PSR Dokumentation Rechteverwaltung Seite 1 von 12 Rechteverwaltung Allgemeines Password Safe and Repository (PSR) besitzt eine integrierte umfangreiche Rechteverwaltung. Diese funktioniert ähnlich wie die Freigaben von Ordnern unter Windows und ist daher sehr einfach und leicht zu bedienen. Mit der Rechteverwaltung können Sie eine Datenbank einer großen Gruppen von Benutzern zugänglich machen. Jeder Benutzer wird in der Datenbank angelegt und kann individuelle Rechte besitzen. Voraussetzungen Um die Rechteverwaltung von PSR nutzen zu können, benötigen Sie eine Vollversion der folgenden Programme: Password Safe and Repository Professional oder Password Safe and Repository Password Key Sie können die jeweils aktuelle Version von www.passwordsafe.de herunterladen. Konfiguration Als erstes müssen Sie eine neue Datenbank anlegen und dieser zuweisen, dass es die Rechteverwaltung nutzen soll. Klicken Sie also im Anmeldefenster auf die Schaltfläche Datenbank einrichten um eine neue Datenbank zu erstellen. Wichtig: Es ist nicht möglich bei einer bestehenden Datenbank ohne Rechteverwaltung, die Rechteverwaltung nachträglich zu aktivieren. Auch das deaktivieren ist nicht möglich. Der Assitent für das Anlegen einer Datenbank startet. Folgen Sie den Anweisungen des Assistenten.
PSR Dokumentation Rechteverwaltung Seite 2 von 12 Wichtig: Wenn Sie im Netzwerk mit mehreren Benutzern arbeiten möchten, so müssen Sie den Netzwerkbetrieb aktivieren. Dies stellt sicher, dass die angemeldeten Benutzer immer die aktuellen Daten erhalten. Auf der Seite Rechteverwaltung müssen Sie natürlich die Rechteverwaltung aktivieren. Folgen Sie den weiteren Anweisungen des Assistenten und schliessen Sie zum Schluss den Assistent mit Fertigstellen ab um die neue Datenbank zu erstellen.
PSR Dokumentation Rechteverwaltung Seite 3 von 12 Anmeldung Nach dem Anlegen der Datenbank, steht Ihnen diese für die Anmeldung zur Verfügung. Wählen Sie die neue Datenbank aus der Auswahlbox aus und geben Sie Ihr Datenbankpasswort ein. Jetzt sehen Sie schon den Ersten Unterschied zu einer Datenbank ohne Rechteverwaltung. Da die Rechteverwaltung aktiviert ist, erhalten Sie ein zweites Anmeldefenster, bei dem Sie den Benutzer auswählen und das Benutzerpasswort eingeben. Sie nehmen hiermit sozusagen eine Art Rolle in der Datenbank an. Wichtig: In größeren Firmen ist es sinnvoll, das Datenbankpasswort nicht herauszugeben. Sondern jeder Benutzer darf sich nur mit seinem Benutzeraccount anmelden. Da die Datenbank aber mit dem Datenbankpasswort verschlüsselt wird, ist es nicht möglich, nur mit dem Benutzerpasswort sich anzumelden. Wir bieten hierfür aber 2 Möglichkeiten der Authentifizierung an: 1. Autologin: Der Autologin wird direkt am Client vom Administrator eingerichtet. Es werden dabei die Datenbank und das Datenbankpasswort in der Registry gespeichert. Wenn der Benutzer PSR startet, wird er sofort mit der Datenbank connectiert und sieht nur noch den Benutzerlogin. Die Daten in der Registry werden mit dem Maschinencode des PCs verschlüsselt und können so nicht ausgelesen oder auf einen anderen PC übertragen werden.
PSR Dokumentation Rechteverwaltung Seite 4 von 12 2. Plugin zur Authentifizierung: Über unsere Plugin-Schnittstelle kann im Prinzip jede Authentifizierungsmethode angebunden werden. Beispiele sind hier USB-Token oder Smartcards oder auch Biometriehardware wie Fingerabdruckscanner. Zur Zeit bieten wir hier den Password Key USB-Schlüssel an. Dieser hat den Vorteil, dass Sie dem Benutzer das Datenbankpasswort nicht aushändigen müssen. Der Benutzer meldet sich an, indem er den Password Key an einen freien USB-Port steckt. Der Benutzer muss sich dann nur noch an der Datenbank mit seinem Benutzer und dem zugehörigen Passwort anmelden. Der Password Key kann zusätzlich auch mit einer PIN gesichert werden, damit dieser bei Verlust nicht missbraucht werden kann. Zur Zeit verfügbare Plugins: - Password Key USB-Schlüssel - Standard USB-Schlüssel Weitere Informationen zum Password Key finden Sie unter im Internet www.passwordsafe.de. 3. Modul Network Logon Die Standard und die Professional Version können mit diesem Modul um den Network Logon erweitert werden. Die Anmeldung kann so optional automatisch über das Netzwerk erfolgen und es muss somit kein Passwort für die Anmeldung eingegeben werden. Das Modul muss einmalig für eine Lizenzdatei erworben werden und gilt dann für alle vorhanden Clients, die sich an diese Lizenzdatei anmelden. Verwalten Sie den Login für Ihre Clients zentral auf Ihrem Server. Wenn die Rechteverwaltung aktiv ist, so muss sich der Benutzer nur noch mit seinen eigenen Anmeldedaten einloggen. Das Passwort der Datenbank müssen Sie somit nicht mehr an Ihre Benutzer herausgeben. Das Modul ist eine kostengünstige Alternative zu den Password Key USB-Schlüsseln. Bitte beachten Sie, dass bei diesem Modul auf Wunsch auch ein Kopierschutz aktiviert werden kann, damit die Lizenzdatei nicht auf einen anderen PC übertragen werden kann. Die Lizenzdatei ist somit an Ihren Server gebunden. Wenn Sie dies wünschen, so geben Sie dies im Bemerkungsfeld im Bestellprozess an. Wenn Sie uns keinen Hinweis senden, so wird die Lizenzdatei ohne Kopierschutz ausgeliefert.
PSR Dokumentation Rechteverwaltung Seite 5 von 12 Lizenzinfo: Das Modul muss einmalig für eine Lizenzdatei erworben werden und gilt dann für alle vorhanden Clients, die sich an diese Lizenzdatei anmelden. Das Modul ist (sofern Lizenziert) nur in der Vollversion verwendbar, in der Demoversion ist das Modul deaktiviert. Erste Anmeldung über die Rechteverwaltung Melden Sie sich nun das Erste mal an, gibt es nur das Administratorenkonto. Dieses Konto hat noch kein Passwort. Klicken Sie also einfach auf Ok und vergeben Sie dann anschließend im nächsten Fenster ein neues Passwort für das Administratorenkonto. Wählen Sie ein sinnvolles und gutes Passwort, auf dass so schnell keiner kommt. Tipps für sichere Passwörter erhalten Sie auch über die Passwortanalyse im Passwortgenerator. Einrichtung der Benutzerkonten Sie sind nun in PSR angemeldet und haben eine leere Datenbank. Über das Menü Extras -> Rechteverwaltung, öffnen Sie die Verwaltungskonsole für die Benutzerkonten. Dieser Menüpunkt steht natülich nur zur Verfügung, wenn die Rechteverwaltung für die Datenbank aktiviert ist.
PSR Dokumentation Rechteverwaltung Seite 6 von 12 Im linken Bereich können Sie die Benutzer oder Gruppen wählen und im rechten Bereich können Sie diese bearbeiten. Verwenden Sie wie unter Windows üblich, die rechte Maustaste um Einträge zu bearbeiten oder auch neu anzulegen. Legen Sie nun alle Benutzer an und legen Sie die grundlegenden Rechte fest. Je nachdem wie Ihre Verwaltung oder Gruppenstruktur aussieht, können Sie auch vorher die Gruppen anlegen.
