but not what the rules (or subjects or objects or access modes) are in detail, the model has great flexibility and wide applicability., vgl. [Lan81], S. 256). In diesem Modell wird die Existenz einer Funktion mit dem Typ X S R gefordert. Die Flexibilität besteht u.a. darin, dass der Implementierer entscheiden kann, auf welche Weise die Funktion berechnet wird. Da die Zugangskontrollmatrix häufig viele leere Elemente haben wird, haben sich in der Praxis zwei Varianten der Implementierung etabliert: Speicherung einer Liste von Berechtigungen für jeden Benutzer (Funktion des Typs S P(X R); Capabilities) 13

20 Speicherung einer Liste von Benutzern und zugehörigen Rechten für jede Ressource (Funktion des Typs X P(S R); Access Control List) Die Speicherung einer Liste statt einer Matrix hat die Vorteile, dass der Speicher effektiver genutzt werden kann, und das Suchen der gewünschten Regelmenge für ein konkretes Subjekt-Objekt-Paar schneller ist. Bei vielen System ist es sogar möglich, beide Ansätze kombiniert einzusetzen. Man kann zusammenfassend sagen, dass die Zugangskontrollmatrix eine theoretische Grundlage für viele der heute eingesetzten Zugangskontrollsysteme zur Verfügung stellt, wobei die praktische Umsetzung sich auf den ersten Blick stark vom ursprünglichen Ansatz unterscheidet Schutzmodelle Die Zugangskontrollmatrix stellt dar, welche Subjekte zu einem bestimmten Zeitpunkt auf welche Objekte zugreifen dürfen. Wie die Matrix zu Stande kommt und nach welchen Regeln sie im Laufe der Nutzung des Systems weiter entwickelt wird, ist Aufgabe der verschiedenen Schutzmodelle. Es existieren viele sehr verschiedene Schutzmodelle, von denen an dieser Stelle aufgrund Ihrer Relevanz nur zwei Modelle beschrieben werden. Discretionary Access Control Die Besonderheit an diesem Schutzmodell ist, dass es das Konzept des Besitztums von Objekten gibt. Für jedes Objekt existiert ein Subjekt, das Besitzer des Objekts ist. Der Besitzer legt die Zugriffsrechte auf das Objekt fest. Es gibt verschiedene Untersuchungen der Sicherheit dieses Modells, die meisten schränken jedoch die Möglichkeiten des Modells ein, um eine Aussage treffen zu können. In [HRU76] wurde gezeigt, dass es nicht entscheidbar ist, ob eine bestimmte Konfiguration eines gegebenen Schutzssystems für eine bestimmte Berechtigung sicher ist ( It is undecible whether a given configuration of a given protection system is safe for a given generic right, vgl. [HRU76], Theorem 2). Das Adjektiv sicher beschreibt in dem Zusammenhang eine Konfiguration, die es verhindert, dass eine Berechtigung durch ein Kommando in eine Zelle der Zugangskontrollmatrix schreibt, wo diese Berechtigung vorher nicht stand. Der Vorteil von Discretionary Access Control (DAC) demgegenüber sind die sehr flexiblen Möglichkeiten der Rechtevergabe, die gegenüber sichereren Modellen (z.b. Mandatory Access Control (MAC)) nicht unbedingt einer Hierachie mit gerichtetem, azyklischen Informationsfluss entsprechen müssen. Man kann so die Berechtigung eher an den Informationsfluss in Unternehmen anpassen, der sich nicht unbedingt an den Strukturen des Unternehmens orientiert. Role-Based Access Control Ein weiterer Nachteil von DAC ist das Prinzip, Rechte pro Benutzer zu vergeben, was in mittelgroßen Netzwerk nicht mehr praktikabel ist. Die Idee von Role- Based Access Control (RBAC) ist, jedem Mitglied einer Organisation eine oder mehrere Rollen zuzuweisen, die seiner Stellung bzw. seinen Aufgaben in der Organisation entsprechen. Die Berechtigungen werden dann nicht mehr den einzelnen Personen zugewiesen, sondern den Rollen. Dadurch reduziert sich der Aufwand in der Verwaltung der Berechtigungen. Weiterhin kann so die Sicherheit erhöht, da es über RBAC viel einfacher möglich ist, jedem Benutzer genau die Berechtigungen zuzuweisen, die er benötigt. RBAC ist ein theoretisches Modell, für das sowohl Implementierungen existieren (z.b. grsecurity), das jedoch als Ideenvorlage für andere Implementierung von Schutzmodellen gedient hat, wie z.b. Benutzergruppen in Windows oder UNIX. Im Rahmen dieser Arbeit sind die theoretischen Unterschiede von Rollen und Gruppen weniger interessant. Wichtig ist hier die Tatsache, dass Benutzer Mitglieder von Rollen bzw. Gruppen sein können und dass man Rollen bzw. Gruppen Berechtigungen zuordnen kann. Am Rande ist noch interessant, ob man mit aktuellen Implementierungen Rollen- bzw. Gruppenhierarchien aufbauen kann, was in der Praxis durchaus hilfreich sein kann. 14

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw. GeoXACML und SAML Ubiquitous Protected Geographic Information Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.de Was erwartet Sie in diesem Vortrag? Einleitung OpenGIS Web

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Smartcard-Authentifizierung mit Oracle-Forms

Smartcard-Authentifizierung mit Oracle-Forms Smartcard-Authentifizierung mit Oracle-Forms Teil 1: Theoretisches zur 2-Faktor Authentifizierung Das Smartcard-Projekt der Nordrheinischen Ärzteversorgung Irisstrasse 45 11. November 2004 1 Inhalt Kurzvorführung

Mehr

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichten eines Servers für MVB3 ab Version 3.5 Inhalt Organisatorische Voraussetzungen... 1 Technische Voraussetzungen... 1 Konfiguration des Servers... 1 1. Komponenten

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung Inhalt SSO Account... 1 Erstkontakt mit dem System (Internet / Kundensicht)... 2 Erstkontakt mit dem System (Intranet)... 3 Funktionen

Mehr

1. Einführung. 2. Die Mitarbeiterübersicht

1. Einführung. 2. Die Mitarbeiterübersicht 1. Einführung In orgamax können Sie jederzeit neue Mitarbeiter anlegen und diesen Mitarbeitern bestimmte Berechtigungen in der Software zuordnen. Darüber hinaus können auch Personaldaten wie Gehalt und

Mehr

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Leibniz Universität IT Services TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Workshop TYPO3@RRZN Sep. 2012 Dr. Thomas Kröckertskothen - RRZN Zugangsgeschützte Webbereiche in TYPO3 Was sind zugangsgeschützte

Mehr

Relationale Datenbanken Datenbankgrundlagen

Relationale Datenbanken Datenbankgrundlagen Datenbanksystem Ein Datenbanksystem (DBS) 1 ist ein System zur elektronischen Datenverwaltung. Die wesentliche Aufgabe eines DBS ist es, große Datenmengen effizient, widerspruchsfrei und dauerhaft zu speichern

Mehr

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S

Mehr

Handbuch Datensicherung

Handbuch Datensicherung Copyright 1995-2009 by winvs software AG, alle Rechte vorbehalten Gewähr Urheberrechte Haftung Die in diesem Handbuch enthaltenen Angaben sind ohne Gewähr und können jederzeit ohne vorherige Benachrichtigung

Mehr

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 ZIEL...3 2 FUNKTIONS-KONZEPT...3 2.1 Struktur...3

Mehr

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a 50825 Köln Tel.: 0221 595527-0 Fax.: 0221 595527-5 os@ecambria-systems.com http://www.ecambria-systems.com

Mehr

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte Global Access Erste Schritte Copyright RWE IT. Any use or form of reproduction, in whole or part, of any material whether by photocopying or storing in any medium by electronic means or otherwise requires

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Anleitung. E-Mail Kontenverwaltung auf mail.tbits.net

Anleitung. E-Mail Kontenverwaltung auf mail.tbits.net Anleitung E-Mail Kontenverwaltung auf mail.tbits.net E-Mail Kontenverwaltung auf mail.tbits.net 2 E-Mail Kontenverwaltung auf mail.tbits.net Leitfaden für Kunden Inhaltsverzeichnis Kapitel Seite 1. Überblick

Mehr

Smartcard Management System

Smartcard Management System Smartcard Management System Benutzerhandbuch Zertifiziert vom Nationalinstitut für Standardisierung und Technologie der Vereinigten Staaten von Amerika. Certified by the National Institute of Standards

Mehr

meinfhd 2.2 Anleitung für den Login

meinfhd 2.2 Anleitung für den Login meinfhd 2.2 Anleitung für den Login Version: R18 Datum: 12.03.2014 Status: Final Seite ii Inhaltsverzeichnis 1 Einleitung 1 2 Zentrale / übergreifende Funktionen 1 2.1 Login-Seite / Zugang zum System...

