Aus Linux-Magazin 05/2005

Benutzer und Passwörter zentral verwalten

Es ist der Reiz eines Rollenspiels, in mehrere Persönlichkeiten zu schlüpfen und unterschiedliche Aufgaben zu erledigen. In der IT sind multiple Identitäten aber ein Gräuel: Niemand will sich dutzende Kennungen merken. Muss er auch nicht, wenn ihm geschicktes Identity Management zur Seite steht.

Inhalt

 

32

Grundlagen: Authentifizierung
Die wichtigsten Verfahren und Protokolle, um eine Identität zu
überprüfen.

38

Überblick: Firmen und Verfahren
Von Access Management über Federation und Meta-Directory bis
zu Provisioning und Web Service Security: Vermeintliche Buzzwords
und was wirklich dahinter steckt.

44

Web: Apache, Tomcat und LDAP
Statt eigene Benutzerdatenbanken zu verwenden, greifen der
Webserver und der Servlet-Container auf ein LDAP-Verzeichnis
zu.

48

Fensterln: Linux am Active Directory
Mit einigen Kniffen benutzt Linux ein zentrales Windows-AD als
Basis für die User-Authentifizierung.

56

Firewall: Socks 5
Benutzer müssen sich häufig an der Firewall anmelden,
bevor sie ins Netz dürfen. Mit einem Socks-Proxy gelingt das
protokollübergreifend.

62

Recht: Grenzen durch Datenschutz
Identity Management darf nicht als Alibi für vollständige
Überwachung dienen.

Jede Anleitung für sichere Passwörter rät eindringlich, das Geheimnis auf keinen Fall zu notieren. Zu groß sei die Gefahr, dass jemand den Zettel findet und sich unberechtigt Zugang verschafft, egal für welchen Dienst das Passwort gilt. Dummerweise gibt es heute sehr viele Dienste – vom Login am Client über Datenbanken, Intranetanwendungen, Mailserver, Firewall-Proxy bis zu Webapplikationen, Onlinebanking und vielem mehr.

Sich einige Dutzend Passwörter zu merken und jedes möglichst zufällig zu wählen ist schlicht zu viel verlangt. Zumal keins dieser Passwörter ewig gleich bleiben sollte. Aber immer und überall das gleiche Passwort verwenden ist auch gefährlich, vor allem wenn es für getrennte administrative Bereiche gelten soll. Jeder Webmaster, der eine einfache Diskussionsseite mit eigenem Login anbietet, würde sonst unfreiwillig zum Geheimnisträger. Doch es gibt Auswege aus dem Dilemma.

Weniger ist mehr

Innerhalb eines Unternehmens ist es reichlich sinnfrei, wenn sich ein Mitarbeiter für wechselnde Aufgaben jeweils erneut authentifizieren muss und dabei zu allem Überfluss noch getrennte Benutzernamen erhält. Solcherlei Redundanz aufzuheben ist die Aufgabe des Identity-Managements. Es hilft damit den Mitarbeitern und den Admins gleichermaßen: Die einen brauchen sich weniger zu merken, die anderen müssen weniger verwalten.

Eine Vielzahl von Techniken versucht dieses Ziel zu erreichen. Ein fertiges Produkt, das jeden Anwendungsfall abdeckt, existiert jedoch nicht. Der Artikel ab Seite 38 gibt einen Überblick über die verschiedenen Ansätze und deren jeweilige Vor- und Nachteile. Er nimmt dabei den Blickwinkel des Managements und der Administratoren ein.

Nur mit Verzeichnis

Viele Techniken verwenden im Kern einen oder mehrere Verzeichnisdienste mit einer LDAP-Schnittstelle. Bleibt die Herausforderung für die Applikationen, von dem zentralen Dienst auch Gebrauch zu machen statt eigene Benutzerdatenbanken zu verwenden. Ab Seite 44 steht, wie das bei Apache und Tomcat funktioniert.

Dass sich Linux auch mit Windows-Verzeichnisdiensten versteht, zeigt der darauf folgende Artikel. Auf Linux-Seite ist eine bunte Sammlung von Werkzeugen nötig, um die Accounts im Active Directory anzuzapfen. PAM, NSS, OpenLDAP und Kerberos vermitteln zwischen beiden Welten. Dabei darf der Admin die Homeverzeichnisse nicht vergessen.

Bis zur Firewall

Die oft verlangte Authentifizierung an der Firewall gehört auch zu den Komponenten, die das Identity Management berücksichtigt. Mit dem Proxy-Klassiker Socks v5 klappt das sogar unabhängig vom Anwendungsprotokoll.

Neben ihren Vorteilen birgt die Vereinheitlichung aber auch eine Gefahr: Paranoide Vorgesetzte könnten die Datenbasis nutzen, um ihren Kontroll- und Überwachungswahn voll auszuleben. Damit bewegen sie sich aber jenseits der Legalität. Der Rechtsrat ab Seite 62 nennt die juristischen Grenzen.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben