Jeder Admin und Entwickler muss sich darum kümmern, dass er die Zugänge zu Daten und Diensten seiner Rechner und Programme vor unberechtigtem Zugriff schützt. Gleichzeitig sollen die Usability gut und der Verwaltungsaufwand klein bleiben – kein leichtes Unterfangen.
|
Inhalt |
|---|
|
34 | Einmalpasswörter Das Prinzip der Banking-TAN-Listen via PAM ins Büro 40 | Linux an Active Directory Microsoft kombiniert LDAP und Kerberos – mit etwas Handarbeit 46 | Webanwendungen mit LDAP Anleitung, um eine vorgefundene oder selbst geschriebene 50 | Open ID Mit jeder Webanwendung mehr muss der Benutzer sich ein neues 54 | Identität und Datenschutz Soziale Netzwerke verleiten dazu, Internetbesucher 92 | Recht einfach Zugangsbeschränkungen zu Rechnern aus juristischer Sicht. 94 | European Identity Conference Trenddiagnose und -diskussion in beinahe familiärer |
Beim Speed-Dating sitzen sich zwei Singles für ein paar Minuten gegenüber. In dieser Zeitspanne versuchen die beiden festzustellen, ob sie zueinander passen und Zugang finden – oder nicht. Diese urbane Art der Kontaktanbahnung gilt als besonders effizient, da nach sieben, acht Minuten der Veranstalter jedem Suchenden ein neues Gegenüber präsentiert. Der Vorgang wiederholt sich rollierend, bis jeder etwa zehn Menschen kennengelernt hat.
Rein formal läuft das meist so ab, dass der Gesprächspartner erläutert, wer und was er ist. Mal abgesehen von Emotionen und optischen Präferenzen sowie dem nicht unwichtigen Umstand, dass beim Speed-Dating lebendige Menschen und nicht Computer miteinander flirten, darf man sich die Verbindungsversuche in firmeninternen IT-Landschaften ähnlich vorstellen: Ein Benutzer oder ein Rechner stellt sich einem anderen Rechner vor (technisch: Login) und – hier ist der Vorteil gegenüber dem Speed-Dating – authentifiziert sich, beweist also seine Behauptung sogar.
Login für Fortgeschrittene
Das Authentifizieren allein schon wäre einen Linux-Magazin-Schwerpunkt wert, denn die verlässliche Prüfung der Identität des anderen Partners ist so einfach nicht, da niemand von der Gutwilligkeit alle Netzteilnehmer ausgehen darf. Erschwerend wirkt, dass moderne Anwendungsarchitekturen konzeptionell verteilt arbeiten, also auf die Beteiligung vieler Rechner, meist Server, angewiesen sind. Und da die beteiligte Software gern aus verschiedenen Epochen stammt und auf unterschiedlichen Infrastrukturen läuft, ist die Gefahr eines Account-Wildwuchses mit Neigung zur Inkonsistenz groß und sehr real.
Begrüßenswerte Wegwerf-Mentalität
Doch die Weltgemeinschaft der IT steuert mit dem Ausbau bewährter und auch mit neuen Techniken gegen. So verabschiedet sich der Artikel ab Seite 34 von der Benutzerpraxis, Passwörter auf gelbe Klebezetteln zu notierten, und setzt auf Einmalpasswörter, die der User vom Display seines Hardware-Token ablesen und eintippen muss. Der Beitrag erklärt auch, wie der Admin die entsprechende Software mit dem PAM-System (Pluggable Authentication Modules) seiner Server verheiratet. PAM steht auch im Zentrum des Artikels ab Seite 40, der damit und unter Zuhilfenahme von Kerberos 5 auch Linux-Rechnern den Weg in Microsofts Welt des Active Directory Service ebnet.
Wer dagegen im Inter- oder Intranet PHP-Anwendungen laufen hat, sollte den Artikel ab Seite 46 nicht übersehen. Erklärt er doch, wie man die selbst geschriebene oder von der Community übernommene Webapplikation von den üblichen Datenbank-basierten Logins auf LDAP-Authentifizierung umstellt.
Identität im Web
Mehr als ein Speed-Date verspricht der Beitrag über Open ID auf Seite 50, eine vielversprechende Single-Sign-on-Lösung im Web, die eine freie Providerwahl lässt und über die Experten gerade heiß diskutieren. Einer davon hat als Autor des Artikel ab Seite 54 angeheuert und bezweifelt darin die Qualität des Datenschutzes dieser Lösung.
