IBM Security SiteProtector System Handbuch zur Zwei-Faktoren- Authentifizierungs-API

Transkript

1 IBM Security IBM Security SiteProtector System Handbuch zur Zwei-Faktoren- Authentifizierungs-API Version 3.0

2 Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter Bemerkungen auf Seite 15 gelesen werden. Diese Ausgabe bezieht sich auf Version 3.0 des IBM Security SiteProtector System und alle nachfolgenden Releases und Modifikationen, bis dieser Hinweis in einer Neuausgabe geändert wird. Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM Security SiteProtector System, Two Factor Authentication Guide, Version 3.0, herausgegeben von International Business Machines Corporation, USA Copyright International Business Machines Corporation 1994, 2013 Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen. Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle. Änderung des Textes bleibt vorbehalten. Herausgegeben von: TSC Germany Kst August 2013

3 Inhaltsverzeichnis IBM Support kontaktieren v Überblick Plug-in für RADIUS-Protokoll Authentifizierungs-Plug-in mit Zertifikat und Smart- Card UPN (User Principal Name) mit Smart-Card-Plug-in 6 LDAP mit Benutzerkennwortzertifikats-Plug-in... 7 LDAP ohne Benutzerkennwort-Plug-in Standardkennwort-Plug-in Mehrere Plug-ins gleichzeitig verwenden Sensible Eigenschaft verschlüsseln Eigenschaft verschlüsseln Verschlüsselte Eigenschaft entfernen Bemerkungen Marken Hinweise zur Datenschutzrichtlinie Hinweis zu sinnvollen Sicherheitsmaßnahmen iii

4 iv SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

5 IBM Support kontaktieren Der IBM Support bietet Unterstützung bei Produktfehlern, beantwortet FAQs und hilft Benutzern beim Beheben von Problemen mit dem Produkt. Vorbereitende Schritte Bevor Sie sich an den IBM Support wenden, versuchen Sie zuerst, auf eine der folgenden Arten eine Antwort oder Lösung zu finden: v Lesen Sie unter Support portfolio (Unterstützungsportfolio) in der Veröffentlichung Software Support Handbook (Handbuch für Softwareunterstützung), welche Arten von Unterstützung verfügbar sind. v Überprüfen Sie die technischen IBM Hinweise im IBM Support Portal. Wenn Sie im Unterstützungsportfolio oder in den technischen IBM Hinweisen keine Antwort oder Lösung finden können, stellen Sie sicher, dass Ihr Unternehmen einen geltenden IBM Wartungsvertrag hat und dass Sie berechtigt sind, eine Frage zu einem Problem bei IBM einzureichen, bevor Sie sich an den IBM Support wenden. Vorgehensweise Gehen Sie wie folgt vor, wenn Sie den IBM Support kontaktieren: 1. Definieren Sie das Problem, stellen Sie die Hintergrundinformationen zusammen und bestimmen Sie den Schweregrad des Problems. Weitere Informationen hierzu finden Sie unter Getting IBM support (IBM Unterstützung anfordern) in der Veröffentlichung Software Support Handbook. 2. Stellen Sie Diagnoseinformationen zusammen. 3. Senden Sie das Problem auf eine der folgenden Weisen an den IBM Support: v Verwenden Sie den IBM Support Assistant (ISA), falls das Serviceanforderungstool für Ihr Produkt aktiviert ist. Alle erfassten Daten können an die Serviceanforderung angehängt werden. Wenn Sie ISA auf diese Weise verwenden, brauchen Sie weniger Zeit für die Analyse und die Problemlösung. v Online über das IBM Support Portal: Sie können alle Ihre Serviceanforderungen über das Portlet für Serviceanforderungen auf der Seite für Serviceanforderungen öffnen, aktualisieren und anzeigen. v Kritische Probleme, Probleme mit Schweregrad 1 oder Systemausfälle können Sie telefonisch melden. Die Telefonnummer für Ihre Region finden Sie auf der Webseite Directory of worldwide contacts (Verzeichnis der weltweiten Kontakte). Ergebnisse Falls das Problem, das Sie gesendet haben, auf einem Softwarefehler sowie fehlender oder falscher Dokumentation beruht, erstellt IBM Support einen APAR (Authorized Program Analysis Report). Der APAR beschreibt das Problem ausführlich. Falls möglich, bietet IBM Support eine Strategie zur Lösung von Problemen, die Sie implementieren können, bis der APAR gelöst ist und Ihnen die Lösung zur Verfügung gestellt wird. IBM veröffentlicht täglich gelöste APARs auf der Website von IBM Support, damit andere Benutzer, die mit demselben Problem konfrontiert sind, dieselbe Lösung nutzen können. v

6 vi SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

7 Überblick Die Funktion für Zwei-Faktoren-Authentifizierung des IBM Security SiteProtector System stellt eine Plugin-Schnittstelle bereit, die jede beliebige Authentifizierungssoftware unterstützt, die Sie verwenden. Dieses Dokument enthält Informationen zum Bestimmen der am besten geeigneten Authentifizierungs-Plug-in- Schnittstelle für Ihr Netz und stellt Beispielcode zum Erstellen Ihrer eigenen authentication.xml-dateien bereit. Wichtige Voraussetzung Um diese Funktion verwenden zu können, müssen Sie eine eigene Authentifizierungs-XML-Datei (authentication.xml) erstellen und sie im Verzeichnis SiteProtector Application Server\config speichern. RADIUS- und LDAP-Authentifizierung Die Zwei-Faktoren-Authentifizierung von SiteProtector stellt spezielle Plug-in-Schnittstellen für die RADI- US-, die Smart-Card- und die LDAP-Zertifikatsauthentifizierung bereit. Zielgruppe Dieses Dokument richtet sich an erfahrene Java-Entwickler. Außerdem sind ausreichende Kenntnisse von SiteProtector erforderlich. Einschränkung Die Zwei-Faktoren-Authentifizierungsfunktion von SiteProtector verwaltet keine Benutzerberechtigungen. Lizenzvereinbarung Lizenzinformationen zu IBM Security-Produkten können Sie als IBM Lizenzvereinbarung unter herunterladen. Abschnitte Plug-in für RADIUS-Protokoll auf Seite 2 Authentifizierungs-Plug-in mit Zertifikat und Smart-Card auf Seite 3 UPN (User Principal Name) mit Smart-Card-Plug-in auf Seite 6 LDAP mit Benutzerkennwortzertifikats-Plug-in auf Seite 7 LDAP ohne Benutzerkennwort-Plug-in auf Seite 9 Standardkennwort-Plug-in auf Seite 11 Mehrere Plug-ins gleichzeitig verwenden auf Seite 11 Sensible Eigenschaft verschlüsseln auf Seite 12 1

8 Plug-in für RADIUS-Protokoll Das RADIUS-Token-Protokoll ermöglicht es dem SiteProtector Server, von Benutzern eingegebene Informationen zur Bestätigung an einen anderen Server zu senden. Funktionsweise von SiteProtector mit RADIUS SiteProtector zeigt für den Benutzer ein zweites Kennwortfeld im Fenster "Bei Site anmelden" an und packt die Informationen, die der Benutzer eingibt, in eine einzelne Anforderung als PAP- oder CHAP- Kennwortattribut. SiteProtector leitet das Informationspaket an den RADIUS-Authentifizierungsserver weiter. In der nächsten Nachricht lässt der Authentifizierungsserver dann den Zugriff des Benutzers zu oder weist ihn zurück. SiteProtector behandelt alle folgenden Anforderungen, die vom RADIUS-Server ausgegeben werden, als Zurückweisungsnachrichten, da SiteProtector keine weiteren Informationen vom Benutzer anfordern kann. Abgehende Nachrichten werden mit Message-Authenticator-Attributen signiert und eingehende Nachrichten mit dem Feld werden überprüft, obwohl diese Überprüfung nicht erforderlich ist. Details Die folgende Tabelle enthält die Detailbeschreibungen für das RADIUS-Authentifizierungs-Plug-in. Detail Standard Beschreibung server none Adresse oder Name des Server, an den die RADIUS-Pakete gesendet werden sollen. port 1812 Port, an den die RADIUS-Pakete gesendet werden sollen. sharedsecret none Der geheime RADIUS-Schlüssel für gemeinsame Nutzung für den SiteProtector Application Server und den Authentifizierungsserver. passwordencryption PAP Kann PAP oder CHAP sein. Die Art, wie das Kennwort/Token in den RA- DIUS-Paketen codiert wird. username none Wenn der Name des Benutzers nach der Eingabe geändert werden muss, damit ihn der RADIUS-Server akzeptiert, erstellen Sie hier eine Vorlage. %USER% und %DOMAIN% werden mit den entsprechenden Daten gefüllt. Die Standardeinstellung beinhaltet keine Änderung. Beispiel: timeout 3000 Die Anzahl an Millisekunden, die auf eine Antwort gewartet wird, bevor das Senden erneut versucht oder abgebrochen wird. Erhöhen Sie diesen Wert, wenn der RADIUS-Server häufig überlastet ist oder sich an einem weit entfernten Standort befindet. retries 2 RADIUS-Pakete werden über UDP übertragen und können aus dem Netz gelöscht werden. Zwei Wiederholungen bedeuten insgesamt drei Versuche, bevor die Authentifizierung abgelehnt wird. Beispielcode Verwenden Sie den Code im folgenden Beispiel, um eine RADIUS-Datei vom Typ authentication.xml in Ihrem System zu konfigurieren. 2 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

9 <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name>radius Token Authentication</name> <!-- Make sure to remove line breaks added by page formatting --> <type>net.iss.rssp.security.auth.plugin.radiusauthenticationplugin</type> <primary>true</primary> <message>log in using your PIN plus the value on your token.</message> <permissions> <ALLUSERS/> </permissions> <detail attribute="server" value="radius_server_name_or_address"/> <detail attribute="port" value="1812"/> <!-- see your property encryption documentation for information about how to enter sharedsecret value --> <detail attribute="sharedsecret"> <encrypted-file>authentication_propertiesencrypted-file></encrypted-file> <keyname>radius.sharedsecret</keyname> </detail> <detail attribute="passwordencryption" value="pap"/> <detail attribute="username" value="%domain%\%user%"/> <detail attribute="timeout" value="3000"/> <detail attribute="retries" value="2"/> <!-- fields 0 (username) and 1 (password) are inferred when parsing the file, they can be manually defined in order to change the prompt --> <field id="2" type="password" prompt="token"/> </AuthenticationConfiguration> </SiteProtectorAuthentication> Authentifizierungs-Plug-in mit Zertifikat und Smart-Card SiteProtector kann so konfiguriert werden, dass überprüft wird, ob ein Benutzer über einen privaten Schlüssel verfügt, der einem öffentlichen Zertifikat entspricht, das ebenfalls mit dem Anmeldeversuch gesendet wird. SiteProtector kann es einem Benutzer ermöglichen, einen privaten Schlüssel aus einem Zertifikatsspeicher oder von einer Smart-Card auszuwählen. Der SiteProtector Server generiert eine zufällige Anforderung, die der Client signiert und zusammen mit dem öffentlichen Zertifikat zurückgibt. Auswahl des Plug-ins Das Plug-in für die Zertifikats- und Smart-Card-Authentifizierung wird anhand der Art und Weise ausgewählt, wie die Zertifikat-Benutzername-Zuordnung ausgeführt werden soll. v Für LDAP kann ein Windows-Domänencontroller verwendet werden. Dieser enthält möglicherweise bereits die Zertifikatszuordnungen. v Wen der Controller die Zertifikatszuordnungen nicht enthält, kann ein neues Verzeichnis erstellt werden und die Zertifikate können manuell in dieses Verzeichnis importiert werden. Überblick 3

10 Smart-Card-Voraussetzung PKCS11-Bibliothek Für die Smart-Card-Anmeldeprozedur ist eine zusätzliche Konfiguration in der SiteProtector Console erforderlich. Die Konsole muss über den Dateinamen einer ordnungsgemäß konfigurierten PKCS11-Bibliothek verfügen. Diese PKCS11-Bibliothek wird vom Hardwareanbieter bereitgestellt und kann für jede Konsole unterschiedlich sein. OCSP (Online Certificate Status Protocol) Jedes der Protokolle, das Zertifikate verwendet, kann OCSP (Online Certificate Status Protocol) verwenden. Sie können auswählen, ob Sie OCSP oder eine Zertifikatswiderrufsliste (CRL; Certificate Revocation List) zum Authentifizieren eines Zertifikats verwenden möchten. Ein wichtiger Unterschied zwischen den beiden Protokollen ist, dass OCSP global aktiviert wird, während eine Zertifikatswiderrufsliste von Fall zu Fall verwendet wird. Wenn OCSP (global) aktiviert wird, erhält es die URL des OCSP-Servers (der auch als OCSP-Responder bezeichnet wird) aus dem Zertifikat. Der OCSP-Responder wird abgefragt, um den Widerrufstatus des Zertifikats zu bestimmen, das in die Smart-Card integriert ist. Je nachdem, wie der OCSP-Responder konfiguriert ist, müssen Sie das Zertifikat des Responders möglicherweise explizit zum Schlüsselspeicher certificateauthority oder usecacerts hinzufügen. Beide Schlüsselspeicher enthalten vertrauenswürdige Zertifikate. Wenn die Antwort vom OCSP-Responder das Zertifikat des Responders enthält, müssen Sie kein Zertifikat für den Responder explizit zum Schlüsselspeicher certificateauthority oder zum Schlüsselspeicher usecacerts hinzufügen. Nur das öffentliche Zertifikat der Smart-Card und die Zertifikate, die im Schlüsselspeicher intermediate- Certificates gefunden werden, der sich aus der Kette der ausgestellten Zertifikate zusammensetzt (vom öffentlichen Zertifikat der Smart-Card bis zu einem vertrauenswürdigen Zertifikat), werden mit OCSP überprüft. Vertrauenswürdige Zertifikate werden nicht auf Widerruf überprüft. Verwenden Sie das keytool von Java im Java-Ordner bin, um die Zertifikate in eine Datei zu laden. Sie können angeben, dass Sie den IBM JRE-Standardschlüsselspeicher "CACerts" im Verzeichnis %JAVA_DIR%/jre/lib/security verwenden möchten. Funktionsweise von OCSP mit anderen Protokollen Sie können OCSP (Online Certificate Status Protocol) zusammen mit jeder Authentifizierungskonfiguration, die Zertifikate verwendet, wie z. B. folgende: v UPN (User Principal Name) mit Smart-Card-Plug-in v LDAP mit Benutzerkennwortzertifikats-Plug-in v LDAP ohne Benutzerkennwort-Plug-in Jede dieser unterschiedlichen Authentifizierungskonfigurationen wird mit eigenen <AuthenticationConfiguration>-Elementen angegeben. Für die Verwendung von OCSP müssen Sie ein <CertificateRevocationConfiguration>-Element außerhalb der <AuthenticationConfiguration>-Elemente angeben, die Sie zu Ihrer authentication.xml-datei hinzufügen. Im Folgenden ist ein Beispielentwurf einer authentication.xml-datei dargestellt, die die Beziehung zwischen dem <CertificateRevocationConfiguration>-Element und einem oder mehreren <Authentication- Configuration>-Elementen zeigt. Die Reihenfolge der Elemente ist nicht relevant. <SiteProtectorAuthentication> <!-- Certificate revocation settings that affect all two-factor authentication mechanisms that use certificate revocation --> <CertificateRevocationConfiguration> <OCSPConfiguration enable="true" /> 4 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

11 </CertificateRevocationConfiguration> <AuthenticationConfiguration>... </AuthenticationConfiguration> <AuthenticationConfiguration>... </AuthenticationConfiguration </SiteProtectorAuthentication> OCSP aktivieren und konfigurieren Die Syntax <OCSPConfiguration enable="true" /> aktiviert OCSP aus dem <CertificateRevocationConfiguration>-Element heraus, wie im vorherigen Beispielentwurf dargestellt. OCSPConfiguration konfiguriert den OCSP-Zertifikatswiderruf mithilfe der folgenden Einstellungen im <CertificateRevocationConfiguration>-Element: v enable: Dieses Attribut aktiviert OCSP, wenn der Wert "true" festgelegt ist, und inaktiviert OCSP, wenn der Wert "false" festgelegt ist. Wenn es nicht vorhanden ist, werden die aktuellen Einstellungen des Systems nicht geändert. v usecertstoreurifromcert: Der Wert dieses Attributs ist entweder "true" oder "false". Ist der Wert "true", werden alle Authority Information Access-Erweiterungen innerhalb der Zertifikate des erstellten Zertifikatspfads untersucht, um festzustellen, ob sie LDAP-URIs enthalten. Für jeden gefundenen LDAP-URI wird ein LDAPCertStore-Objekt erstellt und zur Sammlung von CertStores hinzugefügt, mit denen andere Zertifikate bestimmt werden, die zum Erstellen des Zertifikatspfads erforderlich sind. Ist der Wert "false" der nicht festgelegt, werden diese zusätzlichen LDAPCertStore-Objekte nicht erstellt. v ldapcachelifetime: Mit diesem Attribut können Sie die Lebensdauer von Einträgen im Hauptspeichercache eines LDAPCertStore als Wert in Sekunden festlegen. Mit dem Wert "0" wird der Cache inaktiviert. Der Wert "-1" bedeutet eine unbegrenzte Lebensdauer. Ist der Wert nicht festgelegt, beträgt die Standardlebensdauer 30 Sekunden. v OCSPResponderConfiguration: Möglicherweise ist nur ein einziges OCSPResponseConfiguration-Element vorhanden, das die Aspekte des OCSP-Verhaltens mit den folgenden Attributen außer Kraft setzt: uri: Ein URI, der die Position des OCSP-Responders angibt. Die Standardposition des OCSP-Responders wird implizit aus dem überprüften Zertifikat bestimmt. Diese Eigenschaft wird verwendet, wenn für die Authority Information Access-Erweiterung (in RFC 3280 definiert) eine Überschreibung erforderlich ist. certsubjectname: Der Wert dieses Attributs ist der Betreffname des Zertifikats des OCSP-Responders, wie z. B.: CN=OCSP Responder, O=XYZ Corp Das Zertifikat des OCSP-Responders ist standardmäßig das des Ausstellers des Zertifikats, das überprüft wird. Dieses Attribut gibt das Zertifikat des OCSP-Responders an, wenn der Standardwert nicht gültig ist. Sein Wert ist ein definierter Name in einer Zeichenfolge (in RFC 2253 definiert), der ein Zertifikat in der Gruppe der Zertifikate identifiziert, die bei der Überprüfung des Zertifikatspfades angegeben wurden. In Fällen, in denen der Betreffname nicht ausreicht, um das Zertifikat eindeutig zu identifizieren, müssen sowohl das Attribut certissuername als auch das Attribut certserialnumber verwendet werden. Wenn diese Eigenschaft festgelegt ist, werden diese beiden Attribute ignoriert. certissuername: Der Wert dieses Attributs ist der Name des Ausstellers des Zertifikats des OCSP- Responders, wie z. B.: CN=Enterprise CA, O=XYZ Corp Das Zertifikat des OCSP-Responders ist standardmäßig das des Ausstellers des Zertifikats, das überprüft wird. Dieses Attribut gibt den Namen des Ausstellers des Zertifikats des OCSP-Responders an, wenn der Standardwert nicht gültig ist. Sein Wert ist ein definierter Name in einer Zeichenfolge (in Überblick 5

12 RFC 2253 definiert), der ein Zertifikat in der Gruppe der Zertifikate identifiziert, die bei der Überprüfung des Zertifikatspfades angegeben wurden. Wenn dieses Attribut festgelegt ist, muss das Attribut certserialnumber ebenfalls festgelegt sein. Beachten Sie, dass dieses Attribut ignoriert wird, wenn das Attribut certsubjectname festgelegt wurde. certserialnumber: Der Wert dieses Attributs ist die Seriennummer des Zertifikats des OCSP-Responders, wie z. B. 2A:FF:00. Das Zertifikat des OCSP-Responders ist standardmäßig das des Ausstellers des Zertifikats, das überprüft wird. Dieses Attribut gibt das Zertifikat des OCSP-Responders an, wenn der Standardwert nicht gültig ist. Sein Wert ist eine Zeichenfolge von Hexadezimalziffern (Doppelpunkte oder Leerzeichen als Trennzeichen sind zulässig), der ein Zertifikat in der Gruppe der Zertifikate identifiziert, die bei der Überprüfung des Zertifikatspfades angegeben wurden. Wenn dieses Attribut festgelegt ist, muss das Attribut certissuername ebenfalls festgelegt sein. Beachten Sie, dass dieses Attribut ignoriert wird, wenn das Attribut certsubjectname festgelegt wurde. CRLDPConfiguration konfiguriert den CRLDP-Zertifikatswiderruf mithilfe der folgenden Einstellungen im <CertificateRevocationConfiguration>-Element: v enable: Dieses Attribut aktiviert CRLDP, wenn der Wert "true" festgelegt ist, und inaktiviert CRLDP, wenn der Wert "false" festgelegt ist. Wenn es nicht vorhanden ist, werden die aktuellen Einstellungen des Systems nicht geändert. v deltaenable: Dieses Attribut aktiviert die Verarbeitung von Delta-CRLs, wenn der Wert "true" festgelegt ist, und inaktiviert sie, wenn der Wert "false" festgelegt ist. Wenn es nicht vorhanden ist, werden die aktuellen Einstellungen des Systems nicht geändert. UPN (User Principal Name) mit Smart-Card-Plug-in Der UPN (User Principal Name) mit Smart-Card-Authentifizierungs-Plug-in erfordert, dass sich der Benutzer mit einer Smart-Card anmeldet, die ein Zertifikat enthält, das wiederum den UPN-Anmeldenamen (Benutzernamen) im Feld SubjectAlternativeName enthält. Funktionsweise von SiteProtector mit einer Smart-Card Der Benutzername (auch User Principal Name oder UPN) ist im Zertifikat integriert (im Feld SubjectAlternativeName), das auf der Smart-Card enthalten ist. Die SiteProtector Console sendet das Zertifikat zusammen mit dem extrahierten Benutzernamen zur Authentifizierung an den Application Server. Wenn OCSP (Online Certificate Status Protocol) global aktiviert ist, verwendet dieser Prozess OCSP, um zu bestimmen, ob ein Zertifikat gültig ist. Verwenden Sie das keytool von Java im Java-Ordner bin, um die Zertifikate in eine Datei zu laden. Sie können angeben, dass Sie den IBM JRE-Standardschlüsselspeicher "CACerts" im Verzeichnis %JAVA_DIR%/jre/lib/security verwenden möchten. Details Die folgende Tabelle enthält die Detailbeschreibungen für den UPN mit Smart-Card-Authentifizierungs- Plug-in. Detail certificateauthority intermediatecertificates Beschreibung Der vollständige Pfad zu einem JKS-Schlüsselspeicher von einer Zertifizierungsstelle, die für das Ausstellen von Zertifikaten mit UPNs vertrauenswürdig ist. Der vollständige Pfad zu einem JKS-Schlüsselspeicher, der die Zertifikate enthält, die nicht vertrauenswürdig aber erforderlich sind, um einen Pfad von einem nicht hierarchischen Zertifikat zu einem vertrauenswürdigen Zertifikat zu erstellen. 6 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

13 Detail certificaterevocationlist usecacerts Beschreibung URL zur Zertifikatswiderrufsliste (Certificate Revocation List; CRL) der Zertifizierungsstelle. Diese Angabe ist optional, wird jedoch empfohlen, es sei denn, die Benutzernamen werden immer dann geändert, wenn Schlüssel beeinträchtigt werden. Anmerkung: Wenn Sie OCSP oder CRLDP für Ihre Authentifizierung durch Zertifikate verwenden, ist es nicht erforderlich, eine Zertifikatswiderrufsliste anzugeben. Verwenden Sie den IBM JRE-Standardschlüsselspeicher "CACerts" (zusätzlich zu den Speichern, die im Detail "certificateauthority" angegeben werden) als Quelle der vertrauenswürdigen Zertifikate. Der Schlüsselspeicher "CACerts" enthält die gebräuchlichsten und bekanntesten Zertifizierungsstellen. Wenn "certificateauthority" und "usecacerts" verwendet werden, werden die entsprechenden Inhalte zur Authentifizierung kombiniert. Beispielcode Verwenden Sie den Code im folgenden Beispiel, um eine "UPN mit Smart-Card"-Datei vom Typ authentication.xml in Ihrem System zu konfigurieren. <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name> UPN from Smartcard</name> <type>net.iss.rssp.security.auth.plugin.upncertificateplugin</type> <primary>false</primary> <message>log in using your smart card. Requires that public certificate have a valid chain to a trusted certificate authority within the domain and that the certificate includes the UserPrincipalName</message> <!--Sign random data when submitting login dialog--> <challenge>sponsubmit</challenge> <!--There is no NT username/password to check--> <donotcheckpassword/> <permissions> <ALLUSERS> </permissions> <!--Client should provide certificate when logging in--> <field id="0" type="certificate" prompt="key"/> <detail attribute="usecacerts" value="true"/> <detail attribute="certificateauthority" value="c:\\program Files\\ISS\\SiteProtector\\Application Server\\smartcard_login_CAs"/> <detail attribute="intermediatecertificates" value="c:\\program Files\\ISS\\SiteProtector\\Application Server\\intermediateCerts"/> <detail attribute="certificaterevocationlist" value=" [domain_name].crl"/> </AuthenticationConfiguration> </SiteProtectorAuthentication> LDAP mit Benutzerkennwortzertifikats-Plug-in Für das LDAP mit Benutzerkennwort-Plug-in ist es erforderlich, dass sich der Benutzer mit seinem Benutzernamen und Kennwort anmeldet und dass ein Zertifikat oder eine Smart-Card vorhanden ist. Überblick 7

14 Funktionsweise von SiteProtector mit LDAP SiteProtector sucht nach dem konfigurierten Verzeichnis für die Zertifikate, die dem Benutzer zugeordnet sind. Wenn die Signatur für die bereitgestellte Anforderung mit einem der Zertifikate erfolgreich validiert werden kann, ist die Authentifizierung erfolgreich. Wenn die Signatur eines Zertifikats aktualisiert wird oder wenn das Zertifikat auf andere Weise geändert wird, aber der Schlüssel des Zertifikats, das im Verzeichnis gespeichert ist, nicht geändert wurde, funktioniert der Authentifizierungsmechanismus weiter. Details Die folgende Tabelle enthält die Detailbeschreibungen für das Authentifizierungs-Plug-in mit LDAP und Benutzerkennwortzertifikat. Detail Standard Beschreibung server none Die URL des LDAP- oder AD-Servers, einschließlich ldap:// oder ldaps://, Portnummer und dem Teil des Verzeichnisses, das für die Anmeldung erforderlich ist. Beispiele: ldap://servername:389/dc=testsite,dc=com ldaps://secure:636/dc=testsite, dc=com authtype simple Vorgehensweise beim Authentifizieren auf dem LDAP-Server. Es kann simple (Klartextkennwort) oder ein anderer SASL- Typ verwendet werden, wie z. B. DIGEST-MD5 oder GSSAPI. username ANONYMOUS Benutzername für die Authentifizierung am LDAP-Server. Verwenden Sie für AD domain\username, es sei denn, es ist nur ein LDAP-Anmeldeaccount. password none Kennwort für die Authentifizierung am LDAP-Server. searchfield userprincipalname Attribut, mit dem der Benutzername übereinstimmen muss. searchtemplate Ein Benutzername muss normalerweise auf andere Art formatiert werden, damit er richtig übereinstimmt. Erstellen Sie hier eine Vorlage. Beispiele: certattribute usercertificate Das Attribut in LDAP, in dem die gültigen Zertifikate für das Benutzerobjekt gespeichert sind. searchlocation CN=Users Suchposition in der LDAP-Struktur. referral follow Geben Sie für den LDAP-Server an, dass Verweise verfolgt werden können. 8 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

15 Beispielcode Verwenden Sie den Code im folgenden Beispiel, um eine "LDAP mit Benutzerkennwortzertifikat"-Datei vom Typ authentication.xml in Ihrem System zu konfigurieren. <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name>smartcard<</name> <type>net.iss.rssp.security.auth.plugin.ldapcertificateplugin</type> <primary>false</primary> <!-- Make sure to remove line breaks added by page formatting --> <message>log in using your smart card. This will not work if you haven t yet configured your PKCS#11 dll.</message> <challenge>sponsubmit</challenge> <permissions> <ALLUSERS/> </permissions> <!-- details on how to find and log into the LDAP/AD server --> <detail attribute="server" value="ldap://domain_controller:389/dc=domain,dc=net"/> <detail attribute="authtype" value="simple"/> <detail attribute="username" value="cn=adamuser,ou=adamusers,ou=test,dc=domain,dc=net"/> <detail attribute="password" value="password"/> <detail attribute="referral" value="follow"/> <!-- details on how to query for known good certificates for the user --> <detail attribute="searchfield" value="userprincipalname"/> <detail attribute="searchtemplate" value="%user%@%domain%.net"/> <detail attribute="certattribute" value="usercertificate"/> <detail attribute="searchlocation" value="cn=users"/> <!-- Fields 0 and 1 contain username and password by default, additionally select a certificate --> <field id="2" type="certificate" prompt="key"/> </AuthenticationConfiguration> </SiteProtectorAuthentication> LDAP ohne Benutzerkennwort-Plug-in Dieses Plug-in verwendet nur das Zertifikat oder die Smart-Card. SiteProtector sucht das konfigurierte Verzeichnis für den Benutzer, zu dem das Zertifikat gehört. Das Zertifikat wird nicht von SiteProtector geprüft und wird im binären/serialisierten Format in das Verzeichnis übergeben. Wenn das Verzeichnis mit einem Benutzer antwortet, der diesem Zertifikat zugeordnet ist, wird die Anmeldung mit diesem Benutzer fortgesetzt. Überblick 9

16 Details Die folgende Tabelle enthält die Detailbeschreibungen für das LDAP-Authentifizierungs-Plug-in. Detail Standard Beschreibung server none Die URL des LDAP- oder AD-Servers, einschließlich ldap:// oder ldaps://, Portnummer und dem Teil des Verzeichnisses, das für die Anmeldung erforderlich ist. Beispiele: ldap://servername:389/dc=testsite,dc=com ldaps://secure:636/dc=testsite, dc=com authtype simple Vorgehensweise beim Authentifizieren auf dem LDAP-Server. Es kann simple (Klartextkennwort) oder ein anderer SASL-Typ verwendet werden, wie z. B. DIGEST-MD5 oder GSSAPI. username ANONYMOUS Benutzername für die Authentifizierung am LDAP-Server. Verwenden Sie für AD domain\username, es sei denn, es ist nur ein LDAP- Anmeldeaccount. password none Kennwort für die Authentifizierung am LDAP-Server. sidfield objectsid Das Attribut, wo die SID gespeichert ist. Der Standardwert funktioniert wahrscheinlich. certattribute usercertificate Das Attribut, mit dem das Zertifikat abgeglichen wird. searchlocation CN=Users Suchposition in der LDAP-Struktur. referral follow Geben Sie für den LDAP-Server an, dass Verweise verfolgt werden können. Beispielcode Verwenden Sie den Code im folgenden Beispiel, um eine "LDAP ohne Benutzerkennwort"-Datei vom Typ authentication.xml in Ihrem System zu konfigurieren. <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name>smartcard<</name> <type>net.iss.rssp.security.auth.plugin.ldapcertificateonlyplugin</type> <primary>false</primary> <!-- Make sure to remove line breaks added by page formatting --> <message>use only the certificate to log in. Server will look for username mappings.</message> <challenge>sponsubmit</challenge> <donotcheckpassword/> <permissions> <ALLUSERS/> </permissions> <!-- details on where to find and log into LDAP/AD server --> <!-- ldaps uses ssl, add ldap server's certificate to ISS\JRE1.6.0_03\lib\security\cacerts --> <detail attribute="server" value="ldaps://domain_controller/dc=domain,dc=net"/> <detail attribute="authtype" value="simple"/> <detail attribute="username" value="domain\username"/> 10 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

17 <detail attribute="password" value="password"/> <detail attribute="referral" value="follow"/> <!-- details on how to query for the username, using the full binary certificate --> <detail attribute="sidfield" value="objectsid"/> <detail attribute="certattribute" value="usercertificate"/> <detail attribute="searchlocation" value="cn=users"/> <field id="2" type="certificate" prompt="key"/> </AuthenticationConfiguration> </SiteProtectorAuthentication> Standardkennwort-Plug-in SiteProtector stellt ein Standardkennwort-Plug-in bereit, das Benutzern die Möglichkeit bietet, sich anzumelden, ohne einen zweiten Authentifizierungsfaktor einzugeben. Sie können entscheiden, dass einige Benutzer nur mit einem Kennwort auf SiteProtector zugreifen dürfen, falls der externe RADIUS- oder LDAP-Server nicht verfügbar ist oder falsch konfiguriert wurde. Wenn ein Benutzer, der nicht in einem Authentifizierungsmechanismus registriert ist, Zugriff auf SiteProtector anfordert, kann der Benutzername oder die Gruppe des Benutzers hier für einen normalen Kennwortzugriff hinzugefügt werden. Beispielcode Verwenden Sie den Code im folgenden Beispiel, um eine Standardkennwortdatei vom Typ authentication.xml in Ihrem System zu konfigurieren. <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name>default Password</name> <type>net.iss.rssp.security.auth.plugin.passwordplugin</type> <primary>false</primary> <message>log in using your username and password. Not everyone can use this method.</message> <!-- Only the following users may log in using single factor username/password authentication --> <permissions> <spgroup>administrator</spgroup> <ntgroup>anntusergroup</ntgroup> <user>username exactly as you log-in here</user> </permissions> </AuthenticationConfiguration> </SiteProtectorAuthentication> Mehrere Plug-ins gleichzeitig verwenden Sie können mehrere Plug-ins so konfigurieren, dass sie gleichzeitig funktionieren. Sie können eine beliebige Anzahl an <AuthenticationConfiguration>-Einträgen in einer einzelnen Site- Protector-authentication.xml-Datei speichern. Ihre Benutzer können dann das gewünschte Verfahren im Anmeldedialogfenster der Konsole auswählen. Überblick 11

18 Beispielcode In diesem Beispiel sind sowohl Smart card login (Anmeldung mit Smart-Card) als auch Steve has no smart card (Steve hat keine Smart-Card) enthalten, was bedeutet, dass sich nur der Benutzer Steve ohne eine Smart-Card authentifizieren kann: <?xml version="1.0" encoding="utf-8"?> <SiteProtectorAuthentication> <AuthenticationConfiguration> <name>smart card login</name> <permissions> <ALLUSERS/> </permissions> </AuthenticationConfiguration> <AuthenticationConfiguration> <name>steve has no smart card</name> <permissions> <user>steve</user> </permissions> </AuthenticationConfiguration> </SiteProtectorAuthentication> Sensible Eigenschaft verschlüsseln In diesem Abschnitt wird das Verschlüsseln einer Eigenschaft und das Entfernen einer verschlüsselten Eigenschaft aus dem System beschrieben. Informationen zu diesem Vorgang Die Zwei-Faktoren-Authentifizierung von SiteProtector unterstützt das Verschlüsseln von Details zur Konfiguration, sodass sensible Daten, wie z. B. LDAP-Kennwörter oder geheime RADIUS-Schlüssel für gemeinsame Nutzung, nicht direkt im Dateisystem gespeichert werden, wo sie auf einfache Weise angezeigt oder unbeabsichtigt katalogisiert werden könnten. Eigenschaft verschlüsseln Vorgehensweise 1. Erstellen Sie eine leere Zieldatei oder verwenden Sie eine Datei, die bereits für diesen Zweck eingesetzt wird. 2. Öffnen Sie eine Eingabeaufforderung im Verzeichnis Programme\ISS\SiteProtector\Application Server\bin. 3. Geben Sie den Befehl Run "ccengine.bat -encryptproperty <Dateiname> <Schlüsselname> <Wert>" ein, wobei Dateiname für die Datei steht, in der die Eigenschaft gespeichert werden soll, und Schlüsselname für eine Kennung steht, mit der die Eigenschaft gefunden werden kann. Wichtig: v Stellen Sie noch einmal sicher, dass die Datei Dateiname vorhanden ist. v Die Datei, die Sie erstellen, muss im Verzeichnis \CONFIG gespeichert werden, es sei denn, Sie verwenden den absoluten Pfad in der Datei authentication.xml. Anmerkung: Sie können einen beliebigen Schlüsselnamen verwenden, müssen jedoch sicherstellen, dass Sie sich an diese Kennung erinnern. Dieser Name wird im Attribut Schlüsselname in der Datei authentication.xml gespeichert und dient dazu, den Wert zu finden. 12 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung

19 Anmerkung: Der Wert ist der Wert, der an das Authentifizierungs-Plug-in übergeben werden soll. Dieser Wert wäre normelerweise im Attribut Wert in der Datei authentication.xml erschienen; dies ist jedoch nicht mehr notwendig. 4. Ändern Sie in der Datei authentication.xml die folgenden Elemente: <detail attribute= attribute value= value > To <detail attribute= attribute encrypted-file= filename keyname= keyname > Verschlüsselte Eigenschaft entfernen Vorgehensweise Gehen Sie wie folgt vor, um eine verschlüsselte Eigenschaft aus dem System zu entfernen: v Um die Eigenschaft vollständig zu entfernen, löschen Sie die Datei, die die verschlüsselte Eigenschaft enthält. v Um einzelne Eigenschaften zu entfernen, ohne die ganze Datei zu verlieren, verwenden Sie diesen Befehl: Run: ccengine.bat -encryptproperty <Dateiname> <Schlüsselname> Überblick 13

20 14 SiteProtector System: Handbuch zur Zwei-Faktoren-Authentifizierung