Benutzerverwaltung. Contentmanagementsysteme Sommersemester 2004 FH-Augsburg. Daniel Pluta

Transkript

1 Benutzerverwaltung Contentmanagementsysteme Sommersemester 2004 FH-Augsburg Daniel Pluta

2 Benutzerverwaltung wozu? Zugriff auf Informationen schützen und einschränken nken kontrollieren und überwachen Sichere Identifikation und Authentifikation Viele unterschiedliche Dienste mit eigener Benutzerverwaltung www,, ftp, Fileserver, Proxies,, CVS, Shell, Datenbanken,

3 Was wird verwaltet? (1) Benutzer, Gruppen evtl. Rollen Authentifizierungverfahren Persönliche Identifikation Authorisierungsmechanismen Zugriff auf persönliche, gruppen- oder rollenbasierte Informationen (z.b. zeitgesteuert) Accounting / Logging von Aktivitäten ten Sessions

4 Was wird verwaltet? (2) Authentifizierungsverfahren für f r Benutzer: Schwache Verfahren Basierend auf persönlichem Wissen oder Besitz Starke Verfahren Kombination aus Wissen und Besitz (z.b. RSA- SecureID Key-FOB / PINPAD-Card Policies und Credentials: Passwort: Länge, L Komplexität, t, Gültigkeitsdauer, History,, Verschlüsselung sselung

5 Übliche Benutzerverwaltung Separat innerhalb jeder Komponente (dezentral) Betriebssystem: /etc/passwd Webserver: htaccess Datenbank: integriert in Produkt Globaler Dienst (zentral): Datenbank mit standardisierter Schnittstelle Directory Services: OpenLDAP, iplanet DS, NDS, ADS

6 Dezentrale Benutzerverwaltung Vorteile: Schnelle und unabhängige ngige Einrichtung Nachteile: Benutzerverwaltung nicht Kernkompetenz Zusätzlicher Entwicklungsaufwand Hoher administrativer Aufwand Redundanz Konflikte im Namensraum Mangelnder Komfort / mangelnde Akzeptanz (beim Benutzer und Administrator!) Probleme mit sicheren Bakups!

7 Zentrale Benutzerverwaltung Vorteile: Definierte Schnittstellen Einfache Wartung / Erweiterung / Anpassung Spezialisiert und optimiert auf Sicherheit! Einfache Administration (Unterteilung) Global und gruppen- oder rollenbasiert Skalierung / Leistungsfähigkeit / Ausfallsicherheit Hierarchische Baumstruktur Akzeptanz bei Benutzern und Administratoren Möglichkeit der Verkettung: Apache LDAP SASL Kerberos Wartungsfreundlich Lediglich ein zentrales Konzept für f r sicheres Backup!

8 Zentrale Benutzerverwaltung (2) Nachteile: Ein Passwort für r alle Dienste Starke Authentifizierungsmechanismen empfohlen! Jeder Dienst benötigt Schnittstelle zur Benutzerverwaltung Komplizierteres Setup unter Berücksichtigung von: HA, Vermeidung von Single-Point Point-Of-Failures Replikation Verkettung

9 CMS Benutzerverwaltung Nutzung von existierenden Verwaltungen Verwendung der Benutzerverwaltung des Datenbank-Herstellers /etc/passwd oder htaccess Eigenentwicklung Flat-File File basiert Textdateien oder Datenbanken im Dateisystem SQL-Datenbank basiert eigene Verwaltungsstruktur Nutzung von bestehenden Verzeichnisdiensten: LDAP

10 LDAP Einführung Standardisiertes Protokoll: LDAPv3 (RFC 3377, ) 2256) Authentifizierung innerhalb LDAP: RFC 2829 TLS Erweiterung innerhalb LDAP: RFC 2830 Lightweight Directory Access Protocol Subset von X.500 Operationen Einfacher als X.500 bzgl. Administration und Programmierung Lediglich neun Kern-Operationen spezifiziert Netzwerk Verzeichnisdienst Generell nichts Neues: z.b. DNS, NIS, NFS Verzeichnis ist kein Datenbank-System! Gemeinsamkeit mit DB-System: Schnelle Suche, erweiterbare Schemata Unterschied zu DB-System Optimiert für f r Lese-Zugriffe (keine Transaktionen oder Write-Locks Locks!)

11 Speicherung Datentypen Offenes Modell für f r beliebige Daten Alphanumerische Daten: Namen, Adressen, Beschreibungen, Zahlen Zeiger auf andere Daten: Interne Referenzen (eigenes Verzeichnis) Externe Referenzen (fremde Verzeichnisse) Zertifikate z.b. für f r PKI (z.b.: Binärdaten Grafiken, Diagramme, Fotos, etc.

12 DIT - Directory Information Tree Daten werden in Einträgen gespeichert Einträge werden als Baumknoten gespeichert Jeder Knoten hat 0 n Sub-Knoten Jeder Knoten hat exakt einen Vorgänger nger- Knoten (Ausnahme: root)

13 DIT - Directory Information Tree

14 RDN / DN RDN: Relative Distingushed Name Bezeichnet ein Element innerhalb einer Ebene Beispiel: RDN: O=FHA DN: Distinguished Name Alle RDNs auf dem Weg von der Wurzel Blatt Beispiel: DN: CN=Vor- u. Nachname, OU=Inf,, O=FHA, L=Augsburg,, C=DE DN Zeiger Alias: besitzen einen DN und zeigen auf anderen DN seealso: : besitzen eigene Daten, DN und zeigen auf anderen DN

15 LDAP Informationsmodell Datensatz wird als Entry bezeichnet Entry besteht aus Attributen Attribute bestehen aus Typ und Wert Attributwert single oder multivalue Attr.Typ: Zugehörige Attributsyntax, der der Attr.Wert unterliegt Zugehörige Vergleichsregeln für f r Attributwerte: eq, substr,, order, ext

16 Spezielle Attribute Mindestens ein Objektklassen-Attribut pro Eintrag Charakterisierung des gesamten Eintrags Spezifiziert Satz von zu verwendender Attribut-Typen (must( und may Attribute) Vererbung von Attributtypen von übergeordneten Objektklassen ist möglichm

17 Objektklassen Abstract Verwendung für f r Vererbungshierarchie Darf nicht alleine verwendet werden Structural Definiert Hauptcharakteristik eines Eintrags Repräsentiert Objekt aus der realen Welt (z.b.: person, organization, organizational unit) Max. eine structural Objektklasse pro Eintrag Auxiliary Hilfsklasse für f r zusätzliche Eigenschaften eines Eintrags (z.b.: PKIUser)

18 Schema Set von Objektkassen, Attributen, Syntaxen und Vergleichsregeln die für f r einen bestimmten Zweck definiert wurden Jedes Element eines Schemas hat eine weltweit eindeutige OID Nummer (Object( Identifier) Eigene Schemata können k definiert werden Lokale Verwendung jederzeit möglichm Globale Verwendung nur mit offizieller OID, besser zusätzliche Standardisierung OIDs können kostenfrei bei der IANA reserviert werden

19 Verteilte Struktur Daten können k auf verschiedenen Systemen (DSA, Directory Service Agents) verteilt werden Teilbäume können k ähnlich DNS verteilt (delegiert) werden Verweise mittels sog. Referrals

20 Funktionsmodell Authentifizierungs-Operationen: bind, unbind, abandon Abfrage-Operationen: search, compare Update-Operationen: add, delete, modify, modifydn

21 Authentifizierung Simple Bind Authentifizierung anhand DN und Password Klartext-Transfer Simple-Bind + TLS TLS, Transport Layer Security Verschlüsselung sselung der Session vor der Übertragung SASL Simple Authentication and Security Layer Mechanismen: MD5, SHA, KerberosV4, GSSAPI, etc.

22 LDIF Spezifiziert in RFC 2849 LDAP Data Interchange Format ASCII-Format

23 Replikation Fehlender Standard: Keine implementierungsübergreifende Replikation möglich Implementierungsübergreifende Replikation mittels: LDIF (export( / import) XML-Ans Ansätze Client Update Mechanismen Proprietäre re LösungenL Standardisierungsbemühungen seit 1998 IETF WG LDUP LDAP Duplication / Replication / Update Prot.

24 LDAP Unterstützung tzung Verzeichnisdienst Server: Alle aktuellen Verzeichnisdienst-Implementierungen z.b.: Clients: X.500(93) Novell Directory Services Microsoft Active Directory MUA (Mail User Agents) für f r Adress-Suche Browser (LDAP-URL) Verschlüsselungsprogramme sselungsprogramme Standard-Implementierungen: Cyrus IMAP, SMTP Auth,, Bind Ver. 8 und 9 Sendmail Apache

25 Danke für f r Ihre Aufmerksamkeit!