PSR Dokumentation Rechteverwaltung Seite 7 von 12 Allgemeine Grundrechte des Benutzers festlegen - Benutzer kann Einstellungen ändern Hiermit können Sie verhindern oder erlauben, dass der Benutzer Einstellungen an der Datenbank vornehmen kann. Die Einstellungen wirken sich auf alle Benutzer aus. - Benutzer kann Rechte verwalten Hiermit können Sie verhindern oder erlauben, dass der Benutzer die Rechteverwaltung aufrufen darf und Änderungen an Benutzerkonten vornehmen kann. Ausserdem wird über dieses Recht festgelegt, ob der Benutzer Freigaben erteilen und ändern darf. Der Reiter Freigabe wird somit dem Benutzer zur Verfügung gestellt. - Benutzer kann Hauptpasswort ändern Hiermit können Sie verhindern oder erlauben, dass der Benutzer das Hauptpasswort der Datenbank ändern kann. - Benutzer kann PIN ändern Hiermit können Sie verhindern oder erlauben, dass der Benutzer die PIN des Datenbankkontos ändern kann. - Benutzer kann Datensicherung exportieren Hiermit können Sie verhindern oder erlauben, dass der Benutzer Daten exportieren kann. - Benutzer kann Datensicherung importieren Hiermit können Sie verhindern oder erlauben, dass der Benutzer Daten importieren kann. - Benutzer kann Logbuch löschen Hiermit können Sie verhindern oder erlauben, dass der Benutzer das Logbuch löschen kann. - Benutzer kann überwacht werden Hiermit können Sie verhindern oder erlauben, dass der Benutzer überwacht werden kann. D.h. ob Logbucheinträge für den Logbucheintrag Ansehen/Öffnen erstellt werden. Einrichtung der Gruppen Um eine einfachere Administration zu ermöglichen. Können Sie Benutzer in Gruppen einteilen und zuordnen. Hierzu legen Sie sich beliebige Gruppen an. Es können auch angelegte Gruppen wiederum anderen Gruppen zugeordnet werden.
PSR Dokumentation Rechteverwaltung Seite 8 von 12 Anwendung der Rechteverwaltung Nachdem Sie alle Gruppen und Benutzer angelegt und zugeordnet haben, können Sie nun diese den Kategorien und Datensätzen (Passwörtern) zuordnen und freigaben erteilen. Legen Sie eine Kategorie an, in unserem Beispiel Server01 und wählen Sie anschließend die Eigenschaften dieser Kategorie aus. Klicken Sie auf den Reiter Freigabe.
PSR Dokumentation Rechteverwaltung Seite 9 von 12 Standardmäßig wird jedem Datensatz das Konto Administrator und die Gruppe Administratoren zugeordnet. Diese können aus sicherheitsgründen auch nicht entfernt werden, da der Administrator stets auf alle Datensätze Zugriff haben muss, um somit auszuschliessen, dass Passwörter niemandem mehr zugeordnet sind und somit sonst verloren wären. Fügen Sie nun die Gruppe oder den Benutzer hinzu, dem Sie eine Freigabe für die Kategorie und den darin enthaltenen Passwörtern geben möchten. Anschließend klicken Sie den hinzugefügten Benutzer oder Gruppe an und vergeben im unteren Bereich die Rechte für die Freigabe. Sie können somit jeder Gruppe und jedem Benutzer individuelle Rechte zurodnen. Auch wenn ein Benutzer in einer Gruppe enthalten ist, dieser aber trotzdem individuelle Rechte gegenüber den anderen in der Gruppe haben soll, können Sie den Benutzer hinzufügen und eben diese individuellen Rechte zuorden, welche dann vor den Gruppenrechten Vorrang haben. Die gleiche Möglichkeit der Rechtezuordnung, haben Sie auch bei den Passwortdatensätzen selbst. Klicken Sie einfach in der Passwortliste mit der rechten Maustaste auf den Datensatz und wählen Sie Eigenschaften und hier den Reiter Freigabe. Diese Einstellungen haben dann wiederum Vorrang, vor dem der Kategorie. Rechtevererbung Wenn Sie ein neues Passwort in einer Kategorie anlegen. Werden automatisch die Rechte der Kategorie an das Passwort weitervererbt. Es muss somit keine neue Zuordnung erfolgen, ausser die haben individuelle Einstellungen für diesen neuen Datensatz vor. Wenn Sie Rechte an einer Kategorie ändern, werden diese auch automatisch auf die untergeordneten Kategorien und dessen Datensätzen weitervererbt. Die Administration ist daher sehr einfach und komfortabel. Sie erhalten beim Änderung von Freigaben und Rechten einer Kategorie folgenden Dialog:
PSR Dokumentation Rechteverwaltung Seite 10 von 12 Rechte nicht übertragen Alle Freigaben und Rechte werden nicht vererbt, sie gelten somit nur für die aktuelle Kategorie. Rechte auf untergeordnete Objekte übertragen, bisherige Rechte gehen komplett verloren Alle Freigaben und Rechte werden vererbt. Vor der Vererbung werden aber alle individuellen Freigaben und Rechte der untergeordneten Objekte gelöscht, sodass nur noch die Einstellung gilt, die Sie soeben für die Kategorie vorgenommen haben. Rechte auf untergeordnete Objekte übertragen, es werden nur die Önderungen an den Berechtigungen weitergegeben, es werden keine Gruppen oder Benutzer gelöscht Alle Änderungen an Freigaben und Rechten werden auf die untergeordneten Objekte übertragen. Individuelle Einstellungen der untergeordneten Objekte bleiben erhalten. Es werden keine Freigaben gelöscht. Wenn Sie Freigaben gelöscht haben, so müssen Sie dies für die untergeordneten Objekte selbst vornehmen oder die zweite Variante auswählen. Infos über Datensätze Über die Eigenschaften einer Kategorie oder eines Datensatzes (Passwort) können Sie sehen, wer als letztes Änderungen an diesem Datensatz vorgenommen hat.
PSR Dokumentation Rechteverwaltung Seite 11 von 12 Anmeldung eines Benutzers Wenn sich nun der Benutzer anmeldet, sieht er nur die Kategorien und Datensätze, für welche er eine Freigabe und Rechte hat. Der Benutzer meldet sich mit seinem Namen und seinem Passwort an. Sofern der Benutzer keine Rechte für die Rechteverwaltung hat, kann dieser auch keine Änderungen an Freigaben oder Rechten duchführen. Legt ein Benutzer ein Passwort in einer Katgorie selbst an, so ist er als Besitzer dieses Datensatzes eingetragen und kann selbst die Freigaben und Rechte für sein Passwort verwalten. Das gleiche gilt auch für die Erfassung von Kategorien. Der Benutzer wird automatisch mit Vollzugriff, für seinen eigenen Datensatz eingerichtet.
PSR Dokumentation Rechteverwaltung Seite 12 von 12 Sperren eines Benutzers Wenn Sie einem Benutzer vorübergehend keinen Zugriff auf die Datenbank gewähren möchten, so können Sie diesen in der Benutzerverwaltung sperren. Gesperrte Benutzer erhalten ein eigenes Icon, sodass Sie sofort am Icon sehen, ob ein Benutzer gesperrt ist oder nicht. Das Sperren eines Benutzers ist auch sinnvoll, wenn dieser z.b. nicht mehr in Ihrer Firma ist. Somit haben Sie immer noch die Möglichkeit zu sehen, was der Benutzer zuletzt getan hat. Löschen eines Benutzers Sie können einen Benutzer jederzeit über die Benutzerverwaltung löschen. Es ist jedoch in den meißten Fällen besser, den Benutzer einfach zu sperren. So kann er sich nicht mehr in die Datenbank einloggen, aber Sie haben alle Informationen über den Benutzer und dessen aktivitäten in der Datenbank. Lizenzierung Je Benutzer wird eine Lizenz benötigt. Die Anzahl der Lizenzen bestimmt auch die Anzahl der anlegbaren Benutzer für die Rechteverwaltung sowie die Anzahl gleichzeitg angemeldeter Benutzer.