Mit Smard-Cards um die Welt



Ähnliche Dokumente
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Lizenzen auschecken. Was ist zu tun?

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Step by Step VPN unter Windows Server von Christian Bartl

Mediumwechsel - VR-NetWorld Software

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

Comtarsia SignOn Familie

Workshop: Eigenes Image ohne VMware-Programme erstellen

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

teamsync Kurzanleitung

Anleitung über den Umgang mit Schildern

Synchronisations- Assistent

Umstieg auf Microsoft Exchange in der Fakultät 02

Installationsanleitung CLX.PayMaker Office (3PC)

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

ANYWHERE Zugriff von externen Arbeitsplätzen

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

OP-LOG

Mediumwechsel - VR-NetWorld Software

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Terminabgleich mit Mobiltelefonen

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Userguide: WLAN Nutzung an der FHH Hannover Fakultät V

Nutzung von GiS BasePac 8 im Netzwerk

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Benutzerkonto unter Windows 2000

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

OpenMAP WEBDrive Konfiguration. Oxinia GmbH , Version 1

Clientkonfiguration für Hosted Exchange 2010

Updateanleitung für SFirm 3.1

Daten-Synchronisation zwischen Mozilla Thunderbird (Lightning) / Mozilla Sunbird und dem ZDV Webmailer

Tutorial -

1. Einführung. 2. Die Mitarbeiterübersicht

Installationsanleitung dateiagent Pro

Informationen zum neuen Studmail häufige Fragen

Benutzerhandbuch MedHQ-App

Bkvadmin2000 Peter Kirischitz

Update-Anleitung für SFirm 3.1

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

CLX.Sentinel Kurzanleitung

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Internet online Update (Internet Explorer)

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Internet online Update (Mozilla Firefox)

DVD Version 9.1. Netzwerkinstallation + VDE-Admin-Tool.

Powermanager Server- Client- Installation

SharePoint Demonstration

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Formular»Fragenkatalog BIM-Server«

Lehrer: Einschreibemethoden

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Matrix42. Matrix42 Cloud Trial Erste Schritte. Version

Dealer Management Systeme. Bedienungsanleitung. Freicon Software Logistik (FSL) für Updates

:: Anleitung Hosting Server 1cloud.ch ::

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Thema: Microsoft Project online Welche Version benötigen Sie?

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Windows 2008 Server im Datennetz der LUH

Updatehinweise für die Version forma 5.5.5

Die Post hat eine Umfrage gemacht

Installation der SAS Foundation Software auf Windows

Windows 2008R2 Server im Datennetz der LUH

Nachricht der Kundenbetreuung

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Mozilla Firefox ab Version 2.0

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Microsoft Update Windows Update

Herzlich Willkommen bei der nfon GmbH

Wie Sie mit Mastern arbeiten

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

BSV Software Support Mobile Portal (SMP) Stand

BEO-Sanktionsprüfung Eine Einführung zum Thema Sanktionsprüfung und eine Übersicht zur BEO-Lösung.

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

SEPA-Anleitung zum Release 3.09

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Virtual Channel installieren

Handout Wegweiser zur GECO Zertifizierung

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Handbuch PCI Treiber-Installation

Transkript:

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 1 von 6 Mit Smard-Cards um die Welt Die Einbindung von Smart-Card-Authentifizierung in bestehende Infrastrukturen ist nicht trivial vor allem, wenn dazu noch verschiedene Verzeichnisdienste in heterogenen Netzen zum Einsatz kommen. Das Deutsche Zentrum für Luft- und Raumfahrt hat dieses Problem mit einer Zwischenschicht gelöst. Sicherheit ist eine Grundtugend der IT. Umso mehr, wenn im Falle unbefugten Zugriffs auf die Systeme Menschenleben und hohe Sachwerte in Gefahr sind. Entsprechend aufwändig ist das Sicherheitskonzept im Raumfahrtkontrollzentrum des Deutschen Zentrums für Luft- und Raumfahrt in Oberpfaffenhofen. Hier wird rund um die Uhr das Columbus-Modul der internationalen Raumstation ISS gesteuert. Wie in vielen anderen Unternehmen mit hohen Sicherheitsanforderungen basiert das Konzept des DLR auf getrennten Netzwerken unterschiedlicher Schutzstufen, die keine Berührungspunkte haben: Im so genannten Ops-Netz findet die eigentliche Steuerung des Forschungsmoduls im Erdorbit statt, darunter die Kontrolle der lebenserhaltenden Systeme. Hier gelten strengste Sicherheitsrichtlinien, wie sie zum Beispiel auch in Banken üblich sind, damit kein Unbefugter Kommandos an die ISS absetzen kann. Parallel dazu existiert das Netz Ops Support. In diesem Segment laufen verschiedene Hilfsmittel für die Flight Controller, etwa ein Tool zur minutiösen Tagesplanung der ISS-Besatzung. Die Sicherheitsansprüche hier sind mit den Standards in unternehmenskritischen Bereichen anderer Industrien vergleichbar: Ein Fehler im System oder eine Manipulation der IT von außen könnte gravierende Störungen im Ablauf der Raummission und nicht zuletzt

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 2 von 6 hohe Kosten zur Folge haben. Die geringsten Sicherheitsansprüche bestehen im Office-Netz. Nur in diesem Teil der Infrastruktur kann auf das Internet zugegriffen werden, Office-Programme und E-Mail dominieren dieses Segment. Den Betrieb der IT hat das DLR in weiten Teilen an verschiedene externe Dienstleister ausgelagert. Für das Ops-Support-Netzwerk ist die auf dem DLR-Gelände ansässige INSYEN AG zuständig. Alle Vorgaben zur IT-Gestaltung werden von der europäischen Raumfahrtbehörde ESA aufgestellt, in deren Auftrag das DLR das Columbus-Modul steuert. So sieht das ESA-Reglement zum Beispiel vor, dass die Benutzerauthentifizierung ausschließlich über einen zentralen LDAP (Lightwight Directory Access Protocol)- Server abläuft. Im hochkritischen Ops-Netz ist zudem die Anmeldung über Smart-Cards vorgeschrieben eine Authentifizierungsmethode, die auch auf das Ops-Support-Netz ausgeweitet werden musste. Das grundsätzliche Problem dabei erläutert Harald Stößner, Betreuer des Ops-Support-Netzes: Das Ops-Support-Netz ist eine gewachsene Windows-Domäne. LDAP als führendes System hier mit den Windows- Bordmitteln einzubinden hätte einen enormen Aufwand und viel manuelles Eingreifen erfordert. Auch die Integration der Smart-Cards wäre sehr komplex gewesen. Wir haben deswegen eine Lösung gesucht, die alle drei Welten miteinander verbinden kann das Active Directory der Windows-Domäne, die zentralen LDAP-Services und die Authentifizierung über Smart-Cards, ergänzt Jürgen Fein, zuständig für die Abläufe im DLR-Kontrollzentrum, die Ausgangslage. Ein technisches Grundproblem dabei ist, dass Active Directory normalerweise der Master innerhalb eine Domäne sein will. Beim DLR jedoch bildet laut ESA-Vorgabe LDAP den Master, der Windows- Domain-Controller im Ops-Support-Subsystem muss in die zweite Reihe treten. Das bestehende Active Directory auszutauschen war keine sinnvolle

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 3 von 6 Option, so Fein. In der Windows-Domäne laufen zum Teil wichtige Tools der NASA, die für Windows konzipiert wurden und diese Infrastruktur voraussetzen. Die Auswahl und Evaluierung einer geeigneten Lösungen als Brücke zwischen den unterschiedlichen Systemwelten konnte laut Fein sehr sorgfältig angegangen werden, da die Vorgaben frühzeitig bekannt waren. Viel Auswahl gab es nicht, erinnert sich Stößner. Wir haben nur ein Produkt gefunden, das allen unseren Anforderungen gerecht wird. Entsprechend fiel die Entscheidung zu Gunsten der Lösung SignOn Gate der Wiener Comtarsia IT Services GmbH. Zur Evaluierung der Lösung wurde zunächst ein Backup-Kontrollraum damit ausgestattet. Hier ist das DLR-Kontrollzentrum in der glücklichen Lage, neue IT-Lösungen während der Aus- und Weiterbildung der Flight Controller in praxisnahen Simulationen des Normalbetriebs testen zu können. Dabei zeigte sich, wo die ausgewählte Lösung noch an den individuellen Bedarf anzupassen war. Dazu zählt zum Beispiel der Einsatz mehrerer PCs an jedem Arbeitsplatz: Durch die strikte Trennung der verschiedenen Netze arbeiten die Flight Controller der DLR mit drei Rechnern, von denen jeder einem der drei Netze fest zugeordnet ist. Normalerweise wird bei der Authentifizierung mittels Smard-Cart ein Benutzer abgemeldet oder der PC gesperrt, wenn die Karte aus dem Lesegerät entfernt wird. Im Kontrollzentrum durfte das aber nicht passieren die Benutzer melden sich mit einer einzigen Karte an allen Maschinen an. Diese Karte dient zudem auch als Zugangskontrolle zum Flight-Control-Raum und zu den Gebäuden. Innerhalb unseres Sicherheitskontexts mit strengen, mehrstufigen Zugangskontrollen und physikalisch getrennten Netzen können wir es tolerieren, dass ein Benutzer im Ops-Support-Netz angemeldet bleibt, auch wenn die Smart-Card abgezogen ist, so Fein. Im hochsicheren Ops-Netz, in dem die Steuerung des Columbus-Moduls läuft, wäre das hingegen nicht möglich. Comtarsia realisierte die entsprechenden

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 4 von 6 Funktionen. Eine weitere Hürde war die hoch heterogene Umgebung: Smart-Cards werden in zwei Subsystemen Ops und Ops-Support eingesetzt. Jedoch kommen innerhalb beider Subsysteme unterschiedliche Lösungen zur Authentifizierung zum Einsatz. Das hat sowohl historische als auch technische Gründe: Smart-Cards wurden bereits seit einiger Zeit im hochsicheren Ops-Netz genutzt, das auf Linux- Server und -Clients aufbaut. Die dort implementierte Software zur Benutzerauthentifizierung wäre nach Einschätzung Feins und Stößners nur mit größter Mühe in die Windows-Domain zu übertragen gewesen. Zudem ist das bereits eingeführte Smart-Card-System der Linux- Infrastruktur nicht kompatibel zur Windows-Welt. Es war also technisch nicht mit vertretbarem Aufwand möglich, dieses direkt auf die anderen Subsysteme auszuweiten. Mittels der Comtarsia-Lösung als Authentifizierungsschnittstelle zwischen den beiden Systemwelten konnte auch diese Hürde gemeistert werden. Die Einführung der Lösung ging nach dem Umsetzen aller notwendigen Änderungen problemlos von statten, der produktive Betrieb startete im Juni 2008. Die Anmeldung am PC im Ops-Support-Subsystem erfolgt nun in mehreren Schritten: Zunächst wird anhand der auf der Smart- Card gespeicherten Daten und dem PIN des Users ein Client-Zertifikat erstellt und der Benutzer damit gegen den zentralen LDAP-Server authentifiziert. Ist die Anmeldung am LDAP erfolgreich, wird ein Sign- On-Request an den SingOn Gate -Service von Comtarsia abgesetzt, der direkt am Windows-Domain-Controller installiert ist. Dieser Vorgang startet die automatische Benutzerverwaltung im Active Directory: Der Benutzer wird an der Windows-Domäne angemeldet; ist der User dort noch nicht vorhanden, legt das System ihn mit den aus LDAP übernommenen Attributen neu an. Bei jeder Anmeldung sorgt das SignOn-Gate für ein Update der Benutzerinformationen, zum Beispiel

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 5 von 6 der Gruppenmitgliedschaften, um die im führenden LDAP hinterlegten Daten mit denen des Active Directory zu synchronisieren. Um zu verhindern, dass die Anmeldung am Windows-Arbeitsplatz über Smart- Card und PIN ausgehebelt wird, kommen im Hintergrund zufällig erzeugte Passwörter zur Windows-Anmeldung zum Einsatz. Fein und Stößner sind mit dem bislang erreichten sehr zufrieden. Das gesamt Projekt verlief ohne nennenswerte Zwischenfälle, so Fein. Alle individuellen Änderungswünsche wurde schnell umgesetzt, wir würden das Projekt jederzeit wieder genau gleich umsetzen. Der Return on Investment (RoI) spielte dabei laut Fein keine Rolle. Es gab unseres Wissens nach keine Alternative, um die Anforderungen der ESA mit der bestehenden Infrastruktur zu erfüllen, so Fein. Positiv aus Sicht des DLR ist zudem, dass die notwendigen Funktionserweiterungen von Comtarsia in künftige Versionen der Sign-On-Lösung integriert werden. Somit bleibt die Implementierung des DLR Release-fähig, Updates oder neue Versionen können ohne aufwändige Anpassungen eingespielt werden. ((TEXTKASTEN)) Columbus Columbus ist ein Labor-Modul der internationalen Raumstation ISS und wird von der europäischen Weltraumbehörde ESA betrieben. Angedockt wurde Columbus im Februar 2008, nachdem es vom Space Shuttle Atlantis zur ISS transportiert wurde. An Bord des Columbus- Moduls werden verschiedene Experimente durchgeführt, unter anderem im Bereich Materialforschung oder zur Erforschung der Sonne. Die Steuerung des Moduls obliegt dem Deutschen Zentrum für Luft- und Raumfahrt in Oberpfaffenhofen. Bei der Steuerung müssen an die IT höchste Sicherheits- und Verfügbarkeitsanforderungen gestellt werden: Das Columbus-Modul kann im schlimmsten Fall 24 Stunden autark funktionieren. Sollte die Flight Control in Oberpfaffenhofen trotz

AB_DLR_CW_V2_.doc redaktionsbüro schulze Seite 6 von 6 hoher Redundanzen bei den Systemen und bei den Kontrollräumen ausfallen, können Kontrollzentren in den USA und in Russland die wichtigsten Funktionen von Columbus steuern. Bei langen Ausfällen oder gravierenden Störungen müsste das Modul evakuiert werden und die Besatzung sich in andere Bereiche der ISS zurückziehen. ((TEXTKASTEN)) Projektsteckbrief Projektname: Deutsches Zentrum für Luft- und Raumfahrt Branche: Luft- und Raumfahrt Projektkategorie: Benutzerauthentifizierung Kernprodukte: Comtarsia SignOn Gate, Comtarsia Logon Client Systemumgebung: Windows, Linux, LDAP Aufwand (Kosten, Personal): k.a. Herausforderungen: Integration von bestehender Windows-Domain und Active Directory in führendes LDAP. Einführung von Smart-Card- Authentifizierung (PKI) in bestehende Infrastruktur. Ergebnis: erfolgreich eingeführt Stand des Projekts/Zeitrahmen: Laufzeit 1,5 Jahre, produktiv seit Juni 2008 Involvierte Anbieter/Dienstleister: INSYEN AG, Comtarsia IT Services GmbH Ansprechpartner: Harald Stößner (INSYEN) Jürgen Fein (DLR)

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback