Es ist der Reiz eines Rollenspiels, in mehrere Persönlichkeiten zu schlüpfen und unterschiedliche Aufgaben zu erledigen. In der IT sind multiple Identitäten aber ein Gräuel: Niemand will sich dutzende Kennungen merken. Muss er auch nicht, wenn ihm geschicktes Identity Management zur Seite steht.
|
Inhalt |
|
|---|---|
|
32 |
Grundlagen: Authentifizierung |
|
38 |
Überblick: Firmen und Verfahren |
|
44 |
Web: Apache, Tomcat und LDAP |
|
48 |
Fensterln: Linux am Active Directory |
|
56 |
Firewall: Socks 5 |
|
62 |
Recht: Grenzen durch Datenschutz |
Jede Anleitung für sichere Passwörter rät eindringlich, das Geheimnis auf keinen Fall zu notieren. Zu groß sei die Gefahr, dass jemand den Zettel findet und sich unberechtigt Zugang verschafft, egal für welchen Dienst das Passwort gilt. Dummerweise gibt es heute sehr viele Dienste – vom Login am Client über Datenbanken, Intranetanwendungen, Mailserver, Firewall-Proxy bis zu Webapplikationen, Onlinebanking und vielem mehr.
Sich einige Dutzend Passwörter zu merken und jedes möglichst zufällig zu wählen ist schlicht zu viel verlangt. Zumal keins dieser Passwörter ewig gleich bleiben sollte. Aber immer und überall das gleiche Passwort verwenden ist auch gefährlich, vor allem wenn es für getrennte administrative Bereiche gelten soll. Jeder Webmaster, der eine einfache Diskussionsseite mit eigenem Login anbietet, würde sonst unfreiwillig zum Geheimnisträger. Doch es gibt Auswege aus dem Dilemma.
Weniger ist mehr
Innerhalb eines Unternehmens ist es reichlich sinnfrei, wenn sich ein Mitarbeiter für wechselnde Aufgaben jeweils erneut authentifizieren muss und dabei zu allem Überfluss noch getrennte Benutzernamen erhält. Solcherlei Redundanz aufzuheben ist die Aufgabe des Identity-Managements. Es hilft damit den Mitarbeitern und den Admins gleichermaßen: Die einen brauchen sich weniger zu merken, die anderen müssen weniger verwalten.
Eine Vielzahl von Techniken versucht dieses Ziel zu erreichen. Ein fertiges Produkt, das jeden Anwendungsfall abdeckt, existiert jedoch nicht. Der Artikel ab Seite 38 gibt einen Überblick über die verschiedenen Ansätze und deren jeweilige Vor- und Nachteile. Er nimmt dabei den Blickwinkel des Managements und der Administratoren ein.
Nur mit Verzeichnis
Viele Techniken verwenden im Kern einen oder mehrere Verzeichnisdienste mit einer LDAP-Schnittstelle. Bleibt die Herausforderung für die Applikationen, von dem zentralen Dienst auch Gebrauch zu machen statt eigene Benutzerdatenbanken zu verwenden. Ab Seite 44 steht, wie das bei Apache und Tomcat funktioniert.
Dass sich Linux auch mit Windows-Verzeichnisdiensten versteht, zeigt der darauf folgende Artikel. Auf Linux-Seite ist eine bunte Sammlung von Werkzeugen nötig, um die Accounts im Active Directory anzuzapfen. PAM, NSS, OpenLDAP und Kerberos vermitteln zwischen beiden Welten. Dabei darf der Admin die Homeverzeichnisse nicht vergessen.
Bis zur Firewall
Die oft verlangte Authentifizierung an der Firewall gehört auch zu den Komponenten, die das Identity Management berücksichtigt. Mit dem Proxy-Klassiker Socks v5 klappt das sogar unabhängig vom Anwendungsprotokoll.
Neben ihren Vorteilen birgt die Vereinheitlichung aber auch eine Gefahr: Paranoide Vorgesetzte könnten die Datenbasis nutzen, um ihren Kontroll- und Überwachungswahn voll auszuleben. Damit bewegen sie sich aber jenseits der Legalität. Der Rechtsrat ab Seite 62 nennt die juristischen Grenzen.