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business Inhaltsverzeichnis 1 Erst-Login 2 2 Benutzerkonto einrichten 2 3 Benutzerkonto bearbeiten 2 3.1 Aktivieren/Deaktivieren 2 3.2 Speichererweiterung hinzubuchen/deaktivieren 3 3.3 Rufnummer hinzufügen/entfernen

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Biometrische Identifikation durch Analyse des Tippverhaltens. www.keytrac.de 1

Biometrische Identifikation durch Analyse des Tippverhaltens. www.keytrac.de 1 Biometrische Identifikation durch Analyse des Tippverhaltens www.keytrac.de 1 KeyTrac ist für den Anwender unsichtbar, das Tippen wird im Hintergrund aufgezeichnet, ohne den gewohnten Arbeitsablauf zu

Mehr

AFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und

AFS / OpenAFS. Bastian Steinert. Robert Schuppenies. Präsentiert von. Und AFS / OpenAFS Präsentiert von Bastian Steinert Und obert Schuppenies Agenda AFS Verteilte Dateisysteme, allg. Aufbau Sicherheit und Zugriffsrechte Installation Demo Vergleich zu anderen DFs Diskussion

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Synchronisierung INFOCENTER - AD

Synchronisierung INFOCENTER - AD Synchronisierung INFOCENTER - AD Angelegt von: Peter Frank Kurgartenstrasse 47 90762 Fürth peter.frank@sellbytel.de Anlagedatum: 05.08.2013 Dokumentinformation Projekt: Angelegt von: Peter Frank Version:

Mehr

Kurzanleitung E-Mail System bildung-rp.de

Kurzanleitung E-Mail System bildung-rp.de Kurzanleitung E-Mail System bildung-rp.de VERSION: 1.3 DATUM: 22.02.12 VERFASSER: IT-Support FREIGABE: Inhaltsverzeichnis Benutzername und Passwort... 1 Support... 1 Technische Konfiguration... 2 Webmail-Oberfläche...

Mehr

Benutzeranleitung Superadmin Tool

Benutzeranleitung Superadmin Tool Benutzeranleitung Inhalt 1 Einleitung & Voraussetzungen... 2 2 Aufruf des... 3 3 Konto für neuen Benutzer erstellen... 3 4 Services einem Konto hinzufügen... 5 5 Benutzer über neues Konto informieren...

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

OU Verwaltung für CV's

OU Verwaltung für CV's OU Verwaltung für CV's Version Datum Autor Änderung 01 7.12.06 JM Meyer Original 02 14.5.08 JM Meyer Typo und Ergänzungen 03 16.5.08 JM Meyer LMHOSTS lookup entfernt 04 3.7.08 JM Meyer Typo und Ergänzungen

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g rmation bi-cube Identity Server T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE LÖSUNG ZU EINER GESICHERTEN AUTHENTIFIKATION...3 2 BI-CUBE IDENTITY SERVER IN EINEM IPM

Mehr

SingleSignOn Schnittstelle

SingleSignOn Schnittstelle SingleSignOn Schnittstelle Integration vom Seminar-Shop mit der Partnerseite unter Verwendung der Seminar-Shop Formulare 1 Grundidee: Eine Website übernimmt den Seminar-Shop Content und wünscht, dass ein

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Kerberos: Prinzip und Umsetzung. Sascha Klopp Kerberos: Prinzip und Umsetzung Sascha Klopp Inhalt Prinzip Umsetzung Anwendungen Vor- und Nachteile Sascha Klopp, Kerberos: Prinzip und Umsetzung, 18.11.2008 Seite 2 Historie Das Kerberos-Protokoll wurde

Mehr

Netzwerk-Fileservices am RUS

Netzwerk-Fileservices am RUS Netzwerk-Fileservices am RUS Markus Bader 15.09.2010 RUS AK Storage, Markus Bader, 15.09.2010 Seite 1 Fileservices am RUS Fileserver für Windows innerhalb des RUS-Active Directory Fileserver für Windows

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

ANWENDERHANDBUCH. Zutritts-Konfigurator PC IT Mini, Version 1.1.2. Hilfsprogramm für Anlagen mit dezentraler Zutrittskontrolle

ANWENDERHANDBUCH. Zutritts-Konfigurator PC IT Mini, Version 1.1.2. Hilfsprogramm für Anlagen mit dezentraler Zutrittskontrolle ANWENDERHANDBUCH Hilfsprogramm für Anlagen mit dezentraler Zutrittskontrolle Zutritts-Konfigurator PC IT Mini, Version 1.1.2 ahb_pcitmini_art0010411_1v2.doc 2 06/2005 Inhaltsverzeichnis Übersicht...2 Systemvoraussetzungen...3

Mehr

Von der UML nach C++

Von der UML nach C++ 22 Von der UML nach C++ Dieses Kapitel behandelt die folgenden Themen: Vererbung Interfaces Assoziationen Multiplizität Aggregation Komposition Die Unified Modeling Language (UML) ist eine weit verbreitete

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen Herzlichen Dank! Projektleitung S.A.F.E.: Meinhard Wöhrmann (meinhard.woehrmann@olg-duesseldorf.nrw.de)

Mehr

E-Mail Client Konfiguration Leitfaden

E-Mail Client Konfiguration Leitfaden E-Mail Client Konfiguration Leitfaden 1 Impressum Herausgeber Deutsche Telekom Technischer Service GmbH, Zentraler Service Anschrift der Redaktion Deutsche Telekom Technischer Service GmbH Zentraler Service

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration Single Sign-On Einführung und Überblick Dipl-Inf. Rolf Negri Copyright Trivadis AG 1 Agenda Einleitung Technologie und Funktionalität Installation und Konfiguration Ausblick Single Sign-On Copyright Trivadis

Mehr

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV Artikel 1. Definitionen In diesem Datenschutzreglement werden die folgenden nicht standardmäßigen Definitionen verwendet:

Mehr

LiLa Portal Leitfaden für Dozierende

LiLa Portal Leitfaden für Dozierende Library of Labs Lecturer s Guide LiLa Portal Leitfaden für Dozierende Meist werden Dozierende die Lerninhalte ihrer Studierenden festlegen und aus der großen Auswahl von LiLa Experimenten diejenigen auswählen,

Mehr

SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel)

SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel) SMTP und POP3 mit Windows Server 2003 (Gastbeitrag tecchannel) Windows Server 2003 ist der erste Server von Microsoft, der einen kompletten SMTP- und POP3- Dienst mitbringt. Wir zeigen, wie Sie diese Dienste

Mehr

Dokumentation: Erste Schritte für Endkunden

Dokumentation: Erste Schritte für Endkunden pd-admin v4.x Dokumentation: Erste Schritte für Endkunden 2004-2007 Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 9 44787 Bochum 1 Einleitung Diese Anleitung ist für Endkunden gedacht, die von Ihrem

Mehr

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz Das Instrument für den fähigkeitsgerechten Personaleinsatz IMBA SQL Server-Datenbankadapter Installationsanleitung gefördert durch das Bundesministerium für Gesundheit und Soziale Sicherung Vorbereitung

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

Role Based Access Control und Identity Management

Role Based Access Control und Identity Management Role Based Access Control und Identity Management Treffen des ZKI-AK Verzeichnisdienste, 7.-8.3.2012, Halle Peter Gietz, Markus Widmer, DAASI International GmbH Peter.gietz@daasi.de 1 Agenda 2 (c) März

Mehr

Klausur Verteilte Systeme

Klausur Verteilte Systeme Klausur Verteilte Systeme SS 2005 by Prof. Walter Kriha Klausur Verteilte Systeme: SS 2005 by Prof. Walter Kriha Note Bitte ausfüllen (Fill in please): Vorname: Nachname: Matrikelnummer: Studiengang: Table

Mehr

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank SwissICT 2011 am Fallbeispiel einer Schweizer Bank Fritz Kleiner, fritz.kleiner@futureways.ch future ways Agenda Begriffsklärung Funktionen und Aspekte eines IT-Servicekataloges Fallbeispiel eines IT-Servicekataloges

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Partner Roundtable 28.Juni 2007 Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Thema des Tages was hat das mit uns hier heute zu tun? Oracle s Zusage The The

Mehr

Bedienungsanleitung für die Benutzerverwaltung an der Hochschule Ostwestfalen-Lippe (Identity Management System)

Bedienungsanleitung für die Benutzerverwaltung an der Hochschule Ostwestfalen-Lippe (Identity Management System) Bedienungsanleitung für die Benutzerverwaltung an der Hochschule Ostwestfalen-Lippe (Identity Management System) Autor: Andreas Weiß, S(kim) 1 Inhalt Systembeschreibung... 3 Angeschlossene Systeme... 3

Mehr

DSLinux Skriptbasierte Inventarisierung für Linux

DSLinux Skriptbasierte Inventarisierung für Linux DSLinux Skriptbasierte Inventarisierung für Linux www.docusnap.com TITEL DSLinux AUTOR Docusnap Consulting DATUM 21.04.2015 Die Weitergabe, sowie Vervielfältigung dieser Unterlage, auch von Teilen, Verwertung

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Diplomarbeit. Entwurf eines generischen Prozessleitstandes für Change Request Systeme

Diplomarbeit. Entwurf eines generischen Prozessleitstandes für Change Request Systeme Fakultät für Mathematik, Informatik und Naturwissenschaften Forschungsgruppe Softwarekonstruktion Diplomarbeit Entwurf eines generischen Prozessleitstandes für Change Request Systeme Development of a Generic

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen, um Ihren Mailclient zu konfigurieren,

Mehr

STAR-Host Kurzanleitung ISP-Config

STAR-Host Kurzanleitung ISP-Config STAR-Host Kurzanleitung ISP-Config Webseite (Domain) einrichten Loggen Sie sich unter ISPConfig ein. Im Hauptmenü können Sie jetzt direkt eine Webseite (Domain) einrichten oder zunächst einen Kunden. Klicken

Mehr

Jan Mönnich dfnpca@dfn-cert.de

Jan Mönnich dfnpca@dfn-cert.de Crypto-Token in der Praxis Jan Mönnich dfnpca@dfn-cert.de Warum Crypto-Token? Auf Crypto-Token werden private Schlüssel nicht extrahierbar gespeichert Crypto-Operationen werden direkt auf dem Gerät durchgeführt

Mehr

PIWIN 1 Übung Blatt 5

PIWIN 1 Übung Blatt 5 Fakultät für Informatik Wintersemester 2008 André Gronemeier, LS 2, OH 14 Raum 307, andre.gronemeier@cs.uni-dortmund.de PIWIN 1 Übung Blatt 5 Ausgabedatum: 19.12.2008 Übungen: 12.1.2009-22.1.2009 Abgabe:

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Der Paarweise Vergleich (Prioritization Matrix) Die richtigen Entscheidungen vorbereiten Autor: Jürgen P. Bläsing

Der Paarweise Vergleich (Prioritization Matrix) Die richtigen Entscheidungen vorbereiten Autor: Jürgen P. Bläsing QUALITY-APPs Applikationen für das Qualitätsmanagement Testen und Anwenden Der Paarweise Vergleich (Prioritization Matrix) Die richtigen Entscheidungen vorbereiten Autor: Jürgen P. Bläsing Die Methode

Mehr

Formaler Entwurf mit Event-B Die Eventbank

Formaler Entwurf mit Event-B Die Eventbank Institut für Theoretische Informatik Anwendungsorientierte Formale Verifikation Vorlesung Anwendung Formaler Verifikation SS 2015, 9.6.15 Dr. V. Klebanov, Dr. M. Ulbrich Formaler Entwurf mit Event-B Die

Mehr

Methoden zur Benutzerüberprüfung im ELMS 1.1

Methoden zur Benutzerüberprüfung im ELMS 1.1 Methoden zur Benutzerüberprüfung im ELMS 1.1 2012-12-21 Kivuto Solutions Inc [VERTRAULICH] INHALTSVERZEICHNIS ÜBERSICHT...1 ÜBERPRÜFUNGSMETHODEN...2 Integrierte Benutzerüberprüfung (IUV)...2 Shibboleth

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr