9 Den Zugriff auf die Web-Oberfläche verwalten

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte GSM-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

9.1 Benutzer

Der Greenbone Security Manager (GSM) ermöglicht die Definition und Verwaltung verschiedener Benutzer mit unterschiedlichen Rollen und Berechtigungen. Beim Initialisieren des GSMs wird der erste Benutzer – der Web-/Scanadministrator – bereits im GOS-Administrationsmenü erstellt. Mit diesem Benutzer können weitere Benutzer erstellt und verwaltet werden.

Rollen
Die Benutzerverwaltung des GSMs unterstützt für den Zugriff auf die Web-Oberfläche ein rollenbasiertes Berechtigungskonzept. Verschiedene Rollen sind bereits standardmäßig eingerichtet. Zusätzliche Rollen können mithilfe eines Administrators erstellt und genutzt werden. Die Rolle definiert, welche Optionen auf der Web-Oberfläche für den Benutzer sichtbar und nutzbar sind. Die Rollenzuordnung ist nicht in der Web-Oberfläche, sondern im zugrundeliegenden Greenbone Management Protocol (GMP) implementiert und betrifft somit alle GMP-Clients.
Gruppen
Zusätzlich zu Rollen unterstützt die Benutzerverwaltung des GSMs auch Gruppen. Dies dient hauptsächlich dem logischen Gruppieren.

Gruppen und Rollen können genutzt werden, um Berechtigungen mehreren Benutzern gleichzeitig zuzuweisen.

Jedem Benutzer wird ein IP-Adressbereich zugewiesen, der die erlaubten oder verweigerten Ziele enthält. Der GSM verweigert den Scan von anderen IP-Adressen als den angegebenen. Gleichermaßen kann der Zugriff auf bestimmte Schnittstellen des GSM erlaubt oder verweigert werden.

Die Benutzerverwaltung wird vollständig mit dem GSM durchgeführt. Externe Quellen für die Benutzerverwaltung werden nicht unterstützt. Dennoch kann ein zentraler LDAP- oder RADIUS-Server in den GSM integriert werden, um eine zentrale Authentifizierung zu unterstützen und eine Passwortsynchronisierung zu ermöglichen (siehe Kapitel 9.5). Der Server wird nur genutzt, um das Passwort während des Logins des Benutzers zu verifizieren. Alle anderen Einstellungen werden in der Benutzerverwaltung des GSMs vorgenommen.

9.1.1 Benutzer erstellen und verwalten

9.1.1.1 Einen Benutzer erstellen

Benutzer können wie folgt erstellt werden:

Bemerkung

Nur Administratoren dürfen zusätzliche Benutzer erstellen und verwalten.

  1. Als Administrator einloggen.

  2. Administration > Benutzer in der Menüleiste wählen.

  3. Neuen Benutzer durch Klicken auf new erstellen.

  4. Benutzer definieren (siehe Abb. 9.1).

    _images/user_new-de.png

    Abb. 9.1 Erstellen eines neuen Benutzers

  5. Auf Speichern klicken.

    → Der Benutzer wird erstellt und auf der Seite Benutzer angezeigt.

Die folgenden Details des Benutzers können festgelegt werden:

Loginname
Dies ist der Name, der für den Login genutzt wird. Falls ein LDAP- oder RADIUS-Server für die zentrale Passwortverwaltung genutzt wird, muss der Benutzer mit dem identischen Namen (rDN) erstellt werden, der vom Server genutzt wird (siehe Kapitel 9.5). Der Name kann Buchstaben und Zahlen enthalten und darf maximal 80 Zeichen lang sein.
Authentifizierung

Dies ist das Passwort, das für den Login genutzt wird. Das Passwort kann jede Art von Zeichen enthalten und darf maximal 40 Zeichen lang sein.

Bemerkung

Falls Sonderzeichen genutzt werden, muss beachtet werden, dass diese auf allen Tastaturen und in allen Betriebssystemen verfügbar sein müssen.

Bemerkung

Falls eine zentrale Benutzerverwaltung genutzt wird, sind mehr Optionen verfügbar (siehe Kapitel 9.5).

Rollen

Jeder Benutzer kann mehrere Rollen haben. Die Rollen definieren die Berechtigungen eines Benutzers bei der Anwendung von GMP. Die Rollen Admin, User, Info, Observer, Guest und Monitor sind verfügbar. Zusätzlich ist es möglich, benutzerdefinierte Rollen hinzuzufügen und zu konfigurieren (siehe Kapitel 9.2.2).

Wenn ein Benutzer mit einer benutzerdefinierten Rolle in der Lage sein soll, die Web-Oberfläche zu nutzen, sind mindestens die folgenden Berechtigungen für diese Rolle erforderlich:

  • authenticate
  • get_settings
  • help

Für weitere Details siehe Kapitel 9.2.

Gruppen
Jeder Benutzer kann Mitglied in mehreren Gruppen sein. Die Verwaltung von Berechtigungen kann ebenfalls mithilfe von Gruppen durchgeführt werden (siehe Kapitel 9.4).
Host-Zugriff

Hosts, auf denen es dem Benutzer erlaubt ist, Scans durchzuführen. Die Beschränkungen gelten auch für Administratoren, welche diese jedoch selbst entfernen können. Normale Benutzer (User) und Rollen ohne Zugriff auf die Benutzerverwaltung können die Beschränkungen nicht umgehen. Grundsätzlich ist entweder eine Whitelist (alle verweigern und einzelne erlauben) oder eine Blacklist (alle erlauben und einzelne verweigern) möglich.

  • Whitelist
    Das Scannen aller Systeme wird grundsätzlich verweigert. Nur explizit gelistete Systeme dürfen gescannt werden.
  • Blacklist
    Das Scannen aller Systeme wird grundsätzlich erlaubt. Nur explizit gelistete Systeme dürfen nicht gescannt werden.

Tipp

Allgemein wird die Whitelist-Methode empfohlen. Dies stellt sicher, dass Benutzer keine Systeme scannen, die außerhalb ihrer Verantwortung liegen, irgendwo im Internet lokalisiert sind oder versehentlich auf defekte Scans reagieren.

Sowohl Systemnamen als auch IPv4- und IPv6-Adressen können eingegeben werden. Einzelne IP-Adressen oder IP-Adressenbereiche und Netzwerksegmente können angegeben werden. Die folgende Liste zeigt einige Beispiele:

  • 192.168.15.5 (IPv4-Adresse)
  • 192.168.15.5-192.168.15.27 (IPv4-Adressbereich, lange Form)
  • 192.168.15.5-27 (IPv4-Adressbereich, kurze Form)
  • 192.168.15.128/25 (IPv4-Adressbereich, CIDR-Notation)
  • 2001:db8::1 (IPv6-Adresse)
  • 2001:db8::1-2001:db8::15 (IPv6-Adressbereich, lange Form)
  • 2001:db8::1-15 (IPv6-Adressbereich, kurze Form)
  • 2001:db8::/120 (IPv4-Adressbereich, CIDR-Notation)

Alle Optionen können gemischt und angepasst und als kommagetrennte Liste eingegeben werden. Standardmäßig ist die Subnetzmaske in der CIDR-Schreibweise auf ein Maximum von 20 für IPv4 und 116 für IPv6 beschränkt. Der Grund dafür ist, dass die maximale Anzahl von IP-Adressen pro Ziel bei den meisten Appliances 4096 beträgt. Ist die maximale Anzahl der IP-Adressen höher, z.B. bei der GSM 6500, können entsprechend größere Subnetzmasken konfiguriert werden.

Interface-Zugriff
Dies bezieht sich auf das Eingabefeld Netzwerk-Quell-Interface beim Erstellen einer neuen Aufgabe (siehe Kapitel 10.2.2). Falls eine Aufgabe durch ihre Konfiguration an ein bestimmtes Netzwerk-Interface gebunden ist und ein Benutzer keinen Zugriff auf dieses Netzwerk-Interface hat, kann der Benutzer die Aufgabe nicht erfolgreich durchführen. Eine kommagetrennte Liste von Netzwerkadaptern kann eingegeben werden. Ähnlich zu Host-Zugriff ist eine Whitelist- oder eine Blacklist-Methode möglich (siehe oben).

9.1.1.2 Benutzer verwalten

Listenseite

Alle vorhandenen Benutzer können angezeigt werden, indem als Administrator Administration > Benutzer in der Menüleiste gewählt wird.

Für alle Benutzer werden die folgenden Informationen angezeigt:

Name
Name des Benutzers. Globale Benutzer sind Benutzer, die im GOS-Administrationsmenü erstellt werden (siehe Kapitel 7.2.1) und mit view_other markiert sind.
Rollen
Rolle des Benutzers (siehe Kapitel 9.2).
Gruppen
Gruppen, zu denen der Benutzer gehört (siehe Kapitel 9.3).
Host-Zugriff
Hosts, auf denen der Benutzer Scans durchführen darf.
Authentifizierungstyp
Art der Authentifizierung: Lokal, falls ein Passwort genutzt wird, RADIUS oder LDAP, falls ein zentrales Benutzermanagement genutzt wird (siehe Kapitel 9.5).

Für alle Benutzer sind die folgenden Aktionen verfügbar:

  • delete Den Benutzer löschen. Nur Benutzer, die aktuell nicht eingeloggt sind und die nicht Super-Administrator sind, können gelöscht werden.
  • edit Den Benutzer bearbeiten.
  • clone Den Benutzer klonen.
  • export Den Benutzer als XML-Datei exportieren.

Bemerkung

Durch Klicken auf delete oder export unterhalb der Liste von Benutzern können mehrere Benutzer zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Benutzer gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Benutzers werden Details des Benutzers angezeigt. Durch Klicken auf details wird die Detailseite des Benutzers geöffnet (siehe Abb. 9.2).

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den Benutzer.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Berechtigungen des Benutzers oder anderer Benutzer/Rollen/Gruppen für Objekte des Benutzers (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Benutzern anzeigen.
  • new Einen neuen Benutzer erstellen (siehe Kapitel 9.1.1.1).
  • clone Den Benutzer klonen.
  • edit Den Benutzer bearbeiten.
  • delete Den Benutzer löschen. Nur Benutzer, die aktuell nicht eingeloggt sind und die nicht Super-Administrator sind, können gelöscht werden.
  • export Den Benutzer als XML-Datei exportieren.
_images/user_details-de.png

Abb. 9.2 Details eines Benutzers

9.1.2 Zeitgleicher Login

Es ist möglich, dass zwei Benutzer gleichzeitig eingeloggt sind.

Falls derselbe Benutzer sich mehrmals zur gleichen Zeit einloggen will, muss der Login mit unterschiedlichen PCs oder Browsern stattfinden. Ein weiterer Login im selben Browser setzt den ersten Login außer Kraft.

9.1.3 Einen Gastlogin erstellen

Der Gast-Benutzer hat nur eingeschränkten Zugriff auf die Web-Oberfläche.

Um einem Gast den Zugriff zu ermöglichen, kann ein Benutzer mit der Rolle Guest erstellt werden (siehe Kapitel 9.1.1).

Mit dem Passwort kann sich der Gast einloggen und bekommt die Seite Dashboards angezeigt.

Um einem Gast den Login ohne Passwort zu ermöglichen, muss diese Funktion im GOS-Administrationsmenü aktiviert sein (siehe Kapitel 7.2.1.4).

9.2 Rollen

Die Web-Oberfläche unterstützt das Erstellen und Konfigurieren eigener Benutzerrollen.

Die folgenden Rollen sind standardmäßig verfügbar:

  • Admin
    Diese Rolle hat standardmäßig alle Berechtigungen. Sie ist insbesondere berechtigt, andere Benutzer, Rollen und Gruppen zu erstellen und zu verwalten.
  • Benutzer
    Diese Rolle hat standardmäßig alle Berechtigungen, abgesehen von der Benutzer-, Rollen und Gruppenverwaltung. Diese Rolle kann den Feed nicht synchronisieren und verwalten. Auf der Web-Oberfläche besteht kein Zugang zur Seite Administration.
  • Info
    Diese Rolle (Information Browser) hat nur Lesezugriff auf VTs und SCAP-Informationen. Alle anderen Informationen sind nicht zugänglich. Die Rolle kann die eigenen Einstellungen ändern, z. B. das Passwort ändern.
  • Guest
    Diese Rolle ist mit der Rolle Info identisch, kann aber die eigenen Einstellungen nicht ändern.
  • Monitor
    Diese Rolle hat Zugriff auf die Systemberichte des GSMs (siehe Kapitel 17.1).
  • Observer
    Diese Rolle hat Lesezugriff auf das System, aber kann keine Scans starten oder erstellen. Sie hat nur Lesezugriff auf Scans, für die sie zugelassen wurde.
  • Super Admin
    Diese Rolle hat Zugriff auf alle Objekte aller Benutzer. Es besteht keine Verbindung zum super user (su/root) im GOS-Administrationsmenü. Diese Rolle kann nicht über die Web-Oberfläche konfiguriert werden und Benutzer mit dieser Rolle können nicht über die Web-Oberfläche gelöscht werden. Benutzer mit dieser Rolle sollten über das GOS-Administrationsmenü verwaltet werden (siehe Kapitel 9.2.5).

Bemerkung

Nur Administratoren sind berechtigt, zusätzliche Rollen zu erstellen und zu verwalten.

Bemerkung

Das Verändern der voreingestellten Rollen ist nicht möglich. Allerdings kann eine Rolle kopiert (geklont) und anschließend die Kopie bearbeitet werden.

Dies stellt ein gleichbleibendes Verhalten nach einem Softwareupgrade sicher.

9.2.1 Eine vorhandene Rolle klonen

Wenn eine vorhandene Rolle genau die benötigten Anforderungen erfüllt, kann eine Rolle erstellt werden, indem eine vorhandene Rolle geklont wird:

  1. Als Administrator einloggen.

  2. Administration > Rollen in der Menüleiste wählen.

  3. In der Zeile einer vorhandenen Rolle auf clone klicken.

  4. In der Zeile des Klons auf edit klicken.

  5. Namen der Rolle in das Eingabefeld Name eingeben (siehe Abb. 9.3).

  6. Benutzer, die die Rolle haben sollen, in der Drop-down-Liste Benutzer wählen.

  7. Berechtigung durch Wählen der Berechtigung in der Drop-down-Liste Name und Klicken auf Berechtigung erstellen hinzufügen.

  8. Super-Berechtigung durch Wählen der entsprechenden Gruppe in der Drop-down-Liste Gruppe und Klicken auf Berechtigung erstellen hinzufügen.

    Berechtigung durch Klicken auf trashcan in der Liste Generelle Berechtigungen für Befehle löschen.

    _images/role_edit-de.png

    Abb. 9.3 Bearbeiten einer geklonten Rolle

  9. Auf Speichern klicken.

9.2.2 Eine Rolle erstellen

Wenn eine Rolle mit eingeschränkter Funktionalität erstellt werden soll, kann mit einer neuen, leeren Rolle begonnen werden:

  1. Als Administrator einloggen.

  2. Administration > Rollen in der Menüleiste wählen.

  3. Neue Rolle durch Klicken auf new erstellen.

  4. Rolle definieren.

    Die folgenden Details der Rolle können festgelegt werden:

    Name

    Der Name der Rolle kann Buchstaben und Zahlen enthalten und darf maximal 80 Zeichen lang sein.

    Kommentar (optional)

    Ein Kommentar beschreibt die Rolle genauer.

    Benutzer

    Die Benutzer mit dieser Rolle können in der Drop-down-Liste Benutzer gewählt werden. Alternativ können die Rollen im Benutzerprofil verwaltet werden (siehe Kapitel 9.1.1).

  5. Auf Speichern klicken.

    → Die Rolle wird erstellt und auf der Seite Rollen angezeigt.

  6. In der Zeile der neu erstellen Rolle auf edit klicken.

  1. Berechtigung durch Wählen der Berechtigung in der Drop-down-Liste Name und Klicken auf Berechtigung erstellen hinzufügen.

    Bemerkung

    Wenn Benutzer mit der Rolle in der Lage sein sollen, die Web-Oberfläche zu benutzen, sind mindestens die folgenden Berechtigungen erforderlich:

    • authenticate
    • get_settings
    • help

    Die Berechtigung write_settings erlaubt es Benutzern, ihr eigenes Passwort, ihre Zeitzone und andere persönliche Einstellungen zu ändern.

  2. Super-Berechtigung durch Wählen der entsprechenden Gruppe in der Drop-down-Liste Gruppe und Klicken auf Berechtigung erstellen hinzufügen.

    Berechtigung durch Klicken auf trashcan in der Liste Generelle Berechtigungen für Befehle löschen.

  3. Auf Speichern klicken.

9.2.3 Rollen verwalten

Listenseite

Alle vorhandenen Rollen können angezeigt werden, indem Administration > Rollen in der Menüleiste gewählt wird.

Für alle Rollen werden die folgenden Informationen angezeigt:

Name
Name der Rolle. Alle Standardrollen sind globale Rollen und mit view_other markiert.

Für alle Rollen sind die folgenden Aktionen verfügbar:

  • trashcan Die Rolle in den Papierkorb verschieben. Nur selbst erstellte Rollen können in den Papierkorb verschoben werden.
  • edit Die Rolle bearbeiten. Nur selbst erstellte Rollen können bearbeitet werden.
  • clone Die Rolle klonen.
  • export Die Rolle als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Rollen können mehrere Rollen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Rollen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Rolle werden Details der Rolle angezeigt. Durch Klicken auf details wird die Detailseite der Rolle geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Rolle.
Generelle Berechtigungen für Befehle
GMP-Befehle, die von dieser Rolle ausgeführt werden können.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Berechtigungen der Rolle oder anderer Benutzer/Rollen/Gruppen für Objekte der Rolle (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Rollen anzeigen.
  • new Eine neue Rolle erstellen (siehe Kapitel 9.2.2).
  • clone Die Rolle klonen.
  • edit Die Rolle bearbeiten. Nur selbst erstellte Rollen können bearbeitet werden.
  • trashcan Die Rolle in den Papierkorb verschieben. Nur selbst erstellte Rollen können in den Papierkorb verschoben werden.
  • export Die Rolle als XML-Datei exportieren.

9.2.4 Rollen einem Benutzer zuweisen

Um Berechtigungen zu gruppieren, kann ein Benutzer mehr als eine Rolle haben.

Die Rollen werden beim Erstellen eines neuen Benutzers zugewiesen (siehe Abb. 9.4, siehe Kapitel 9.1.1). Falls dem Benutzer mehr als eine Rolle zugewiesen wird, werden die Berechtigungen der Rollen addiert.

_images/user_multiple_roles-de.png

Abb. 9.4 Erstellen eines neuen Benutzers mit mehreren Rollen

9.2.5 Einen Super-Administrator erstellen

Die Rolle Super Admin stellt die höchste Zugriffsstufe dar.

Die Rolle Admin kann Benutzer erstellen, verändern und löschen. Zusätzlich kann sie Berechtigungen sehen, verändern und löschen. Allerdings ist sie diesen Berechtigungen ebenfalls untergeordnet. Falls ein Benutzer eine private Scan-Konfiguration erstellt, aber nicht teilt, kann der Administrator nicht auf diese zugreifen.

Die Rolle Super Admin ist für Diagnosezwecke geeigneter. Der Super-Administrator ist von Einschränkungen durch Berechtigungen ausgenommen und kann jede Konfiguration jedes Nutzers sehen und bearbeiten.

Der Super-Administrator muss im GOS-Administrationsmenü erstellt werden (siehe Kapitel 7.2.1.5).

Bemerkung

Der Super-Administrator kann nur durch den Super-Administrator selbst bearbeitet werden.

9.3 Gruppen

Gruppen werden genutzt, um Benutzer logisch zusammenzufassen. Es können beliebig viele Gruppen erstellt werden.

Berechtigungen können einer Gruppe zugewiesen werden (siehe Kapitel 9.4). Standardmäßig sind keine Gruppen vorhanden.

9.3.1 Eine Gruppe erstellen

Eine Gruppe kann wie folgt erstellt werden:

Bemerkung

Nur Administratoren dürfen Gruppen erstellen und verwalten.

  1. Als Administrator einloggen.

  2. Administration > Gruppen in der Menüleiste wählen.

  3. Neue Gruppe durch Klicken auf new erstellen.

  4. Gruppe definieren (siehe Abb. 9.5).

    _images/group_new-de.png

    Abb. 9.5 Erstellen einer neuen Gruppe

  5. Auf Speichern klicken.

    → Die Gruppe wird erstellt und auf der Seite Gruppen angezeigt.

Die folgenden Details der Gruppe können festgelegt werden:

Name
Der Name der Gruppe kann Buchstaben und Zahlen enthalten und darf maximal 80 Zeichen lang sein.
Kommentar (optional)
Ein Kommentar beschreibt die Gruppe näher.
Benutzer
Die Mitglieder der Gruppe können in der Drop-down-Liste Benutzer gewählt werden. Alternativ können die Gruppen im Benutzerprofil verwaltet werden (siehe Kapitel 9.1.1).
Spezielle Gruppen
Checkbox aktivieren, falls alle Gruppenmitglieder Lese- und Schreibrechte auf alle Objekte der Gruppe haben sollen.

9.3.2 Gruppen verwalten

Listenseite

Alle vorhandenen Gruppen können angezeigt werden, indem Administration > Gruppen in der Menüleiste gewählt wird.

Für alle Gruppen werden die folgenden Informationen angezeigt:

Name
Name der Gruppe.

Für alle Gruppen sind die folgenden Aktionen verfügbar:

  • trashcan Die Gruppe in den Papierkorb verschieben.
  • edit Die Gruppe bearbeiten.
  • clone Die Gruppe klonen.
  • export Die Gruppe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Gruppen können mehrere Gruppen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Gruppen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Gruppe werden Details der Gruppe angezeigt. Durch Klicken auf details wird die Detailseite der Gruppe geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Gruppe.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Berechtigungen der Gruppe oder anderer Benutzer/Rollen/Gruppen für Objekte der Gruppe (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Gruppen anzeigen.
  • new Eine neue Gruppe erstellen (siehe Kapitel 9.3.1).
  • clone Die Gruppe klonen.
  • edit Die Gruppe bearbeiten.
  • trashcan Die Gruppe in den Papierkorb verschieben.
  • export Die Gruppe als XML-Datei exportieren.

9.4 Berechtigungen

Durch Wählen von Administration > Berechtigungen in der Menüleiste, werden alle Berechtigungen angezeigt, die auf dem System vorhanden sind. Falls mehrere Rollen erstellt wurden, können leicht hunderte Berechtigungen vorhanden sein.

Jede Berechtigung betrifft genau ein Subjekt. Eine Berechtigung erlaubt es dem Subjekt, eine zugehörige Aktion durchzuführen.

Subjekte können vom folgenden Typ sein:

  • Benutzer
  • Rollen
  • Gruppen

Es gibt zwei Arten von Berechtigungen:

  • Berechtigungen für Befehle

    Berechtigungen für Befehle sind mit dem Greenbone Management Protocol (GMP) verknüpft. Jede Berechtigung gilt für einen bestimmten GMP-Befehl, wobei der Name der Berechtigung der entsprechende Befehl ist.

    Eine Berechtigung für Befehle ist entweder eine Berechtigung auf Befehlslevel oder auf Ressourcenlevel.

    • Befehlslevel
      Falls keine Ressource angegeben ist, wird eine Berechtigung auf Befehlslevel erstellt. Eine Berechtigung auf Befehlslevel ermöglicht es dem Subjekt, den vorgegebenen GMP-Befehl auszuführen.
    • Ressourcenlevel
      Falls eine Ressource angegeben ist, wird eine Berechtigung auf Ressourcenlevel erstellt. Eine Berechtigung auf Ressourcenlevel ermöglicht es dem Subjekt, den vorgegebenen GMP-Befehl auf eine bestimmte Ressource auszuführen.
  • Super-Berechtigungen

    (siehe Kapitel (9.4.2)

9.4.1 Berechtigungen erstellen und verwalten

Bemerkung

Üblicherweise werden Berechtigungen auf der Web-Oberfläche mithilfe der Rollenverwaltung zugewiesen (siehe Kapitel 9.2).

Das Erstellen und Verwalten von Berechtigungen über die Seite Berechtigungen wird nur erfahrenen Benutzern empfohlen, die nach einer bestimmten Berechtigung suchen.

9.4.1.1 Eine Berechtigung erstellen

Eine neue Berechtigung kann wie folgt erstellt werden:

  1. Administration > Berechtigungen in der Menüleiste wählen.

  2. Neue Berechtigung durch Klicken auf new erstellen.

  3. Berechtigung definieren (siehe Abb. 9.6).

    _images/permission_new-de.png

    Abb. 9.6 Erstellen einer neuen Berechtigung

  4. Auf Speichern klicken.

    → Die Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Die folgenden Details der Berechtigung können festgelegt werden:

Name
Berechtigung, die erteilt werden soll.
Kommentar (optional)
Ein Kommentar beschreibt die Berechtigung genauer.
Subjekt
Subjekt (Benutzer, Rolle oder Gruppe), das die Berechtigung erhalten soll.

Bemerkung

Die Subjekte, denen die Berechtigung zugewiesen werden kann, hängen von der Rolle des aktuell eingeloggten Benutzers ab. Normale Benutzer (User) können anderen Benutzern Berechtigungen erteilen, während Administratoren Benutzern, Rollen und Gruppen Berechtigungen erteilen können.

Ressourcen-Typ (nur für die Berechtigung Super (hat Super-Zugriff))
Ressourcentyp (Benutzer/Rolle/Gruppe), auf welchen der Benutzer/die Rolle/die Gruppe Super-Zugriff hat.
Benutzer-/Rollen-/Gruppen-ID (nur für die Berechtigung Super (hat Super-Zugriff))
ID der Ressource (Benutzer/Rolle/Gruppe), auf welche der Benutzer/die Rolle/die Gruppe Super-Zugriff hat.
Beschreibung
Textliche Beschreibung der Berechtigung.

9.4.1.2 Berechtigungen von der Detailseite einer Ressource aus erstellen

Berechtigungen können wie folgt direkt von der Detailseite einer Ressource, z. B. einer Aufgabe, aus erstellt werden:

  1. Detailseite der Ressource öffnen.

    Beispiel: Scans > Aufgaben in der Menüleiste wählen.

  2. Auf den Namen der Aufgabe klicken.

  3. Auf details klicken, um die Detailseite der Aufgabe zu öffnen.

  4. Auf den Register Berechtigungen klicken.

  5. Im geöffneten Abschnitt Berechtigungen auf new klicken.

  6. Berechtigung definieren (siehe Abb. 9.7).

    _images/permission_from_detailspage-de.png

    Abb. 9.7 Erstellen einer Berechtigung von der Detailseite einer Ressource aus

  7. Auf Speichern klicken.

    → Die Berechtigung wird erstellt und im Abschnitt Berechtigungen auf der Detailseite der Ressource angezeigt.

Es gibt zwei Arten von Berechtigungen, die direkt auf der Detailseite der Ressource erteilt werden können:

  • lesen
    Die Berechtigung lesen bedeutet, dass die Ressource auf Listenseiten sichtbar ist und ihre Detailseite geöffnet werden kann.
  • schreiben
    Die Berechtigung schreiben bedeutet, dass die Ressource auf Listenseiten sichtbar ist, ihre Detailseite geöffnet werden kann und die Ressource bearbeitet (aber nicht gelöscht) werden kann.

Einige Ressourcen bringen zusätzliche Berechtigungen mit sich:

  • Aufgaben
    Wenn die Berechtigung schreiben für eine Aufgabe erteilt wird, werden die Berechtigungen, die Aufgabe zu starten (start_task), zu stoppen (stop_task) und fortzusetzen (resume_task) automatisch hinzugefügt.
  • Benachrichtigungen
    Wenn die Berechtigung schreiben für eine Benachrichtigung erteilt wird, wird die Berechtigungen, die Benachrichtigung zu testen (test_alert) automatisch hinzugefügt.
  • Berichtformate und Scanner
    Wenn die Berechtigung schreiben für ein Berichtformat oder einen Scanner erteilt wird, wird die Berechtigung, das Berichtformat/den Scanner zu verifizieren (verify_report_format/verify_scanner) automatisch hinzugefügt.

Für einige Ressourcentypen kann gewählt werden, ob die Berechtigungen auch für verbundene Ressourcen erteilt werden sollen (siehe Abb. 9.7).

  • Aufgaben
    Für Aufgaben schließt dies Benachrichtigungen und deren Filter, Ziele und deren verknüpfte Anmeldedaten und Portlisten, Zeitpläne, den Scanner und die Scan-Konfiguration mit ein.
  • Ziele
    Für Ziele schließt dies Anmeldedaten und Portlisten mit ein.
  • Benachrichtigungen
    Für Benachrichtigungen schließt dies den Filter, der auf den Bericht angewendet wird, mit ein.

Bemerkung

Berechtigungen können auch nur für die angegebene Ressource erstellt werden.

Die Details der zugehörigen Ressource werden unterhalb der Drop-down-Liste angezeigt.

9.4.1.3 Berechtigungen verwalten

Listenseite

Alle vorhandenen Berechtigungen können angezeigt werden, indem Administration > Berechtigungen in der Menüleiste gewählt wird.

Für alle Berechtigungen werden die folgenden Informationen angezeigt:

Name
Name der Berechtigung. Eine globale Berechtigung ist mit view_other gekennzeichnet.
Beschreibung
Textliche Beschreibung der Berechtigung.
Ressourcen-Typ
Ressourcentyp, auf welchen der Benutzer/die Rolle/die Gruppe Zugriff hat.
Ressource
Name der Ressource, auf die der Benutzer/die Rolle/die Gruppe Zugriff hat.
Subjekttyp
Subjekttyp (Benutzer/Rolle/Gruppe), der die Berechtigung erhält.
Subjekt
Subjekt, das die Berechtigung erhält.

Für alle Berechtigungen sind die folgenden Aktionen verfügbar:

  • trashcan Die Berechtigung in den Papierkorb verschieben. Nur selbst erstellte Berechtigungen können in den Papierkorb verschoben werden.
  • edit Die Berechtigung bearbeiten. Nur selbst erstellte Berechtigungen können bearbeitet werden.
  • clone Die Berechtigung klonen. Nur selbst erstellte Berechtigungen können geklont werden.
  • export Die Berechtigung als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Berechtigungen können mehrere Berechtigungen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berechtigungen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Berechtigung werden Details der Berechtigung angezeigt. Durch Klicken auf details wird die Detailseite der Berechtigung geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Berechtigung.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Berechtigungen anzeigen.
  • new Eine neue Berechtigung erstellen (siehe Kapitel 9.4.1.1).
  • clone Die Berechtigung klonen. Nur selbst erstellte Berechtigungen können geklont werden.
  • edit Die Berechtigung bearbeiten. Nur selbst erstellte Berechtigungen können bearbeitet werden.
  • trashcan Die Berechtigung in den Papierkorb verschieben. Nur selbst erstellte Berechtigungen können in den Papierkorb verschoben werden.
  • export Die Berechtigung als XML-Datei exportieren.

9.4.2 Super-Berechtigungen erteilen

Jede Ressource, die auf dem GSM erstellt wird (z. B. ein Benutzer, eine Aufgabe, ein Ziel) ist entweder global oder gehört einem bestimmten Benutzer. Globale Ressourcen sind mit view_other gekennzeichnet.

Nicht-globale Ressourcen sind nur für ihren Eigentümer sicht- und nutzbar. Individuelle Berechtigungen sind nötig, um eine Ressource für andere Benutzer verfügbar zu machen, was sehr mühsam ist.

Um das zu vermeiden, können Benutzer, Rollen und Gruppen Super-Berechtigungen erhalten. Diese ermöglichen den Zugriff auf alle Objekte anderer Benutzer, Rollen oder Gruppen.

Ein Benutzer kann Super-Berechtigungen für Folgendes erhalten:

  • Benutzer
  • Rollen
  • Gruppen
  • Alles

Diese Super-Berechtigungen ermöglichen den Zugriff auf alle Ressourcen, die dem Benutzer/der Rolle/der Gruppe gehören oder auf im Grunde alle vorhandenen Ressourcen.

Bemerkung

Die Super-Berechtigung Alles kann nicht explizit vergeben werden. Sie ist auf den Super-Administrator (siehe Kapitel 9.2.5) beschränkt und kann nur beim Erstellen eines solchen erteilt werden.

Ein Benutzer kann Super-Berechtigungen nur für selbst erstellte Objekte erteilen. Nur der Super-Administrator kann allen anderen Benutzern, Rollen und Gruppen Super-Berechtigungen erteilen.

  1. Auf den Namen des Benutzers/der Rolle/der Gruppe auf der Seite Benutzer/Rollen/Gruppen klicken, für den oder für die die Super-Berechtigungen erteilt werden sollen.

  2. Detailseite durch Klicken auf details öffnen.

    → Die ID der Ressource befindet sich in der rechten oberen Ecke (siehe Abb. 9.8).

    _images/id_resource-de.png

    Abb. 9.8 ID einer Ressource

  3. ID notieren oder kopieren.

  4. Administration > Berechtigungen in der Menüleiste wählen.

  5. Neue Berechtigung durch Klicken auf new erstellen.

  6. Super (hat Super-Zugriff) in der Drop-down-Liste Name wählen (siehe Abb. 9.9).

  7. Radiobutton des Subjekttyps, der die Super-Berechtigungen erhalten soll, wählen.

  8. Benutzer/Rolle/Gruppe, der oder die die Super-Berechtigungen erhalten soll, in der entsprechenden Drop-down-Liste wählen.

  9. Ressourcentyp, für den die Super-Berechtigungen erteilt werden sollen, in der Drop-down-Liste Ressourcen-Typ wählen.

  10. Zuvor ermittelte ID in das Eingabefeld Benutzer-ID/Rollen-ID/Gruppen-ID eingeben oder einfügen.

    _images/permission_super-de.png

    Abb. 9.9 Erstellen einer neuen Super-Berechtigung

  11. Auf Speichern klicken.

    → Die Super-Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Tipp

Super-Berechtigungen vereinfachen die Berechtigungsverwaltung auf dem GSM. Sie können einfach an gesamte Gruppen vergeben werden. Dies ermöglicht allen Benutzern der Gruppen den Zugriff auf alle Ressourcen, die von anderen Mitgliedern der Gruppe erstellt wurden.

9.4.3 Anderen Benutzern Lesezugriff erteilen

9.4.3.1 Anforderungen, um Lesezugriff zu erteilen

Jeder Benutzer kann eine unbegrenzte Anzahl selbst erstellter Ressourcen teilen. Dazu benötigt der Nutzer sowohl die globale get_users-Berechtigung als auch die spezifische get_users-Berechtigung für den Nutzer, der Lesezugriff erhalten soll.

Bemerkung

Der einfachste und empfohlene Weg, selbst erstellte Ressourcen zu teilen, ist es, einen Administratoraccount zu nutzen und die Accounts, die Lesezugriff erhalten sollen, mit diesem Administratoraccount zu erstellen.

Alle anderen hier beschriebenen Wege sind umständlich und zeitaufwendig.

Anforderungen für Administratoren

Administratoren haben standardmäßig bereits die globale get_users-Berechtigung.

Der Administrator kann die spezifische get_users-Berechtigung für den Account, der Lesezugriff erhalten soll, auf zwei Arten bekommen:

  • Den Account selbst erstellen, da Administratoren automatisch die spezifische get_users-Berechtigung für von ihnen erstellte Accounts haben.
  • Mithilfe eines Super-Administrators.

Ein Super-Administrator kann einem Administrator spezifische get_users-Berechtigungen wie folgt erteilen:

  1. Als Super-Administrator in die Web-Oberfläche einloggen (siehe Kapitel 7.2.1.5 und 9.2.5).

  2. Administration > Benutzer in der Menüleiste wählen.

  3. Auf den Namen des Accounts klicken, der Lesezugriff vom Administrator erhalten soll.

  4. Auf details klicken.

  5. Auf den Register Berechtigungen klicken.

  6. Neue Berechtigung durch Klicken auf new im Abschnitt Berechtigungen erstellen.

  7. lesen in der Drop-down-Liste Gewähre wählen (siehe Abb. 9.10).

    _images/admin_specific_get_users-de.png

    Abb. 9.10 Erteilen einer spezifischen get_users-Berechtigung an einen Administrator

  8. Radiobutton Benutzer wählen.

  9. Administrator, der in der Lage sein soll, Lesezugriff zu erteilen, in der Drop-down-Liste Benutzer wählen.

  10. Auf Speichern klicken.

    → Die spezifische get_users-Berechtigung wird erstellt und in der Liste angezeigt (siehe Abb. 9.11).

    Der Administrator ist nun in der Lage, dem entsprechenden Nutzer Lesezugriff, wie in Kapitel 9.4.3.2 beschrieben, zu erteilen.

    _images/admin_specific_get_users_2-de.png

    Abb. 9.11 Spezifische get_users-Berechtigung für einen Administrator

Anforderungen für normale Nutzer

Normale Nutzer haben die globale get_users-Berechtigung nicht standardmäßig. Sie kann wie folgt hinzugefügt werden:

  1. Als Administrator einloggen.

  2. Administration > Rollen in der Menüleiste wählen.

  3. Neue Rolle durch Klicken auf new erstellen.

  4. LeserechtGewähren in das Eingabefeld Name eingeben.

  5. Auf Speichern klicken.

    → Die Rolle wird erstellt und auf der Seite Rollen angezeigt.

  6. In der Zeile der neu erstellen Rolle auf edit klicken.

  7. get_users in der Drop-down-Liste Name im Abschnitt Neue Berechtigung wählen (siehe Abb. 9.12).

    _images/role_permissions-de.png

    Abb. 9.12 Wählen der Berechtigungen für eine neue Rolle

  8. Auf Berechtigung erstellen klicken.

    → Die Berechtigung wird im Abschnitt Generelle Berechtigungen für Befehle angezeigt (siehe Abb. 9.12).

  9. Auf Speichern klicken.

  10. Administration > Benutzer in der Menüleiste wählen.

  11. In der Zeile des Benutzers, welchem die neu erstellte Rolle zugewiesen werden soll, auf edit klicken.

  12. Rolle LeserechtGewähren in der Drop-down-Liste Rollen hinzufügen.

  13. Auf Speichern klicken.

Ein Super-Administrator kann einem Nutzer spezifische get_users-Berechtigungen wie folgt erteilen:

  1. Als Super-Administrator in die Web-Oberfläche einloggen (siehe Kapitel 7.2.1.5 und 9.2.5).

  2. Administration > Benutzer in der Menüleiste wählen.

  3. Auf den Namen des Accounts klicken, der Lesezugriff vom Nutzer erhalten soll.

  4. Auf details klicken.

  5. Auf den Register Berechtigungen klicken.

  6. Im Abschnitt Berechtigungen auf new klicken.

  7. lesen in der Drop-down-Liste Gewähre wählen (siehe Abb. 9.13).

    _images/user_specific_get_users-de.png

    Abb. 9.13 Erteilen einer spezifischen get_users-Berechtigung an einen Nutzer

  8. Radiobutton Benutzer wählen.

  9. Nutzer, der in der Lage sein soll, Lesezugriff zu erteilen, in der Drop-down-Liste Benutzer wählen.

  10. Auf Speichern klicken.

    → Die spezifische get_users-Berechtigung wird erstellt und in der Liste angezeigt (siehe Abb. 9.14).

    Der Nutzer ist nun in der Lage, dem entsprechenden Nutzer Lesezugriff, wie in Kapitel 9.4.3.2 beschrieben, zu erteilen.

    _images/user_specific_get_users_2-de.png

    Abb. 9.14 Spezifische get_users-Berechtigung für einen Nutzer

9.4.3.2 Lesezugriff erteilen

Wenn ein Nutzer die globale und die spezifische get_users-Berechtigung hat (siehe Kapitel 9.4.3.1), kann der Nutzer Ressourcen wie folgt teilen:

  1. Auf der entsprechenden Seite auf den Namen der Ressource klicken, die geteilt werden soll.

  2. Detailseite durch Klicken auf details öffnen.

    → Die ID der Ressource befindet sich in der rechten oberen Ecke (siehe Abb. 9.15).

    _images/id_resource-de.png

    Abb. 9.15 ID einer Ressource

  3. ID notieren oder kopieren.

  4. Administration > Berechtigungen in der Menüleiste wählen.

  5. Neue Berechtigung durch Klicken auf new erstellen.

  6. Die Berechtigung für das Objekt, das geteilt werden soll, in der Drop-down-Liste Name wählen.

    • Filter: get_filters
    • Scan-Konfiguration: get_configs
    • Benachrichtigung: get_alerts
    • Notiz: get_notes
    • Übersteuerung: get_overrides
    • Tag: get_tags
    • Ziel: get_targets
    • Aufgabe einschließlich Bericht: get_tasks
    • Zeitplan: get_schedules
  7. Radiobutton Benutzer wählen (siehe Abb. 9.16).

  8. Benutzer, mit dem das Objekt geteilt werden soll, in der entsprechenden Drop-down-Liste wählen.

  9. Zuvor ermittelte ID in das Eingabefeld Ressourcen-ID eingeben oder einfügen.

    _images/permission_share_objects-de.png

    Abb. 9.16 Objekte mit anderen Benutzern teilen

  10. Auf Speichern klicken.

    → Die Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Bemerkung

Zusätzlich können Ressourcen mit Rollen oder Gruppen geteilt werden.

Dazu werden die globalen und spezifischen Berechtigungen get_groups – einer Gruppe Lesezugriff erteilen – oder get_roles – einer Rolle Lesezugriff erteilen – benötigt. Diese folgen dem gleichen Prinzip wie in Kapitel 9.4.3.1 beschrieben.

Ausnahme: Nutzer mit einer Standardrolle haben die spezifischen get_roles-Berechtigungen für alle Standardrollen.

9.5 Eine zentrale Benutzerverwaltung nutzen

Besonders in großen Umgebungen mit mehreren Benutzern ist es schwierig, eine Passwortsynchronisierung zu verwirklichen. Der Aufwand, um Passwörter zu erstellen oder zurückzusetzen ist oft sehr hoch. Um dies zu vermeiden, unterstützt der GSM die Nutzung eines zentralen Passwortspeichers mit LDAP oder RADIUS.

Der GSM nutzt den Service für die Authentifizierung auf einer Pro-Benutzer-Basis, das heißt, jeder Benutzer, der sich mithilfe des Service authentifizieren soll, muss für die Authentifizierung konfiguriert und auch auf dem GSM vorhanden sein.

Bemerkung

Voraussetzung für die Nutzung der zentralen Authentifizierung ist die Benennung der Benutzer mit denselben Namen wie die Objekte im LDAP-Baum oder dem RADIUS-Server.

9.5.1 LDAP

Für die Verbindung mit einem LDAP-Baum nutzt der GSM eine einfache Schnittstellen und eine simple Bind-Operation mit einem fest codierten Objektpfad. Die LDAP-Authentifizierung wird wie folgt durchgeführt:

  1. Als Administrator einloggen.

  2. Administration > LDAP in der Menüleiste wählen.

  3. Auf edit klicken.

  4. Checkbox Aktivieren aktivieren (siehe Abb. 9.17).

    _images/ldap_config-de.png

    Abb. 9.17 Konfigurieren einer LDAP-Authentifizierung

  1. LDAP-Host in das Eingabefeld LDAP-Host eingeben.

    Bemerkung

    Nur ein System kann per IP-Adresse oder Name eingegeben werden.

    Der GSM greift mithilfe von SSL/TLS auf den LDAP-Host zu. Um den Host zu verifizieren, muss das Zertifikat des Hosts in den GSM hochgeladen werden. Ohne SSL/TLS wird die LDAP-Authentifizierung nicht akzeptiert (siehe Kapitel 9.5.2).

  2. Distinguished name (DN) des Objekts in das Eingabefeld Auth. DN eingeben.

    Bemerkung

    Der Platzhalter %s ersetzt den Benutzernamen.

    Beispiele für Auth. DN sind:

    • cn=%s,ou=people,dc=domain,dc=de
      Dieses Format funktioniert für jeden LDAP-Server mit den korrekten Attributen. Das Attribut cn (common name) wird genutzt. Benutzer in anderen Teilbäumen oder anderen rekursiven Tiefen des LDAP-Baums werden nicht unterstützt. Alle Benutzer, die sich in den GSM einloggen, müssen sich im selben Zweig und auf dem gleichen Level des LDAP-Baums befinden.
    • uid=%s,ou=people,dc=domain,dc=de
      Dieses Format funktioniert für jeden LDAP-Server mit den korrekten Attributen. Das Attribut uid (user ID) wird als Filter genutzt. Es sollte an erster Stelle stehen. Die Attribute ou=people,dc=domain,dc=de werden als Basisobjekte für die Suche und für den Abruf des entsprechenden DN genutzt.
    • %s@domain.de
      Dieses Format wird typischerweise von Active Directory genutzt. Der exakte Speicherort eines Benutzerobjekts ist irrelevant.
    • domain.de\%s
      Dieses Format wird typischerweise von Active Directory genutzt. Der exakte Speicherort eines Benutzerobjekts ist irrelevant.
  3. Zum Verifizieren des Hosts auf Browse… klicken, um das Zertifikat des Hosts hochzuladen.

  4. Auf OK klicken.

    → Wenn die LDAP-Authentifizierung aktiviert ist, ist die Option Nur LDAP-Authentifizierung beim Erstellen oder Bearbeiten eines Benutzers verfügbar. Standardmäßig ist diese Option deaktiviert.

  5. Neuen Benutzer erstellen oder vorhandenen Benutzer bearbeiten (siehe Kapitel 9.1).

  1. Checkbox Nur LDAP-Authentifizierung aktivieren, falls der Benutzer die Möglichkeit haben soll, sich per LDAP zu authentifizieren (siehe Abb. 9.18).

    _images/user_ldap-de.png

    Abb. 9.18 Aktivieren der Authentifizierung mit LDAP

Bemerkung

Der Benutzer muss mit demselben Namen wie in LDAP vorhanden sein, bevor LDAP genutzt werden kann. Der GSM kann keine Benutzer in LDAP hinzufügen, bearbeiten oder entfernen und erteilt Benutzern von LDAP nicht automatisch Zugriff auf den GSM.

9.5.2 LDAP mit SSL/TLS

Der GSM nutzt entweder den Befehl StartTLS über LDAP auf Port 389 oder SSL/TLS über LDAPS auf Port 636. Der LDAP-Server muss seinen Service für SSL/TLS verfügbar machen.

Die folgenden Referenzen sind für die exakte Konfiguration aller verfügbaren LDAP-Servern hilfreich:

Zum Verifizieren der Identität des LDAP-Servers, muss der GSM dem Zertifikat des Servers trauen. Dafür muss das Zertifikat der herausgebenden Zertifizierungsstelle auf dem GSM gespeichert werden.

Dazu muss das Zertifikat der Zertifizierungsstelle als Base64-codierte Datei exportiert werden. Eine Base64-codierte Datei hat oft die Dateiendung .pem. Die Datei selbst beginnt mit ------BEGIN CERTIFICATE-------.

Falls die Zertifizierungsstelle eine zwischenliegende Zertifizierungsstelle ist, muss die komplette Zertifizierungskette importiert werden. Dies trifft oft zu, wenn eine offizielle Zertifizierungsstelle genutzt wird, da die ursprüngliche Zertifizierungsstelle von der ausgebenden Zertifizierungsstelle getrennt ist.

In diesen sieht der Inhalt der Datei wie folgt aus:

-----BEGIN CERTIFICATE-----
......
Issuing CA
......
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
......
Root CA
......
-----END CERTIFICATE-----

Der tatsächliche Speicherort, an der das Zertifikat gefunden werden kann, kann basierend auf der Umgebung variieren.

  • Univention Corporate Server (UCS)

    Hier wird das Zertifikat von der Datei /etc/univention/ssl/ucsCA/CAcert.pem abgerufen. Diese Datei enthält bereits das Zertifikat im korrekten Format und muss beim Aktivieren von LDAP hochgeladen werden.

  • Active-Directory-LDAP

    Falls der Service Active-Directory-LDAP noch nicht LDAPS nutzt, könnte der folgende Artikel hilfreich sein: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

    Das Zertifikat der Zertifizierungsstelle, die das Active-Directory-LDAP-Zertifikat ausstellt, kann dann wie folgt exportiert werden:

    Bemerkung

    Die Schritte müssen von einem Desktop-PC oder einem Server mit Zugang zur Zertifizierungsstellenkonsole ausgeführt werden.

    1. Zertifizierungsstellenkonsole von einem an eine Domäne angeschlossenen Computer oder Server aus öffnen.

    2. Auf den Namen der Zertifizierungsstelle rechtsklicken und Properties wählen.

    3. Im Zertifikat-Fenster den Tab General wählen.

    4. Zertifikat, auf das zugegriffen werden soll, für die Zertifizierungsstelle wählen.

    5. Auf View Certificate klicken.

    6. Im Fenster Certificate den Tab Certification Authority wählen.

    7. Namen der ursprünglichen Zertifizierungsstelle wählen und auf View Certificate klicken.

    8. Im Fenster Certificate den Tab Details wählen.

    9. Auf Copy to File klicken.

      → Der Wizard zum Exportieren des Zertifikats wird geöffnet.

    10. Auf Next klicken.

    11. Base-64 encoded X.509 (.CER) auf der Seite Export File Format wählen.

    12. Auf Next klicken.

    13. Pfad und Namen für das Zertifikat in das Eingabefeld File to Export eingeben.

    14. Auf Next klicken.

    15. Auf Finish klicken.

      → Die CER-Datei wird am angegebenen Speicherort erstellt. Das Fenster informiert den Benutzer darüber, dass der Export erfolgreich war.

    16. Auf OK klicken.

    Der Inhalt der Datei muss auf den GSM hochgeladen werden.

Bemerkung

Falls die LDAP-Authentifizierung nicht funktioniert, muss überprüft werden, ob der Eintrag im Eingabefeld LDAP-Host mit dem commonName des Zertifikats des LDAP-Servers übereinstimmt. Falls es Abweichungen gibt, verweigert der GSM die Nutzung des LDAP-Servers.

9.5.3 RADIUS

Die RADIUS-Authentifizierung wird wie folgt durchgeführt:

  1. Als Administrator einloggen.

  2. Administration > Radius in der Menüleiste wählen.

  3. Auf edit klicken.

  4. Checkbox Aktivieren aktivieren (siehe Abb. 9.19).

  5. Hostnamen oder IP-Adresse des RADIUS-Servers in das Eingabefeld RADIUS-Host eingeben.

  6. Gemeinsamen geheimen Schlüssel in das Eingabefeld Geheimer Schlüssel eingeben.

    _images/radius_config-de.png

    Abb. 9.19 Konfigurieren einer RADIUS-Authentifizierung

  7. Auf OK klicken.

    → Wenn die RADIUS-Authentifizierung aktiviert ist, ist die Option Nur RADIUS-Authentifizierung beim Erstellen oder Bearbeiten eines Benutzers verfügbar. Standardmäßig ist diese Option deaktiviert.

  8. Neuen Benutzer erstellen oder vorhandenen Benutzer bearbeiten (siehe Kapitel 9.1).

  9. Checkbox Nur RADIUS-Authentifizierung aktivieren, falls der Benutzer die Möglichkeit haben soll, sich per RADIUS zu authentifizieren (siehe Abb. 9.20).

    _images/user_radius-de.png

    Abb. 9.20 Aktivieren der Authentifizierung mit RADIUS