Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g



Ähnliche Dokumente
estos UCServer Multiline TAPI Driver

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Verwendung des Terminalservers der MUG

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

ANYWHERE Zugriff von externen Arbeitsplätzen

Whitepaper. Produkt: combit Relationship Manager. Einrichtung für Remotedesktopdienste (Windows Server 2008 R2)

Powermanager Server- Client- Installation

Windows Server 2008 (R2): Anwendungsplattform

Produktinformation. Zusatzkomponente Useraktives Password-Reset für Windows. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Lizenzen auschecken. Was ist zu tun?

Userguide: WLAN Nutzung an der FHH Hannover Fakultät V

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

AUTOMATISCHE -ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Verwendung des IDS Backup Systems unter Windows 2000

Clientkonfiguration für Hosted Exchange 2010

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Updatehinweise für die Version forma 5.5.5

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.


Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

INTERNET UND MMS MIT DEM QTEK2020 MARCO 28. MÄRZ 04

Mitarbeiter-Alarm. 1x Taster mit Kabel zum Anschluss an den seriellen Com-Port (optional) 1x Installationsprogramm auf CD 1x Lizenz

Netzwerkeinstellungen unter Mac OS X

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

Anwenderleitfaden Citrix. Stand Februar 2008

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

BSV Software Support Mobile Portal (SMP) Stand

SJ OFFICE - Update 3.0

Step by Step VPN unter Windows Server von Christian Bartl

DOKUMENTATION PASY. Patientendaten verwalten

Kurzanleitung Datensicherungsclient (DS-Client)

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

ICS-Addin. Benutzerhandbuch. Version: 1.0

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Benutzerkonto unter Windows 2000

WinVetpro im Betriebsmodus Laptop

Nutzung von GiS BasePac 8 im Netzwerk

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Benachrichtigungsmöglichkeiten in SMC 2.6

OUTLOOK (EXPRESS) KONFIGURATION POP3

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Kurzanleitung Zugang Studenten zum BGS-Netzwerk (Mac) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

Virtual Channel installieren

Virtual Private Network

Anleitung zur Nutzung des SharePort Utility

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Zugriff Remote Windows Dieses Dokument beschreibt die Konfiguration von Windows für den Zugriff auf

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Nutritioner V2.0: Lokaler, Synchronisations- und Servermodus

1&1 Webhosting FAQ Outlook Express

oder ein Account einer teilnehmenden Einrichtung also

Installation der 4Dv12sql Software für Verbindungen zum T.Base Server

CITROËN SERVICE. für freie Werkstätten CITROËN. Service NICHTS BEWEGT SIE WIE EIN CITROËN.

ASP Dokumentation Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Windows Vista Security

Import des persönlichen Zertifikats in Outlook 2003

OKB Die MS SQL-Volltextsuche für organice SQL einrichten

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Windows 10 Sicherheit im Überblick

Adressen und Kontaktinformationen

Live Update (Auto Update)

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Installationsanleitung. Hardlock Internal PCI Hardlock Server Internal PCI

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

INTERNETZUGANG UND DATENBANKEN IM ZRS

Der Name des Profils kann beliebig gewählt werden. Mit Bestätigung auf OK erscheint dieses Fenster:

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Dealer Management Systeme. Bedienungsanleitung. Freicon Software Logistik (FSL) für Updates

Einbindung des Web Map Service für Gemeinden Anleitung

Installation der SAS Foundation Software auf Windows

Kostenstellen verwalten. Tipps & Tricks

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Drei Möglichkeiten zum Betrieb von DPV über das Internet. Dr. Matthias Grabert und Walter Geiselmann Uni Ulm

Leitfaden zur Nutzung von binder CryptShare

MSDE 2000 mit Service Pack 3a

Hinweise zum elektronischen Meldeformular

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

HOB WebSecureProxy Universal Client

Kurzanleitung zum Einrichten von konten für Outlook Express 6

TeamViewer App für Outlook Dokumentation

System-Update Addendum

Synchronisations- Assistent

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Transkript:

Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische Anmeldung am Terminal Server...9 4.1.1 Zusätzliche biometrische Authentifizierung...10 5 VORTEILE...10 E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 2 von 10

1 Die Situation Die Authentifizierung der Benutzer an der Windows-Anmeldung stellt die erste Stufe der Gewährleistung der Unternehmenssicherheit auf Desktopebene dar. Durch sie wird sichergestellt, dass nur berechtigte Personen Zugang zum Rechner und den Daten erhalten. So wird gewährleistet, dass die Benutzer nur die Daten und Programme zur Verfügung gestellt bekommen, für die sie zugelassen sind. Jedoch liegt genau hier die Schwachstelle des Systems: Kennt ein Unbefugter die Anmeldedaten eines Mitarbeiters, kann er unbemerkt dessen Zugang und damit dessen Daten benutzen. Wird dann noch ein SSO verwendet, stehen dem Eindringling umfangreiche Möglichkeiten zur Verfügung. Durch ein sinnvolles Kennwortmanagement, welches z.b. Qualität, Länge und Festlegungen zum zyklischen Wechseln der Kennwörter (Kennwortrichtlinien) umfasst, kann ein hohes Maß an Sicherheit erreicht werden. Welche Ressourcen zur Verfügung stehen und auf welche Art und Weise sie verwendet werden können, wird dabei durch das eingesetzte Kommunikationsprotokoll geregelt. In den am häufigsten eingesetzten Terminalprotokollen rdp bzw. ica gibt es jedoch keine Möglichkeit, clientseitig angeschlossene biometrische Geräte mit der Terminalsitzung zu verbinden und zu verwenden. E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 3 von 10

2 Zielstellung In den IT-Strukturen (vor allem von großen Unternehmen) hat die gesicherte User-Identifikation bei gleichzeitiger Aufwandsreduzierung der Administration und Nutzern eine zunehmende Bedeutung. Bedingt ist dies in der zunehmenden Offenheit der IT-Strukturen (Webzugänge, WLAN usw.) und der Vielzahl verschiedener Systeme und Anmeldungen zu Anwendungen oder auch nur bestimmten Funktionen. Mit Absicherung der User- Authentifikation durch z.b. die Biometrie werden einerseits die Sicherheit und gleichzeitig der Nutzerkomfort erhöht. In Kombination mit dem bi-cube SSO erübrigt sich für den User die Verwaltung (gelbe Zettel) verschiedener Anmeldedaten zu den von ihm benötigten Anwendungen. In immer mehr Unternehmen wird bereits die Terminal Server Technologie eingeführt. Durch sie können die Kosten von Hardware und Systemmanagement deutlich reduziert werden. Die hier beschriebene Lösung zum Thema bi-cube SSO kann im Terminal Umfeld (z.b. Citrix) eingesetzt werden. Ziel ist es, dass über einen Fat- oder Thin- Client (u.a. embedded XP) die biometrische Anmeldung erfolgt. Nach erfolgreicher Anmeldung, werden dem User auf dem Terminal Server seine SSO Daten via bi-cube SSO Client bereitgestellt. Die Auswertung der Gültigkeit seiner Daten werden mittels bi-cube SSO Client realisiert. Dazu kommuniziert der bi-cube SSO Client mit dem bi-cube Server und erhält somit einen genauen Überblick über die Anwendungen und Rechte des Users. Somit ist es dem User möglich seine individuellen Anwendungen zu starten. Für besonders sicherheitskritische Anwendungen kann vor dem Start eine zusätzliche Authentifizierung angefordert werden. Diese Funktionalität wird zentral am System hinterlegt. Als zusätzliche Authentifizierung können alle derzeit angebotenen Methoden des ism genutzt werden. Ein Beispiel dazu wäre die Nutzung der biometrischen Authentifikation. Abbildung 1: biometrische Authentifikation E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 4 von 10

3 Voraussetzung Arbeiten in einer Terminal Umgebung Im Wesentlichen besteht eine Terminalumgebung aus 3 Komponenten: Terminalserver Terminalclient und Kommunikationsprotokoll Der Terminalclient dient dabei lediglich als Ein- und Ausgabestation. Alle verwendeten Programme werden zentral auf dem Terminalserver ausgeführt. Innerhalb dieser Terminalsitzung können auch Ressourcen des Terminalclients verwendet werden. Hat beispielsweise ein Benutzer an seinem lokalen Rechner einen Drucker angeschlossen, können Programme, die auf dem Terminalserver ausgeführt werden, diesen wie einen lokalen Drucker verwenden. Auf diese Weise können auch Laufwerke, serielle Anschlüsse und Audioressourcen des Clients verwendet werden. E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 5 von 10

4 Architektur der Lösung Die Architektur beruht auf der Basis-Architektur von bi-cube. Jedoch kommen nur die erforderlichen Komponenten zum Einsatz. In der zentralen bi-cube Datenbank werden sowohl die Templates der User als auch deren Logon- Daten, für die Anmeldung der unterschiedlichen Zielsysteme die dem User über den bi-cube SSO Client zur Verfügung gestellt werden, abgelegt. Alle Daten werden mit dem 3DES Verfahren verschlüsselt. Abbildung 2: bi-cube User Manager im Register Extras E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 6 von 10

Der bi-cube Server stellt auf Anforderung die benötigten Anmeldedaten aller am Terminal Server angemeldeten bzw. die Anmeldung anfordernden User zur Verfügung. Abbildung 3: bi-cube SSO im Terminal E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 7 von 10

Dieses sog. SAD-File (secure access data) wird auf dem bi-cube Server gebildet, verschlüsselt und ebenso auf dem Terminal-Server abgelegt. Es wird bei Useranmeldung bzw. Systemstart automatisch (wenn konfiguriert) angefordert bzw. kann bei Änderung der Anmeldedaten oder bei Änderung der Rechte am User aktualisiert werden. Ein automatischer Abgleich des Profils kann auch im laufenden Betrieb organisiert werden, wenn konfiguriert. Abbildung 4: bi-cube SSO Client beim aktualisieren des Profils und der Fingerprint Daten Die richtige Zuordnung zum User erfolgt durch einen speziellen bi-cube Service auf dem Terminal Server, der über die IP- Adresse des Clients das richtige SAD-File dem konkreten User zuordnet. E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 8 von 10

4.1 Biometrische Anmeldung am Terminal Server Mit Hilfe eines speziellen Verfahrens, ist es möglich sich mittels Fingerabdruck am Terminal Server anzumelden. Auf dem Terminal Server muss dazu die ism GINA vor die MS GINA gelegt werden. Dieses Verfahren wird als GINA Chaining bezeichnet. Auf dem Fat- oder Thin- Client sowie auf dem Terminal Server muss ein spezieller Dienst (bi-cube Logon Manager) installiert werden der die biometrische Anmeldung ermöglicht. Der installierte bi-cube Logon Manager clientseitig fordert vom bi-cube Server die notwendigen Daten für die Anmeldung des Users am Terminal Server an. Können diese erfolgreich ausgewertet werden, erfolgt OK an den bi-cube Logon Manager serverseitig und die Anmeldung wird durchgeführt. Es erfolgt also eine Verifikation anhand der User-ID und dem dazu gehörenden Fingerprint Templates. Dieses Verfahren wird für alle verfügbaren Authentifizierungsmethoden des ism angeboten. Eine Identifikation der User ist auch möglich. Hierbei spielt die Anzahl der User eine große Rolle. Die Größe eines biometrischen Teams sollte nicht zu groß gewählt werden, da es sonst zu Performance Problemen kommen kann. Maximal 100 User pro Team, sollte hier als Richtwert genommen werden. Abbildung 5: bi-cube Logon Manager im Terminal E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 9 von 10

4.1.1 Zusätzliche biometrische Authentifizierung Um Anwendungen mit einem sicherheitskritische Anwendungen besser abzusichern, wird bei deren Start durch den SSO-Client nochmals vorher die biometrische Authentifikation angefordert. Um diese spezielle Methode der zusätzlichen Authentifizierung nutzen zu können, muss dies am System im Object Manager konfiguriert sein. Abbildung 6: bi-cube SSO Client mit der biometrischen Zusatzauthentifizierung 5 Vorteile Es erfolgt technologisch bedingt kein Eingriff in das verwendete Terminalprotokoll. Weil es keinen Eingriff in die zu sichernden Anwendungen gibt, kann praktisch jede beliebige Applikation mit einer zusätzlichen Authentifizierungsmethode z.b. - Biometrie (Fingerabdruck) - Speicher-/RFID Karten - Windows Kennwort - Token gesichert werden. E-Mail: info@secu-sys.de Web: www.secu-sys.de Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback