© photocase.com
Einmal-Passwörter aus Hardware-Tokens sind Wegwerfware der sicheren Art. Der passende Crypto-Server 6.3 mit seiner Zwei-Faktor-Authentifizierung ist dagegen für den Dauergebrauch gedacht.
Auf der Verpackung verspricht die kanadische Firma vollmundig “Identity Management”. Natürlich liefert Cryptocard mit dem Crypto-Server 6 eine Facette zum Gesamtbild des Identity-Managements. Nur: Starke Authentifizierung und die Autorisierung von Zugriffen auf Ressourcen und Geräte einfacherer Art – genau das macht Crypto-Server nämlich – formt noch lange kein Identity Management! Das Versprechen findet sich auch kurioserweise in den technischen Dokumentationen und auf der Webseite nicht wieder.
Die Fakten: Crypto-Server führt starke Authentifizierung mit Einmal-Kennwörtern an einem oder mehreren Network Access Points durch. Nur Benutzer, die über ein Token verfügen, können sich an den Ressourcen authentifizieren, die sich unter den Schutz von Crypto-Server begeben haben. Das funktioniert sowohl mit klassischen Hardware-Tokens (USB-Stick-ähnliche, Keychain-Style-Token für den Schlüsselanhänger oder im Pin-Pad-Style mit Minitastatur) wie auch mit in Smartcards integrierten Passwort-Generatoren. Erfreulich ist immerhin das breite Angebot an Tokens, andererseits haben viele andere Anbieter auch nicht weniger im Portfolio.
Teile mit Weile
Crypto-Server 6.3 for Red Hat and Suse besteht im Wesentlichen aus zwei Komponenten: Dem eigentlichen Crypto-Server und dem Crypto-Logon for Linux. Der Server übernimmt die eigentliche Authentifizierung und die Kommunikation zwischen dem Authentifizierungsmodul und den Network Access Points. Außerdem verwaltet Crypto-Server alle dafür relevanten Informationen. Der Admin greift auf den Server über eine grafische Schnittstelle zu, die Crypto-Console. Im Backend werkelt dafür ein Application Server.
Crypto-Logon for Linux ist technisch ein erweitertes PAM-Modul, das sowohl dem User an der lokalen Maschine eine Authentifizierung gegen Crypto-Server gestattet als auch den PAM-aktivierten Daemons. Unterstützte Anwendungen sind: GDM und KDM, SSH, FTP, Telnet, PPPD und VPND. Eine spezielle Schnittstelle für Apache 1.3 und 2 (Crypto-Web) gibt es ebenfalls.
Die Authentifizierung kann einerseits gegen ein internes Verzeichnis, andererseits auch gegen eine LDAP-Infrastruktur erfolgen, beispielsweise ein OpenLDAP oder ein Microsoft Active Directory. Der Umstand, dass es neben der Linux-Version auch solche für Windows und Mac OS X gibt, lässt auch Setups in gemischten Umgebungen zu.
Wichtige Administrationsfunktionen
Die Administration über die Crypto-Console schützt der Crypto-Server in jedem Fall. Daher muss der Administrator bei der ersten Authentifizierung einen Software-Token inklusive PIN aktivieren, über den er sich in Zukunft anmeldet (siehe Abbildung 2). Ab jetzt kann der Admin mit der Crypto-Server-eigenen Userverwaltung arbeiten, also Benutzer anlegen und administrieren. Alternativ zieht er einen LDAP-Manager heran, um Accounts vom konfigurierten LDAP-Server zu importieren.
|
Installation |
|---|
|
Crypto-Server 6.3 kommt über ein grafisches Installationsprogramm auf die Festplatte. Der grafische Installer startet von der CD (siehe Abbildung 1) und lässt seinen Bediener nach der üblichen Zustimmung zu dem Lizenzabkommen die Serverparameter konfigurieren, insbesondere jene der Datenbank. Auf sie greift Crypto-Server per JDBC zu, um die Token-Informationen zu speichern. Mit dem Produkt kann der Admin entweder MySQL lokal installieren oder bereits vorhandene Oracle- und Microsoft-SQL-Server nutzen.  Abbildung 1: Die Installation von Crypto-Server 6 erfolgt über ein grafisches Installationsprogramm. Der folgende Schritt fragt nach LDAP, also ob die Authentifizierung gegen einen LDAP-Verzeichnisdienst erfolgen soll. Zudem lässt sich ein Server auch als Replika-Server einrichten. Hier wird das auf Skalierbarkeit angelegte Konzept von Crypto-Server deutlich, bei dem Systeme parallel arbeiten, um komplexe Szenarien abdecken zu können. Je nach Konfiguration erwartet das Installationsprogramm nun die Parameter für den JDBC-Zugriff auf die Datenbank und die LDAP-Konfiguration. Anschließend geht das Einrichten des Servers los. Am Schluss muss der Admin auf demselben oder einem anderen System die Crypto-Console für die Administration installieren. Wichtig ist es, den USB-Treiber einzurichten, wenn noch nicht geschehen. Auf ihn greifen nämlich die USB-Smartcard-Reader zu. |
Abbildung 2: Der Crypto-Server sichert die Authentifizierung an der Crypto-Console ab.
Den Benutzern lassen sich dann Tokens zuordnen. Um alle wichtigen Aufgaben drum herum abzudecken, ist es möglich, Tokens zu bearbeiten und zu initialisieren. Damit hat es sich aber auch. Unterm Strich stellt der Crypto-Server eine Infrastruktur bereit, die RSA Secure ID [1] und anderen One-Time-Password-Ansätzen vergleichbar ist.
Unvergleichlich und wirklich ärgerlich sind hingegen der gewaltige Speicherbedarf und die lahme Performance des Produkts im Test: Selbst bei 1,2 GByte RAM, von den Testern einer (virtuellen) Maschine zugewiesen, vermochten sie dem Produkt nach der Installation keine halbwegs akzeptable Performance abzuringen. (Andere Aktivitäten gab es auf der Hardware nicht.)
Mag sein, dass sich daran durch längereres Konfigurationstuning etwas ändern ließe. Für ein Produkt in einer Basisinstallation, das “nur” mit dem JBoss Application Server arbeitet, ist der Speicherbedarf aber in jedem Fall zu hoch.
|
Crypto-Server 6.3 for Red Hat |
|---|
|
Internet: [http://www.cryptocard.com] Plattformen: Red Hat Linux Enterprise 3 und 4, Suse Linux Enterprise 9 Außerdem lieferbar für: Windows 2000/2003 Server, Mac OS X 10.3 und 10.4 Vertrieb: Senetec GmbH, [http://www.it-senetec.de], Frau Sandra Gremm, Tel. (06131) 240 539 52, [cryptocard@it-senetec.de] Preisbeispiel: 5-User-Starterkit mit fünf vorinitialisierten Tokens und 30 Tagen Support kosten zurzeit rund 580 Euro |
Gut, aber nicht überragend
Cryptocard bewegt sich mit dem Crypto-Server 6.3 in einem Markt, den bereits andere Anbieter wie RSA Security belegen. Das Produkt beherrscht alle Funktionen, die man von einer solchen Lösung erwarten darf: Es übernimmt alle Aufgaben von der Authentifizierung an Windows- und Linux-Desktops über die Sicherung der wichtigsten Netzwerkzugriffe. Die Unterstützung mehrerer Systemplattformen schafft Flexibilität.
Mehr als eine Lösung für die starke Authentifizierung bietet Crypto-Server aber nicht. Um Identitäten zu managen, muss der Admin Anwendungen aus dritter Hand bemühen. Wer aber eine offen gestaltete Authentifizierung sucht, die (auch) unter Linux flexibel einsetzbar ist, sollte durchaus einen Blick auf den Crypto-Server und die dazugehörenden Komponenten werfen.
Dabei trifft er leider auf eine unterirdisch schlechte Performance. Die gute Administrationsschnittstelle – die sich auch getrennt vom Crypto-Server betreiben lässt und dann nicht unter dessen Performance-Problemen leidet – verdient dagegen ein dickes Lob. Wer den Kauf einer solchen Lösung plant, sollte auf jeden Fall parallel die etablierten Anbieter wie RSA Security im direkten Vergleich betrachten, denn herausragend ist die Lösung von Cryptocard nicht. (jk)
|
Infos |
|---|
|
[1] RSA Secure ID: [http://www.rsasecurity.com/node.asp?id=1156] |
|
Der Autor |
|---|
|
Martin Kuppinger ist Autor von über 50 IT-Fachbüchern und ungezählten Artikeln. Außerdem ist er Seniorpartner und Gründer des Analysten-Unternehmens Kuppinger Cole + Partner [http://www.kuppingercole.de], das sich auf digitale IDs und Identity Management spezialisiert hat. |
Copyright © 2002 Linux New Media AG
