Studienarbeit. Authentifizierungs- und Informationsdienst
|
|
- Lukas Neumann
- vor 8 Jahren
- Abrufe
Transkript
1 Fakultät für Informatik Professur für Rechnernetze und verteilte Systeme Studienarbeit Authentifizierungs- und Informationsdienst Verfasser: Jens Wegener 30. Juni 2004 Prüfer: Betreuer: Prof. Dr.-Ing. habil. Uwe Hübner Dipl.-Inf. Ronald Schmidt
2
3 Inhaltsverzeichnis Abkürzungsverzeichnis iii 1 Aufgabenstellung 1 2 Einleitung Motivation Identität und Authentifizierungsverfahren Attribute eines Nutzers Situation und Verbesserungsmöglichkeiten Anforderungen an den Identitätsmanager Datenschutzrechtliche Erwägungen Anwendbares Recht Einwilligung des Nutzers in die Datenweitergabe Form der Einwilligung Anforderungen an die Datenübermittlung Möglichkeit der anonymen und pseudonymen Nutzung Technische Anforderungen Technische Grundlagen Kommunikation zwischen Nutzer, Anbieter und Identitätsmanager Sicherheit der Kommunikation Cookies Vorhandene Ansätze ITS Central Authentication Service Überblick Funktionsweise Single Sign-On Erweiterungen des CAS Microsoft.NET Passport i
4 Inhaltsverzeichnis Überblick Funktionsweise der Authentifizierung Single Sign-On Liberty Alliance Project Überblick Architektur Shibboleth/Internet Überblick Aufbau und Funktionsweise Verfügbare Implementierung Bewertung der betrachteten Ansätze ITS Central Authentication Service Microsoft.NET Passport Liberty Alliance Project Shibboleth Nicht betrachte Ansätze Abgrenzung der weiteren Arbeit Testbetrieb von Shibboleth Vorbemerkungen Installation des Identitätsverwalters Installation des Anbieter-Server Schlüssel und Zertifikate Konfiguration von Shibboleth Konfiguration des Identitätsverwalters Konfiguration des Anbieter-Servers Testergebnisse Offene Fragen Schlussfolgerung 51 Literaturverzeichnis 53 ii
5 Abkürzungsverzeichnis AA AAP AFS AQH AQM ARM ARP BDSG CA CAS DNS GG HS HTML HTTP IP ITS JSP MACE MDStV NAT Attribute Authority Attribute Acceptance Policy Andrew File System Attribute Query Handle Attribute Query Message Attribute Response Message Attribute Release Policy Bundesdatenschutzgesetz Certificate Authority Central Authentication Service Domain Name System Grundgesetz Handle Service Hyper Text Markup Language Hyper Text Transfer Protocol Internet Protocol Information Technology Services Java Server Pages Middleware Architecture Committee for Education Mediendienste-Staatsvertrag Network Address Translation iii
6 Abkürzungsverzeichnis PHP PHP Hypertext Preprocessor PUID Microsoft.NET Passport Unique ID RM Resource Manager SächsDSG.... Sächsisches Datenschutzgesetz SächsHG..... Gesetz über die Hochschulen im Freistaat Sachsen SächsVerf... Verfassung des Freistaates Sachsen SAML Security Assertion Markup Language SHAR Shibboleth Attribute Requester SHIRE Shibboleth Indexical Reference Establisher SSL Secure Socket Layer SSO Single Sign-On TCP Transport Control Protocol TDDSG Teledienste-Datenschutzgesetz TDG Teledienstegesetz TLS Transport Layer Security TUC Technische Universität Chemnitz URI Uniform Resource Identifier URL Uniform Resource Locator URZ Universitätsrechenzentrum WAYF Where Are You From? (-Dienst) World Wide Web XML extensible Markup Language XNS extensible Name Service iv
7 1 Aufgabenstellung An der TU-Chemnitz werden auf verschiedenen Servern dezentral Dienste per HTTP angeboten, die einerseits die Nutzer zuverlässig authentifizieren müssen und andererseits auch persönliche Informationen dieser Nutzer benötigen. Dies führt zu einer Mehrfacherhebung von personenbezogenen Daten, obwohl die zentrale Nutzerdatenbank des Universitätsrechenzentrums bereits viele dieser Informationen enthält und ohne dass die Daten erhebende Stelle auf die Korrektheit der Daten vertrauen kann. Für die dezentrale Authentifizierung wurden bisher mehr oder weniger elegante Hilfskonstruktionen eingesetzt. Diese sind möglicherweise nicht robust gegen Änderungen an dritter Stelle. Außerdem nutzen sie unter Umständen Verfahren, die keinen ausreichenden Schutz der vertraulichen Kennworte gewährleisten. Das Ziel dieser Arbeit ist es, einen Dienst zu schaffen, der als vertrauenswürdiger Vermittler zwischen zentraler Nutzerdatenbank, Daten anfordernder Stelle und Nutzer auftritt und der anfordernden Stelle die Korrektheit der Authentifizierung und der Nutzerdaten zusichert. Besonderes Augenmerk wird auf die damit verbundenen datenschutzrechtlichen Aspekte gelegt. Als Vorarbeit sind vorhandene Ansätze zu recherchieren und zu bewerten, zum Beispiel: Shibboleth/Internet2 ( ITS Central Authentication Service ( Passport ( Liberty Alliance ( 1
8 1 Aufgabenstellung 2
9 2 Einleitung 2.1 Motivation An der Technischen Universität Chemnitz (TUC) werden über das Internet, vor allem per WWW, verschiedene Dienste angeboten. Dazu zählen zum Beispiel: das Kursverwaltungssystem des Sprachenzentrums KuVeS 1 das Skriptportal des Instituts für Print- und Medientechnik 2 der Skriptshop des Fachschaftsrats Informatik 3 zugriffsbeschränkte Bereitstellung von Lehrmaterialien zum Download 4 private nichtkommerzielle Dienste zur Organisation von Grill 5 - und Pizzabestellungen 6 und zeitlichen Koordination von Gremiumssitzungen 7 und anderen Veranstaltungen 8 Die Bereitstellung dieser Dienste erfolgt dabei jeweils durch Einrichtungen der Universität, einzelne Universitätsmitarbeiter oder Studenten, im Folgenden kurz durch die Anbieter. Demgegenüber stehen Personen, die diese bereitgestellten Dienste in Anspruch nehmen, sie seien im Folgenden kurz als Nutzer bezeichnet. Im Zuge des Trends, bisher konventionell angebotene Dienstleistungen auf etwa (Zugriff nur innerhalb der TUC)
10 2 Einleitung Online-Systeme umzustellen, ist zudem mit einem kontinuierlichen Anstieg der Anzahl solcher Dienste zu rechnen. Die Anbieter benötigen für ihre Dienste Daten über die Nutzer. Für alle Shop -Dienste ist es zum Beispiel erforderlich festzustellen, welcher Nutzer eine bestimmte Bestellung veranlasst hat. Dienste wie das KuVeS fragen zusätzlich Matrikelnummer und Fakultät ab. Für andere Dienste kann es dagegen ausreichend sein, zu prüfen, ob ein Nutzer ein Student der TUC ist. Die benötigten Daten lassen sich damit in zwei Gruppen unterteilen: 1. die Identität des Nutzers 2. andere Daten (Attribute) über einen Nutzer 2.2 Identität und Authentifizierungsverfahren Der Begriff der Identität soll hier im Sinne eines eindeutigen Identifikators des Nutzers verstanden werden, der also jeweils nur genau einer Person zugeordnet ist. Zur Ermittlung dieses Identifikators werden Authentifizierungsverfahren eingesetzt. Es wird meist das vom Universitätsrechenzentrum der TUC vergebene Nutzerkennzeichen 9 und das zugehörige Zugangs- oder AFS-Passwort abgefragt. [30] Bei diesem Authentifizierungsverfahren muss der Nutzer dem Anbieter allerdings dahingehend vertrauen, dass dieser das übergebene Passwort nicht abspeichert und dann ggf. später sogar selbst unter der Identität des Nutzers auftritt. Einige der oben angegebenen Dienste sind zum Beispiel in PHP implementiert. Das Nutzerkennzeichen lässt sich dabei nach erfolgter Authentifizierung mittels $_SERVER[ PHP_AUTH_USER ] auswerten. Ebenso leicht kann aber, in der derzeit an der TUC betriebenen Konfiguration, auch das Passwort des Nutzers per $_SERVER[ PHP_AUTH_PW ] ermittelt werden, ohne dass der Nutzer dies bemerken würde oder verhindern könnte ist TUC-weit eindeutig einer Person zugeordnet 10 natürlich abgesehen davon, bestimmte Dienste nicht zu nutzen 4
11 2.3 Attribute eines Nutzers Vereinzelt findet man auch IP-basierte Authentifizierungsverfahren 11 oder andere anbieterspezifische Nutzer/Passwort-Systeme. 2.3 Attribute eines Nutzers Zu den Attributen eines Nutzers gehören im TUC-Bereich zum Beispiel: Name und Vorname Matrikelnummer Anschrift -Adresse Gruppenzugehörigkeit (Mitarbeiter oder Student der TUC) Fakultätszugehörigkeit (oder sonstige Einrichtung) Telefonnummer Diese Attribute sind zum Teil für die Nutzung der Dienste der Anbieter direkt durch die Nutzer einzugeben. Einige, wie Name, -Adresse und Fakultätszugehörigkeit, können innerhalb der TUC auch über einen LDAP- Server 12 abgefragt werden. Bei anderen Attributen muss ein Anbieter jedoch den vom Nutzer gemachten Angaben vertrauen, versehentliche oder absichtliche Fehleingaben können nicht direkt erkannt werden. Zudem muss ein Nutzer in diesen Fällen seine Daten ggf. wiederholt bei verschiedenen Anbietern eingeben. Viele der im Normalfall benötigten Attribute sind jedoch durch direkte Übernahme aus dem Datenbestand des Studentenamtes ohnehin bereits in der zentralen Nutzerdatenbank des Universitätsrechenzentrums, der MoUSe, gespeichert. [10, Datenübernahme vom Studentenamt] Andere, wie zum Beispiel die Adresse, können über das Nutzermenü 13 der MoUSe direkt vom Nutzer eingegeben werden. Fehleingaben bleiben bei diesen Attributen dann allerdings unerkannt. 11 Eine im Chemnitzer Studentennetz vergebene IP ist jeweils genau einem Nutzer zugeordnet. 12 ldap.tu-chemnitz.de
12 2 Einleitung 2.4 Situation und Verbesserungsmöglichkeiten Es ergibt sich die Konstellation, dass eine dritte Instanz, nämlich das Universitätsrechenzentrum, insbesondere durch die MoUSe, über Daten verfügt, die die Anbieter für die Bereitstellung von Diensten benötigen. Sie kann zuverlässig und sicher Nutzer authentifizieren, Attribute über Nutzer bereitstellen und deren Korrektheit im oben beschriebenen Umfang zusichern. Seitens der Nutzer besteht jedoch auch ein regelmäßiges Interesse daran, dass ihre Attribute nicht frei verfügbar abgefragt werden können. Zudem können diese Daten aufgrund rechtlicher Zwänge nicht ohne weiteres an interessierte Anbieter herausgegeben werden. Eine Lösung wäre ein vom Universitätsrechenzentrum betriebener Dienst, der die Bereitstellung und den Zugriff auf die Daten geeignet regelt, im Folgenden nur noch kurz als Identitätsmanager oder auch Identitätsverwalter bezeichnet 14. Er wäre zudem für die korrekte Authentifizierung der Nutzer verantwortlich, ohne dass diese ihr Zugangs- oder AFS-Passwort gegenüber den einzelnen Anbietern offen legen müssen. 14 unter anderem auch zur besseren Unterscheidbarkeit zu den Diensten der Anbieter 6
13 3 Anforderungen an den Identitätsmanager 3.1 Datenschutzrechtliche Erwägungen Anwendbares Recht Grundlage des Datenschutzrechtes auf Bundesebene ist das durch Rechtssprechung des Bundesverfassungsgerichts aus Art. 2 Abs. 1 Grundgesetz (GG) [39] in Verbindung mit Art. 1 Abs. 1 GG abgeleitete Grundrecht auf informationelle Selbstbestimmung. [37] In Sachsen ist ein derartiges Grundrecht explizit in der Verfassung [40] verankert 15 und auf europäischer Ebene existiert eine entsprechende Richtlinie [38], die für die nationale Gesetzgebung bindend ist. Die Ausgestaltung dieses Grundrechts erfolgt für den öffentlichen Bereich auf Bundesebene und für den nicht-öffentlichen Bereich durch das Bundesdatenschutzgesetz (BDSG) 16 [41] und für den öffentlichen Bereich in Sachsen durch das Sächsische Datenschutzgesetz (SächsDSG) [42]. Das SächsDSG gilt insbesondere auch für der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts. 17 Des Weiteren finden sich Regelungen zum Datenschutz in einer Reihe weiterer Gesetze und Verordnungen, die als Spezialregelungen dem BDSG bzw. dem SächsDSG vorgehen. 18 Hinsichtlich der Hochschulen in Sachsen und damit auch der Technischen Universität Chemnitz wäre hier das Gesetz über die Hochschulen im Freistaat Sachsen (SächsHG) 19 [43] zu nennen. 15 vgl. Art. 33 der Verfassung des Freistaates Sachsen (SächsVerf) 16 vgl. 1 Abs. 2 BDSG 17 vgl. 2 Abs. 1 SächsDSG 18 vgl. 1 Abs. 3 BDSG und 2 Abs. 4 SächsDSG 19 konkret 106 SächsHG 7
14 3 Anforderungen an den Identitätsmanager Auf die Dienste der Anbieter kann das Teledienstegesetz (TDG) [44] und damit auch das Teledienste-Datenschutzgesetz (TDDSG) [45] bzw. der Mediendienste-Staatsvertrag (MDStV) [46] anwendbar sein. Die Einhaltung der für sie geltenden rechtlichen Vorschriften ist jedoch alleinige Angelegenheit der Anbieter und bedarf daher hinsichtlich des Identitätsmanagers hier keiner tief greifenden Erörterung Einwilligung des Nutzers in die Datenweitergabe Die in der MoUSe gespeicherten personenbezogenen Daten werden für jeden Studenten zum Teil direkt aus dem Datenbestand des Studentenamtes übernommen (siehe Abschnitt 2.3). Dabei handelt es sich um nach 106 Abs. 1 SächsHG erhobene und weitergegebene 20 Daten. Sie dürfen unter anderem für die Teilnahme an Lehrveranstaltungen und die Nutzung von Hochschuleinrichtungen verarbeitet werden. Inwieweit einzelne in der Einleitung genannte Dienste und Anbieter unter diese Ermächtigung fallen, kann offen bleiben, da sie jedenfalls nicht auf alle dort genannten Beispiele anwendbar ist. Ansonsten ist die Übermittlung und Nutzung dieser Daten im Normalfall 21 nur aufgrund einer Rechtsvorschrift oder mit Einwilligung des Betroffenen, also des Nutzers, zulässig. 22 Mangels entsprechender Rechtsvorschriften für alle abzudeckenden Dienste und Anbieter und im Interesse einer hohen Nutzerakzeptanz erscheint es daher sinnvoll und geboten, dass der Identitätsmanager generell die Einwilligung des Nutzers in die Datenweitergabe einholt, auch wenn dies für Einzelfälle rechtlich nicht zwingend erforderlich sein sollte. Auf welchem Wege die Daten anderer Personen, also der Nicht-Studenten, in die MoUSe gelangen, ist aus der Spezifikation der MoUSe [10] nicht klar ersichtlich. Jedenfalls ist auch hier davon auszugehen, dass eine Weitergabe, wenn überhaupt, jeweils nur bei Einwilligung der betroffenen Person in Betracht kommt. 20 in Verbindung mit 2 Abs. 4 der Benutzungsordnung des Universitätsrechenzentrums der Technischen Universität Chemnitz [47] 21 Ausnahmen, wie zum Beispiel die Gefährdung der öffentlichen Sicherheit, sollen hier nicht näher betrachtet werden. 22 vgl. 106 Abs. 2 SächsHG 8
15 3.1.3 Form der Einwilligung 3.1 Datenschutzrechtliche Erwägungen Ein wichtiger Punkt ist die Frage, ob die Einwilligung zu ihrer Wirksamkeit der Schriftform bedarf, oder ob auch eine Zustimmung in elektronischer Form ausreichend ist. In 106 SächsHG finden sich dazu keine Angaben. Nach BDSG und SächsDSG bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist 23. Ob eine Einwilligung über das Internet als besonderer Umstand anzusehen ist, ist umstritten. [4, Seite 13] Das SächsDSG erwähnt 24 die elektronische Form explizit in Verbindung mit einer qualifizierten elektronischen Signatur, ein für den Identitätsmanager untaugliches Verfahren. Diese Arbeit geht im Folgenden davon aus, dass eine einfache elektronische Einwilligung ausreichend ist, sofern sie bestimmten Grundsätzen genügt (siehe unten) und sich der Nutzer geeignet 25 authentifiziert. Bei Annahme einer gegenteiligen Auffassung wäre ein der Einleitung entsprechender Identitätsmanager nicht sinnvoll betreibbar, da der dann damit erforderliche Zusatzaufwand in keinem Verhältnis zum Nutzen mehr stehen würde. Als Anhaltspunkt für Anforderungen an die einfache elektronische Einwilligung kann, auch wenn es hier nicht direkt anwendbar ist, das TDDSG dienen 26 : Sie muss durch eine eindeutige und bewusste Handlung des Nutzers erfolgen. Sie muss protokolliert werden. Der Nutzer muss den Inhalt der Einwilligung jederzeit abrufen können. Auf das Recht auf jederzeitigen Widerruf mit Wirkung für die Zukunft ist hinzuweisen Anforderungen an die Datenübermittlung Insoweit die Übermittlung personenbezogener Daten zulässig ist, hat sie so zu erfolgen, dass die Daten nicht unbefugt gelesen, kopiert, verändert oder 23 vgl. 4a Abs. 1 BDSG und 4 Abs. 4 SächsDSG 24 4 Abs. 5 SächsDSG 25 etwa per URZ-Nutzerkennzeichen und Zugangs- bzw. AFS-Passwort 26 3 Abs. 3 TDDSG in Verbindung mit 4 Abs. 2 und 3 TDDSG 9
16 3 Anforderungen an den Identitätsmanager entfernt werden können Möglichkeit der anonymen und pseudonymen Nutzung In die neuere Gesetzgebung eingeflossen ist das Ziel, personenbezogene Daten möglichst sparsam zu erheben und zu verarbeiten. 28 Soweit es angemessen und technisch möglich ist, ist auch eine anonyme oder pseudonyme Nutzung vorzusehen. 29 Vor allem geht es dabei auch darum, das Mitführen der vollen Identität der Betroffenen während der eigentlichen Datenverarbeitungsvorgänge zu reduzieren. [4, Seite 11] In erster Linie ist es natürlich Aufgabe und Verantwortungsbereich der Anbieter ggf. entsprechende Verfahren einzusetzen. Der Identitätsmanager könnte diese Zielstellung jedoch unterstützen, indem er bei Bedarf ermöglicht, dass nur einzelne Attribute über einen Nutzer, ohne Preisgabe seiner Identität 30, zur Verfügung gestellt werden. 3.2 Technische Anforderungen Neben den Anforderungen, die sich bereits aus datenschutzrechtlichen Erwägungen ergeben, existieren zusätzliche Anforderungen, die hinsichtlich des Identitätsmanagers beachtet werden sollten, auch in technischer Hinsicht. Verfügbarkeit: Der Identitätsmanager muss ausreichend stabil sein. Sicherlich ist es wünschenswert, dass der Identitätsmanager immer verfügbar ist und korrekt funktioniert. Es dürfte in der Praxis jedoch ausreichend sein, wenn seine Ausfallzeiten im Rahmen der üblichen Ausfallzeiten der anderen kritischen Dienste des Universitätsrechenzentrums liegen. 27 vgl. Anlage zu 9 Satz 1 BDSG (BGBl. I 2003, S.88), sinngemäß auch 9 Abs. 2 SächsDSG 28 vgl. 3a BDSG 29 vgl. 3a BDSG und 4 Abs. 6 TDDSG 30 der konkreten Person 10
17 3.2 Technische Anforderungen Geschwindigkeit: Anfragen an den Identitätsmanager sollten möglichst schnell beantwortet werden. Jedenfalls darf die Zusammenarbeit mit dem Identitätsmanager nicht zu übermäßigen 31 Verzögerungen bei der Nutzung der Dienste der Anbieter führen. Wartbarkeit: Der sich durch den Betrieb des Identitätsmanagers unweigerlich ergebende Zusatzaufwand für das Universitätsrechenzentrum sollte möglichst gering sein. Dies erfordert automatisierte Verfahren. 32 Offenheit und Anpassungsfähigkeit: Aufgrund des Umgangs mit personenbezogenen Daten und der sicherheitskritischen Rolle des Identitätsmanagers erscheint die Verfügbarkeit der Implementierung auch im Quellcode, schon zur Prüfung auf mögliche Sicherheitslücken, unabdingbar. Eigene Anpassungen sollten zudem lizenzrechtlich möglich sein, um sich nicht in zu starke Abhängigkeit zu einem etwaigen Hersteller zu begeben. Gleiches gilt hinsichtlich der Verwendung von offenen Protokollen. Komplexität: Eine geringe Komplexität des Identitätsmanagers erscheint anstrebenswert. Komplexe Systeme neigen im Betrieb zu Fehlfunktionen. Mögliche Fehlerquellen können im Vorfeld schwieriger erkannt werden, die Lokalisierung und Behebung von auftretenden Fehlern gestaltet sich aufwändiger. erforderliches Betriebssystem: Bei dem Identitätsmanager handelt es sich offensichtlich um einen sicherheitskritischen Dienst. Daher bedarf auch das zugrunde liegende Betriebssystem einer ständigen Wartung, insbesondere hinsichtlich neu entdeckter und zu beseitigender Sicherheitslücken. Das Universitätsrechenzentrum betreibt derzeit alle kritischen Netzdienste auf der Basis von Linux. 33 Ein zukünftiger Identitätsmanager sollte daher ebenfalls unter Linux, möglichst unabhängig von einer konkreten Distribution, betreibbar sein. Dadurch kann zusätzlicher Administrationsaufwand, der durch den Einsatz eines speziellen 31 mehr als wenige Sekunden 32 auf eine nähere Definition wird verzichtet 33 vgl. 11
18 3 Anforderungen an den Identitätsmanager Betriebssystems nur für den Identitätsmanager entstehen würde, vermieden werden. Kosten: Die durch den Betrieb des Identitätsmanagers anfallenden Kosten sollten möglichst gering sein. Offensichtlich ist der Einsatz gewisser zusätzlicher Hardware-Ressourcen notwendig. Hinsichtlich der Software, also dem eigentlichen Identitätsmanager, verursachen unentgeltlich zur Verfügung gestellte Lösungen keine direkten Kosten. Jedoch scheiden trotzdem kommerzielle Lösungen nicht von vornherein aus. Diese könnten sich im Betrieb, zum Beispiel aufgrund besserer Wartbarkeit, letztendlich als günstiger erweisen. Eigenentwicklungen bedeuten zusätzlichen Aufwand, der sich in zusätzlichen Kosten niederschlägt. Unvergütet durchgeführte Studien- und Diplomarbeiten liefern allenfalls Realisierungsansätze, jedoch gewöhnlich keine Systeme für den sofortigen Produktionseinsatz. Zukunftssicherheit: Der Identitätsmanager sollte zukunftssicher sein. Dies betrifft vor allem die Fragen, wie die Zusammenarbeit mit zukünftigen Betriebssystemen und Anwendungen gewährleistet werden kann, welche Modifikationen dafür voraussichtlich erforderlich sind, welchen Umfang diese haben und vor allem, wer diese durchführt. Eigenentwicklungen und wenig verbreitete Lösungen sind hier wahrscheinlich im Nachteil gegenüber Standardlösungen. Anforderungen auf Nutzerseite: Der Identitätsmanager sollte auf Nutzerseite möglichst geringe Erwartungen hinsichtlich der benötigten Software stellen, insbesondere auch hinsichtlich der Features des eingesetzten Webbrowsers, wobei aber typischerweise zur Verfügung stehende Möglichkeiten 34 als zusätzliche Anforderungen hingenommen werden können. Dagegen ist die Installation zusätzlicher Software schon mangels kaum erreichbarer, breiter Portabilität abzulehnen. 34 etwa Cookies, Java-Script, Java 12
19 4 Technische Grundlagen In nächsten Kapitel werden einige bereits existierende Systeme untersucht. Alle haben ähnliche technische Probleme zu bewältigen, dies betrifft insbesondere die Kommunikation zwischen Nutzer, Anbieter und Identitätsmanager und die Sicherung der Vertraulichkeit und Integrität der Kommunikation. Dabei fällt auf, dass diese Systeme in ihrer Realisierung zum Teil ähnliche Lösungen verwenden, welche in diesem Kapitel vorab betrachtet werden. 4.1 Kommunikation zwischen Nutzer, Anbieter und Identitätsmanager Die Nutzung eines Dienstes eines Anbieters durch einen Nutzer beginnt im Sinne dieser Arbeit typischerweise damit, dass der Nutzer mit seinem WWW-Browser eine zum Dienst des Anbieters gehörende WWW-Seite aufruft. Dabei kommt das Hyper Text Transfer Protocol (HTTP) [7] zum Einsatz. Im Folgenden wird davon ausgegangen, dass dieses, wie im Internet üblich, auf TCP/IP aufsetzt. Begonnen wird mit einer HTTP- GET - Anforderung vom Nutzer an den Anbieter. Der Anbieter benötigt nun weitere Daten über den Nutzer, die er mittels des Identitätsmanagers ermitteln möchte. Vom Nutzer ist ihm nur die derzeitige IP und der Port bekannt, auf dem die Antwort auf die GET -Anforderung erwartet wird. Zur Vereinfachung sei angenommen, dass sich hinter dieser IP, über den Zeitraum des hier beschriebenen Ablaufs, nur genau dieser eine Nutzer befindet. 35 Jedenfalls dann ist der Port für Dritte ohne Bedeutung, 35 Durch die zusätzliche Übertragung geeigneter Kennungen und Schlüssel zwischen den Beteiligten wären auch mehrere Nutzer pro IP möglich, ebenso wie möglicherweise sichergestellt werden könnte, dass sich der Nutzer zwischenzeitlich nicht ändert. 13
20 4 Technische Grundlagen da er zur TCP-Verbindung zwischen Nutzer und Anbieter gehört. Der Anbieter könnte nun direkt mit dem Identitätsmanager kommunizieren 36 und ihm die IP des Nutzers mitteilen, mit dem Wunsch, Daten über diesen Nutzer zu erhalten. Damit der Identitätsmanager Daten über den Nutzer liefern kann, muss er zunächst selbst feststellen, um welchen konkreten Nutzer es sich handelt, der Nutzer muss sich also auf irgendeine Weise gegenüber dem Identitätsmanager authentifizieren. Dazu ist Kommunikation zwischen Nutzer und Identitätsmanager erforderlich. Der Identitätsmanager würde nun zwar die vom Anbieter erhaltene IP des Nutzers kennen und könnte damit theoretisch eine Kommunikationsverbindung zum Nutzer aufbauen. Dann wäre aber auf Seiten des Nutzers spezielle Software nötig, die solche Anfragen eines Identitätsmanagers auf einem vorher bekannten Port entgegennimmt und verarbeitet. Etwaige Firewalls zwischen Identitätsmanager und Nutzer müssten zudem so konfiguriert sein, dass ein Aufbau solcher Verbindungen vom Identitätsmanager zum Nutzer möglich ist (Abbildung 4.1). Wird nutzerseitig NAT eingesetzt, treten offensichtlich weitere, nichttriviale Probleme auf. Nutzer (WWW-Browser) Bearbeitung? 1. GET Anbieter (Dienst) Firewall Durchleitung? 3. Wer bist du? 2. Liefere mir Daten über Nutzer... (Nutzer-IP) (bekannter Port) Identitätsmanager Abbildung 4.1: einfacher Kommunikationsansatz 36 Das Protokoll sei an dieser Stelle offen gelassen. 14
21 4.1 Kommunikation zwischen Nutzer, Anbieter und Identitätsmanager Man wählt daher einen anderen Weg (Abbildung 4.2). Statt direkt eine Verbindung zwischen Anbieter und Identitätsmanager aufzubauen, nutzt man die bereits bestehende Verbindung zwischen Nutzer und Anbieter, indem man als Antwort auf die GET -Anforderung des Nutzers (1.) einen Redirect 37 auf den Identitätsmanager zurückschickt, der Anbieter wird dabei geeignet kodiert mit übergeben (2.). Aufgrund dieses Redirect baut nun der Nutzer selbst eine Verbindung zum Identitätsmanager auf, indem er diesem jetzt eine GET -Anforderung schickt (3.). Nun kann über einen Zwischenschritt 38 die Authentifizierung abgewickelt werden (4.). Danach erfolgt analog, mittels eines weiteren Redirect, die Übergabe von Daten über den Nutzer vom Identitätsmanager an den Anbieter, entweder direkt oder in Form eines so genannten Ticket, das vom Anbieter beim Identitätsmanager eingereicht werden kann, um Nutzerdaten abzufragen (5. und 6.). Nutzer (WWW-Browser) 3. GET 1. GET 2. Redirect 6. GET plus Daten vom Identitätsmanager Anbieter (Dienst) 4. Authentifizierung 5. Redirect Identitätsmanager Abbildung 4.2: verbesserter Kommunikationsansatz 37 Um-/Weiterleitung auf ein neues Ziel 38 Zum Beispiel könnte der Identitätsmanager als Antwort eine HTML-Seite mit einem HTML-Formular zurückschicken, welches der Nutzer mit Nutzerkennzeichen und Passwort auszufüllen hat, und danach zurück an den Identitätsmanager sendet. 15
22 4 Technische Grundlagen Zur technischen Realisierung der Redirects sind verschiedene Möglichkeiten gebräuchlich 39 : HTTP-Redirect: Bei Einsatz des HTTP-Redirect wird die ursprüngliche GET -Anforderung mit einer HTTP-Antwort mit dem Statuscode 302 ( Found ) [7, Abschnitt ] beantwortet, das gewünschte Ziel wird dabei als Location -URI gesetzt, weitere Daten können als Parameter angehängt werden. Der Browser des Nutzers reagiert auf eine solche Antwort normalerweise automatisch mit einer entsprechenden Anfrage an das neue Ziel. FORM-Redirect: Hier wird mittels einer normalen HTTP-Antwort, also Statuscode 200 ( OK ) [7, Abschnitt ], ein gewöhnliches HTML-Dokument ausgeliefert, welches ein HTML-Formular [25, Abschnitt 17.3] enthält. Daten können dabei innerhalb der Formularfelder übergeben werden, geschieht dies mittels INPUT -Elementen vom Typ hidden [25, Abschnitt 17.4] können diese Daten in der normalen Browserdarstellung vor dem Nutzer verborgen werden. Damit wird der Nutzer nicht durch ungewöhnliche Ausgaben irritiert. Die eigentliche Weiterleitung erfolgt über in das HTML-Dokument eingebettete Skriptbefehle, etwa per Java-Script. Werden diese vom Browser des Nutzers nicht unterstützt, so muss der Nutzer das Versenden des Formulars manuell auslösen. SCRIPT-Redirect: Auch hier wird ein gewöhnliches HTML-Dokument zurückgeliefert, wobei aber auf die Einbettung eines Formulars verzichtet wird. Stattdessen wird wieder über Scriptbefehle eine Weiterleitung veranlasst, wobei Daten direkt als Parameter der Ziel-URL übergeben werden können. Diese URL, einschließlich ihrer Parameter, sollte in einem <noscript> -Bereich [25, Abschnitt ] wiederholt werden, damit der Nutzer die URL manuell aufrufen kann, falls sein Browser die Scriptbefehle nicht unterstützt. 39 Die Benennung ist willkürlich gewählt, allein mit dem Zweck einer kurzen sprachlichen Unterscheidungsmöglichkeit im Rahmen dieser Arbeit. 16
23 4.2 Sicherheit der Kommunikation Nach Abschluss dieser initialen Kommunikationsschritte kennt also der Anbieter bereits die gewünschten Nutzerdaten oder ihm steht ein Ticket zur Verfügung, anhand dessen er diese beim Identitätsmanager abfragen kann. Insbesondere ist der Identitätsmanager in der Lage, anhand des Tickets auf den konkreten Nutzer zu schließen. Weitere Kommunikation zwischen Anbieter und Identitätsmanager bedarf daher nicht mehr dem Umweg über den Nutzer, sie kann auch direkt stattfinden. 4.2 Sicherheit der Kommunikation Um die Zuverlässigkeit des Gesamtsystems zu gewährleisten, ist es notwendig, es gegen Angriffe zu schützen, insbesondere muss dazu die Integrität und Vertraulichkeit der Kommunikation sichergestellt werden. Dies dient im Fall der Übermittlung von Nutzerdaten zudem datenschutzrechtlichen Zielen, vgl. Abschnitt Die Sicherung der Kommunikationsverbindungen erfolgt gewöhnlich mittels Secure Socket Layer (SSL) [24] bzw. der Weiterentwicklung Transport Layer Security (TLS) [3]. Vor allem in Kombination mit dem HTTP- Protokoll sind diese Verfahren weit verbreitet (HTTPS). Vertrauliche Kommunikation wird durch den Einsatz von symmetrischer Verschlüsselung erreicht. Das Verschlüsselungsverfahren und die Schlüssellänge wird von den beiden Beteiligten im Zuge des Aufbaus der Kommunikationsverbindung ausgehandelt, der eigentliche Schlüssel wird über ein übliches Schlüsselaustauschverfahren, in der Regel RSA key exchange, gewonnen. Dazu authentifiziert sich mindestens der Server (das Ziel der Verbindung) gegenüber dem Klient (der Initiator der Verbindung) unter Verwendung von Zertifikaten. Die Integrität der Kommunikation wird auf der Basis von schlüsselabhängigen Einweg-Hashfunktionen (Message Authentication Codes) gewährleistet. Veränderungen durch Dritte können so leicht erkannt werden. [31] Zu beachten ist, dass mittels SSL/TLS nur Punkt-zu-Punkt-Verbindung geschützt sind. Insbesondere könnte der Nutzer Daten, welche mittels Redirect zwischen Anbieter und Identitätsmanager über ihn weitergeleitet werden, einsehen und unbemerkt verändern. Damit verbundene Probleme lassen sich bei Bedarf durch den Einsatz von zusätzlicher Verschlüsselung, Signaturen, Einmalcodes, etc. auf höherer Ebene vermeiden. 17
Guide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrErste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?
Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt
MehrClientkonfiguration für Hosted Exchange 2010
Clientkonfiguration für Hosted Exchange 2010 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergegeben werden. Kontakt: EveryWare AG
MehrHandbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D7:
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Nutzung Sicherer E-Mail...
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrÖffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:
Schritt 1: Verbinden Sie Ihr wireless-fähiges Gerät (Notebook, Smartphone, ipad u. ä.) mit dem Wireless-Netzwerk WiFree_1. Die meisten Geräte zeigen Wireless-Netzwerke, die in Reichweite sind, automatisch
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrWeb Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen
9 3 Web Services 3.1 Überblick Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen mit Hilfe von XML über das Internet ermöglicht (siehe Abb.
MehrHandbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil C3:
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Auswahl der Standard -Zertifikate...3
MehrExterne Authentifizierung. Externe Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 23.05.2014
Version 2.0.1 Deutsch 23.05.2014 In diesem HOWTO wird beschrieben wie Sie verschiedene Backend's wie SQL Server, Radius Server, Active Directory etc. zur Authentifizierung der Benutzer an die IAC-BOX anbinden.
MehrFrogSure Installation und Konfiguration
FrogSure Installation und Konfiguration 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...1 2 Installation...1 2.1 Installation beginnen...2 2.2 Lizenzbedingungen...3 2.3 Installationsordner auswählen...4 2.4
MehrBedienungsanleitung für den SecureCourier
Bedienungsanleitung für den SecureCourier Wo kann ich den SecureCourier nach der Installation auf meinem Computer finden? Den SecureCourier finden Sie dort, wo Sie mit Dateien umgehen und arbeiten. Bei
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrSchritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken
In diesem Tutorial zeigen wir Ihnen, wie Sie im Mozilla Thunderbird E-Mailclient ein POP3-Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 2.0.0.6 verwendet. Schritt 1: Auswahl
MehrRegistrierung am Elterninformationssysytem: ClaXss Infoline
elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung
MehrPOP3 über Outlook einrichten
POP3 über Outlook einrichten In diesem Tutorial zeigen wir Ihnen, wie Sie im Outlook Express ein POP3 E-Mail Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 6.0 verwendet. Schritt
MehrAnleitungen zum KMG-Email-Konto
In dieser Anleitung erfahren Sie, wie Sie mit einem Browser (Firefox etc.) auf das Email-Konto zugreifen; Ihr Kennwort ändern; eine Weiterleitung zu einer privaten Email-Adresse einrichten; Ihr Email-Konto
MehrSeite 1 von 14. Cookie-Einstellungen verschiedener Browser
Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrWeb-Kürzel. Krishna Tateneni Yves Arrouye Deutsche Übersetzung: Stefan Winter
Krishna Tateneni Yves Arrouye Deutsche Übersetzung: Stefan Winter 2 Inhaltsverzeichnis 1 Web-Kürzel 4 1.1 Einführung.......................................... 4 1.2 Web-Kürzel.........................................
Mehrrobotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand: 28.05.2014
robotron*e count robotron*e sales robotron*e collect Anwenderdokumentation Version: 2.0 Stand: 28.05.2014 Seite 2 von 5 Alle Rechte dieser Dokumentation unterliegen dem deutschen Urheberrecht. Die Vervielfältigung,
Mehr2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein
Einrichtung von orgamax-mobil Um die App orgamax Heute auf Ihrem Smartphone nutzen zu können, ist eine einmalige Einrichtung auf Ihrem orgamax Rechner (bei Einzelplatz) oder Ihrem orgamax Server (Mehrplatz)
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote
Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen
MehrInhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3
Inhalt: Ihre persönliche Sedcard..... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Passwort ändern... 3 email ändern... 4 Sedcard-Daten bearbeiten... 4 Logout... 7 Ich kann die Sedcard
MehrLeitfaden zur Nutzung des System CryptShare
Leitfaden zur Nutzung des System CryptShare 1. Funktionsweise und Sicherheit 1.1 Funktionen Die Web-Anwendung CryptShare ermöglicht den einfachen und sicheren Austausch vertraulicher Informationen. Von
MehrEinrichtung eines E-Mail-Zugangs mit Mozilla Thunderbird
Einrichtung eines E-Mail-Zugangs mit Mozilla Thunderbird Inhaltsverzeichnis 1. Vollständige Neueinrichtung eines E-Mail-Kontos 2. Ändern des Servers zum Versenden von E-Mails (Postausgangsserver) 3. Ändern
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrMSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003
Page 1 of 11 Konfiguration NNTP unter Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 14.03.2005 Das Network News Transfer Protocol (NNTP) wird durch die Request for Comments
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrForefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung
Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und
Mehrestos UCServer Multiline TAPI Driver 5.1.30.33611
estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...
MehrSTRATO Mail Einrichtung Microsoft Outlook
STRATO Mail Einrichtung Microsoft Outlook Einrichtung Ihrer E-Mail Adresse bei STRATO Willkommen bei STRATO! Wir freuen uns, Sie als Kunden begrüßen zu dürfen. Mit der folgenden Anleitung möchten wir Ihnen
MehrFTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox
FTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox Bitte beachten: Der im folgenden beschriebene Provider "www.cwcity.de" dient lediglich als Beispiel. Cwcity.de blendet recht häufig
MehrUmstellung einer bestehenden T-Online Mailadresse auf eine kostenlose T-Online Freemail-Adresse
13.10.10 Umstellung einer bestehenden T-Online Mailadresse auf eine kostenlose T-Online Freemail-Adresse Sie wollen auch nach der Umstellung auf einen neuen Provider über ihre bestehende T-Online Mailadresse
MehrSchritt 2: Konto erstellen
In diesem Tutorial zeigen wir Ihnen, wie Sie im Outlook Express ein POP3 E-Mail Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 6.0 verwendet. Schritt 1: Wenn Sie im Outlook Express
MehrCookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel
Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel 2 Inhaltsverzeichnis 1 Cookies 4 1.1 Regelungen......................................... 4 1.2 Verwaltung..........................................
MehrISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung
Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft
MehrImport des persönlichen Zertifikats in Outlook Express
Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen
MehrEasyWk DAS Schwimmwettkampfprogramm
EasyWk DAS Schwimmwettkampfprogramm Arbeiten mit OMEGA ARES 21 EasyWk - DAS Schwimmwettkampfprogramm 1 Einleitung Diese Präsentation dient zur Darstellung der Zusammenarbeit zwischen EasyWk und der Zeitmessanlage
MehrImport des persönlichen Zertifikats in Outlook 2003
Import des persönlichen Zertifikats in Outlook 2003 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
MehrTreckerverein Monschauer Land e.v.
Der Mitgliederbereich Der Mitgliederbereich (TV-MON Intern) ist ein Teil der Webseiten des Treckervereins, der nicht öffentlich und für jedermann zugängig ist. Dieser Bereich steht ausschließlich Mitgliedern
Mehra.i.o. control AIO GATEWAY Einrichtung
a.i.o. control AIO GATEWAY Einrichtung Die folgende Anleitung beschreibt die Vorgehensweise bei der Einrichtung des mediola a.i.o. gateways Voraussetzung: Für die Einrichtung des a.i.o. gateway von mediola
MehrIntelliShare E-Mail-Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit.
IntelliShare E-Mail-Verschlüsselung IntelliShare - Anwenderhandbuch Sicherheit. Echtheit. Vertraulichkeit. Inhalt Vorwort... 2 Soe versenden Sie Daten mit IntelliShare:... 2 Datenversand mit dem IntelliShare
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrGEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY
GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY Vorteile der Verwendung eines ACTIVE-DIRECTORY Automatische GEORG Anmeldung über bereits erfolgte Anmeldung am Betriebssystem o Sie können sich jederzeit als
MehrAnleitung BFV-Widget-Generator
Anleitung BFV-Widget-Generator Seite 1 von 6 Seit dem 1. Oktober 2014 hat der Bayerische Fußball-Verband e.v. neue Widgets und einen neuen Baukasten zur Erstellung dieser Widgets veröffentlicht. Im Folgenden
MehrBetriebskonzept E-Mail Einrichtung
Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrBenutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.
Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für
MehrZugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:
Anleitung zur Installation der Exchange Mail Lösung auf Android 2.3.5 Voraussetzung für die Einrichtung ist ein vorliegender Passwortbrief. Wenn in der folgenden Anleitung vom Extranet gesprochen wird
MehrAbschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh
Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh 1 Welche Verträge können über dieses Portal abgeschlossen werden? Lieferantenrahmenvertrag Strom Zuordnungsvereinbarung
MehrE-Mail-Verschlüsselung mit Geschäftspartnern
E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3
MehrWählen Sie bitte START EINSTELLUNGEN SYSTEMSTEUERUNG VERWALTUNG und Sie erhalten unter Windows 2000 die folgende Darstellung:
Installation Bevor Sie mit der Installation von MOVIDO 1.0 beginnen, sollten Sie sich vergewissern, dass der Internet Information Server (IIS) von Microsoft installiert ist. Um dies festzustellen, führen
MehrRichtlinie zur.tirol WHOIS-Politik
Richtlinie zur.tirol WHOIS-Politik Die vorliegende Policy soll nach österreichischem Rechtsverständnis ausgelegt werden. Im Streitfall ist die deutsche Version der Policy einer Übersetzung vorrangig. Inhalt
MehrEinrichtung eines e-mail-konto mit Outlook Express
Einrichtung eines e-mail-konto mit Outlook Express In diesem Tutorial zeigen wir Ihnen, wie Sie im Outlook Express ein POP3 E-Mail Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version
MehrSichere E-Mails. Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank
Sichere E-Mails Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank Version: 2.1 Stand: 18.07.2014 Inhaltsverzeichnis II Inhaltsverzeichnis 1 Einleitung... 1 1.1 Überblick... 1 1.2 Allgemeine
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrKontoname ist Mailanschrift ohne @ecosign.net! Maximale Mailboxgrösse: Maximale Nachrichtengrösse: Haltezeit der Nachrichten:
Serverdaten: @ecosign.net Mailserver: Webmail: POP3: SMTP: http://webmail.ecosign.net pop.ecosign.net smtp.ecosign.net Kontoname ist Mailanschrift ohne @ecosign.net! Nutzung: Maximale Mailboxgrösse: Maximale
MehrBusinessMail X.400 Webinterface Gruppenadministrator V2.6
V2.6 Benutzerinformation (1) In der Vergangenheit konnten Sie X.400 Mailboxen, die Ihnen als Gruppenadministrator zugeordnet sind, nur mittels strukturierten Mitteilungen verwalten. Diese Mitteilungen
MehrMaileinstellungen Outlook
Maileinstellungen Outlook Auf den folgenden Seiten sehen sie die Einstellungen diese bitte exakt ausfüllen bzw. die angeführten Bemerkungen durchlesen und die Eingaben entsprechend anpassen. Je nach Versionsstand
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen
MehrSo richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:
Seit der Version 3 von Apple Mail wird ein neuer E-Mail-Account automatisch über eine SSL-verschlüsselte Verbindung angelegt. Daher beschreibt die folgende Anleitung, wie Sie Ihr Postfach mit Apple Mail
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
Mehr1&1 Webhosting FAQ Outlook Express
Seite 1 von 6 Sie befinden sich hier: WebHosting-FAQ E-Mail & Unified Messaging E-Mail-Clients - Einrichtung und Konfiguration Outlook Express Artikel #1 Outlook Express Hinweis: Die nachfolgende Beschreibung
MehrAbruf und Versand von Mails mit Verschlüsselung
Bedienungstip: Verschlüsselung Seite 1 Abruf und Versand von Mails mit Verschlüsselung Die folgende Beschreibung erklärt, wie man mit den üblichen Mailprogrammen die E- Mailabfrage und den E-Mail-Versand
MehrBSV Software Support Mobile Portal (SMP) Stand 1.0 20.03.2015
1 BSV Software Support Mobile Portal (SMP) Stand 1.0 20.03.2015 Installation Um den Support der BSV zu nutzen benötigen Sie die SMP-Software. Diese können Sie direkt unter der URL http://62.153.93.110/smp/smp.publish.html
MehrThunderbird Portable + GPG/Enigmail
Thunderbird Portable + GPG/Enigmail Bedienungsanleitung für die Programmversion 17.0.2 Kann heruntergeladen werden unter https://we.riseup.net/assets/125110/versions/1/thunderbirdportablegpg17.0.2.zip
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrCOMPUTER MULTIMEDIA SERVICE
Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web
MehrFAQ. Hilfe und Antworten zu häufig gestellten Fragen
FAQ Hilfe und Antworten zu häufig gestellten Fragen Ich kann mich nicht einloggen 2 Wie kann ich die hinterlegte E-Mail Adresse in meinem Account ändern 2 Wie funktioniert die Bestellung 2 Wo kann ich
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrDurchführung der Datenübernahme nach Reisekosten 2011
Durchführung der Datenübernahme nach Reisekosten 2011 1. Starten Sie QuickSteuer Deluxe 2010. Rufen Sie anschließend über den Menüpunkt /Extras/Reisekosten Rechner den QuickSteuer Deluxe 2010 Reisekosten-Rechner,
MehrDokumentation für Windows
Informations- und Kommunikationstechnologie E-Learning Service Leitfaden für WLAN am Campus Lichtenberg der HWR Berlin (Stand 11/2012) Dokumentation für Windows Das HRZ kann für die Konfiguration Ihres
MehrS Sparkasse Hohenlohekreis. Leitfaden zu Secure E-Mail
S Sparkasse Hohenlohekreis Leitfaden zu Secure E-Mail Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von
MehrBüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen
BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Mehrmeine-homematic.de Benutzerhandbuch
meine-homematic.de Benutzerhandbuch Version 3.0 Inhalt Installation des meine-homematic.de Zugangs... 2 Installation für HomeMatic CCU vor Version 1.502... 2 Installation für HomeMatic CCU ab Version 1.502...
MehrComtarsia SignOn Familie
Comtarsia SignOn Familie Handbuch zur RSA Verschlüsselung September 2005 Comtarsia SignOn Agent for Linux 2003 Seite 1/10 Inhaltsverzeichnis 1. RSA Verschlüsselung... 3 1.1 Einführung... 3 1.2 RSA in Verbindung
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Rottal-Inn ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen des
MehrGauß-IT-Zentrum Anleitung zur Installation von Windows Live Mail unter Windows 7 und Anbindung an das E-Mail-System Communigate Pro
Gauß-IT-Zentrum Anleitung zur Installation von Windows Live Mail unter Windows 7 und Anbindung an das E-Mail-System Communigate Pro 09.02.2011 V 1.1 Seite 1 von 11 Inhaltsverzeichnis Anleitung zur Installation
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrVerwendung des Mailservers
Inhaltsverzeichnis Verwendung des Mailservers 1 Einleitung...1 2 Die wichtigsten Parameter...2 3 Webmail Squirrelmail...2 3.1 Login...2 3.2 Optionen...3 3.3 Persönliche Informationen...3 3.4 Passwort ändern...4
MehrHandbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrSSH Authentifizierung über Public Key
SSH Authentifizierung über Public Key Diese Dokumentation beschreibt die Vorgehensweise, wie man den Zugang zu einem SSH Server mit der Authentifizierung über öffentliche Schlüssel realisiert. Wer einen
MehrAUF LETZTER SEITE DIESER ANLEITUNG!!!
BELEG DATENABGLEICH: Der Beleg-Datenabgleich wird innerhalb des geöffneten Steuerfalls über ELSTER-Belegdaten abgleichen gestartet. Es werden Ihnen alle verfügbaren Belege zum Steuerfall im ersten Bildschirm
MehrVPN-Verbindung zur Hochschule Hof Mac OS 10.8.1
Inhalt 1 VPN-Verbindung einrichten... 2 Abbildungen Abbildung 1 Systemsteuerung... 2 Abbildung 2 - Systemsteuerung / Netzwerk... 3 Abbildung 3 - VPN-Typ... 3 Abbildung 4 - VPN-Einstellungen... 4 Abbildung
MehrLeitfaden zur Nutzung von binder CryptShare
Leitfaden zur Nutzung von binder CryptShare Franz Binder GmbH & Co. Elektrische Bauelemente KG Rötelstraße 27 74172 Neckarsulm Telefon +49 (0) 71 32-325-0 Telefax +49 (0) 71 32-325-150 Email info@binder-connector
MehrImport, Export und Löschung von Zertifikaten mit dem Microsoft Internet Explorer
Import, Export und Löschung von Zertifikaten mit dem Microsoft Internet Explorer Version 1.0 Arbeitsgruppe Meldewesen SaxDVDV Version 1.0 vom 20.07.2010 Autor geändert durch Ohle, Maik Telefonnummer 03578/33-4722
MehrKurzanleitung GigaMove
Kurzanleitung GigaMove Dezember 2014 Inhalt Kurzerklärung... 1 Erstellen eines neuen Benutzerkontos... 2 Login... 5 Datei bereitstellen... 6 Bereitgestellte Datei herunterladen... 6 Datei anfordern...
MehrDaten-Synchronisation zwischen dem ZDV-Webmailer und Outlook (2002-2007) Zentrum für Datenverarbeitung der Universität Tübingen
Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook (2002-2007) Zentrum für Datenverarbeitung der Universität Tübingen Inhalt 1. Die Funambol Software... 3 2. Download und Installation... 3 3.
MehrLeitfaden zur Installation von Bitbyters.WinShutdown
Leitfaden zur Installation von Bitbyters.WinShutdown für Windows 32 Bit 98/NT/2000/XP/2003/2008 Der BitByters.WinShutDown ist ein Tool mit dem Sie Programme beim Herunterfahren Ihres Systems ausführen
MehrEnigmail Konfiguration
Enigmail Konfiguration 11.06.2006 Steffen.Teubner@Arcor.de Enigmail ist in der Grundkonfiguration so eingestellt, dass alles funktioniert ohne weitere Einstellungen vornehmen zu müssen. Für alle, die es
Mehr