15. Benutzer- und Rechteverwaltung

Dieses Kapitel betrachtet die Benutzer-, Gruppen-, Rollen- und Rechteverwaltung im Detail.

15.1. Benutzerverwaltung

Der Greenbone Security Manager erlaubt die Erzeugung und Verwaltung der Benutzer mit unterschiedlichen Rollen und Berechtigungen. Bei der Inbetriebnahme des GSM wird der erst Benutzer, der Web/Scan-Administrator, über das GOS-Admin-Menü angelegt. Dieser Benutzer kann sich dann anmelden und weitere Benutzer verwalten.

Dabei unterstützt die GSM Benutzerverwaltung ein rollenbasiertes Rechtekonzept bei dem Zugriff auf die Weboberfläche. Mehrere Rollen sind bereits von Werk angelegt. Weitere Rollen können jedoch von einem Administrator erzeugt und verwendet werden. Die Rolle definiert, welche Funktionen der Weboberfläche von dem Benutzer eingesehen und modifiziert werden dürfen. Dabei sind die Rollen nicht in der Weboberfläche, sondern in dem darunterliegenden OMP-Protokoll realisiert und wirken sich daher auf alle OMP-Clients aus. Lesender und modifizierender Zugriff kann getrennt den Rollen zugewiesen werden.

Neben den Rollen unterstützt die GSM Benutzerverwaltung auch Gruppen. Gruppen erlauben die Zusammenfassung von Benutzern. Dies dient in erster Linie der logischen Gruppierung. Neben einer Verwaltung der Rechte über die Rollen können auch Gruppen entsprechende Privilegien zugewiesen werden.

Zusätzlich kann über die Benutzerverwaltung jedem Benutzer ein Bereich von IP-Adressen zugewiesen werden, dessen Scan erlaubt oder verboten ist. Die GSM Appliance weigert sich dann andere als die angegebenen IP-Adressen durch den entsprechenden Benutzer zu scannen. Auch der Zugriff auf bestimmte Schnittstellen der GSM-Appliance kann erlaubt bzw. verboten werden.

Der Greenbone Security Manager bietet eine eigene Benutzerverwaltung für die Administration der Rollen und Berechtigungen der Benutzer. Damit die Kennworte jedoch nicht mehrfach gespeichert werden und um eine Kennwortsynchronsiation zu unterstützen erlaubt der Greenbone Security Manager seine Anbindung an einen zentralen LDAP oder RADIUS Server. Dieser server wird nur für die Prüfung des Kennworts während des Anmeldeprozesses kontaktiert. Alle weiteren Einstellungen werden in der Benutzerverwaltung des GSM vorgenommen.

Diese Funktionen werden auf den nächsten Seiten genauer betrachtet.

15.1.1. Anlegen und Verwaltung der Benutzer

Den Dialog für das Anlegen und Verwalten der Benutzer erreichen Sie über das Menü Administration. Dieses Menü wird nur für Administratoren eingeblendet, da zunächst nur diese weitere Benutzer anlegen und verwalten dürfen. Hier können Sie den Dialog für die Anlage neuer Benutzer durch den weißen Stern auf blauen Grund new aufrufen oder durch Anwählen des Schraubenschlüssels einen vorhandenen Benutzer modifizieren.

_images/newuser1.png

Anlegen eines neuen Benutzers

Bei der Anlage eines neuen Benutzers sind die folgenden Angaben möglich:

  • Login Name: Dies ist der Anmeldename des Benutzers. Bei Nutzung eines LDAP Server muss der Benutzer mit einem Namen erzeugt werden, der mit dem Namen (rDN) im LDAP Server übereinstimmt. Dies trifft auch bei Nutzung eines RADIUS Servers zu. Der Name darf maximal 80 Zeichen lang sein und Buchstaben und Ziffern nutzen.

  • Password: Dies ist das Kennwort des Benutzers. Das Kennwort darf maximal 40 Zeichen aufweisen und aus beliebigen Buchstaben bestehen. Achten Sie darauf, dass, wenn Sie Sonderzeichen verwenden, diese auf allen Tastaturen und Betriebssystemen, die Sie einsetzen, auch erreichbar sind.

  • Roles (optional): Jeder Benutzer darf mehrere Rollen besitzen. Die Rollen definieren die Rechte des Benutzers bei der Verwendung des OMP Protokolls. Da der Greenbone Security Assistant das OMP-Protokoll nutzt, definieren die Rollen auch direkt die Möglichkeiten in der Weboberfläche. Während Sie weitere Rollen hinzufügen und konfigurieren können, stehen zu Beginn die Rollen Administrator, User, Info, Observer, und ein paar weitere zur Verfügung. Diese Rollen werden in dem Abschnitt Benutzerrollen genauer betrachtet.

  • Groups (optional): Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Auch über die Gruppen kann eine Rechteverwaltung erfolgen (siehe Abschnitt Permissions)

  • Host Access: Hier können Sie definieren, welche Rechner ein bestimmter Benutzer in einem Scan analysieren darf und welche Rechner nicht in einem Scan berücksichtigt werden. Diese Einschränkungen können auch für Administratoren eingerichtet werden. Diese können jedoch auch selbst die Einschränkungen wieder aufheben. Daher ist diese Funktion bei Administratoren lediglich zum Selbstschutz. Normale Benutzer (User) bzw. andere Rollen ohne Zugriff auf die Benutzerverwaltung können diese Einschränkungen jedoch nicht umgehen. Hierbei können Sie grundsätzlich zwischen einer Whitelist (Deny all and allow) und einer Blacklist (Allow all and deny) wählen. Im ersten Fall ist der Scan sämtlicher Rechner grundsätzlich verboten und nur explizit aufgeführte Systeme dürfen gescannt werden. Im zweiten Fall ist der Scan sämtlicher Systeme mit Ausnahme der aufgeführten Systeme erlaubt. Es können sowohl Rechnernamen als auch IPv4- und IPv6-Adressen angegeben werden. Ferner können sowohl einzelne IP-Adressen als auch Adressbereiche und Netzwerksegmente spezifiziert werden. Die folgende Auflistung gibt hierfür einige Beispiele:

    • 192.168.15.5 (IPv4-Adresse)

    • 192.168.15.5-192.168.15.27 (IPv4-Bereich Langform)

    • 192.168.15.5-27 (IPv4-Bereich Kurzform)

    • 192.168.15.128/25 (CIDR-Notation)

    • 2001:db8::1 (IPv6-Adresse)

    • 2001:db8::1-2001:db8::15 (IPv6-Bereich Langform)

    • 2001:db8::1-15 (IPv6 Bereich Kurzform)

    • 2001:db8::/120 (CIDR-Notation)

    Sämtliche Optionen können beliebig gemischt und als kommaseparierte Liste angegeben werden. Die Netzmaske in der CIDR-Notation ist jedoch auf maximal 20 bei IPv4 und 116 bei IPv6 beschränkt. In beiden Fällen resultieren hieraus maximal 4096 IP-Adressen.

    _images/addeduser1.png

    Anzeigen des Benutzers.

  • Interface Access: Hier können Sie definieren, über welche Netzwerkkarten ein Anwender einen Scan ausführen darf. Hier können Sie eine kommaseparierte Liste von Netzwerkkarten angeben und ähnlich wie bei dem Host Access zwischen einem Whitelist und einem Blacklist-Verfahren wählen.

Tipp

Grundsätzlich sollten Sie sich bemühen, das Whitelist-Verfahren zu benutzen und den Scan grundsätzlich bis auf ausgewählte Systeme zu verbieten. Damit ist sichergestellt, dass Ihre Anwender nicht durch Zufall oder aus Unwissenheit Systeme prüfen, die außerhalb ihrer Zuständigkeit liegen, sich irgendwo im Internet befinden oder auf einen Scan mit Fehlfunktionen reagieren.

Nach der Anlage des Benutzers werden dessen Eigenschaften angezeigt. Sie sollten diese Anzeige kontrollieren um sicherzustellen, dass Sie dem Benutzer nicht zu viele Privilegien zugewiesen haben.

15.1.2. Gleichzeitige Anmeldung

Natürlich ist es möglich, dass zwei unterschiedliche Benutzer gleichzeitig an einem GSM angemeldet sind. Möchte sich der gleiche Benutzer mehrfach anmelden, so muss diese Anmeldung von einem anderen PC oder zumindest mit einem anderen Browser erfolgen. Eine weitere Anmeldung durch denselben Browser invalidiert die erste Anmeldung.

15.1.3. Benutzerrollen

Ab dem Greenbone OS 3.1 können Sie mit dem Greenbone Security Assistant die Benutzerrollen selbst neu anlegen und anpassen. Wie in allen anderen Fällen ist die Modifikation der eingebauten und ausgelieferten Rollen nicht möglich. Diese können jedoch kopiert (geklont) werden. Dieser Klon kann dann modifiziert werden. Dies stellt ein konsistentes Verhalten bei Updates der Software sicher.

Sie erreichen die Rollenverwaltung über die Weboberfläche im Menü Administration im Unterpunkt Roles. Die folgenden Rollen sind bereits im Auslieferungszustand verfügbar:

  • Admin: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien. Sie darf insbesondere weitere Benutzer anlegen und verwalten.

  • Guest: Diese Rolle entspricht der Info-Rolle. Sie darf lediglich ihre Einstellungen nicht modifizieren.

  • Info: Diese Rolle (Information Browser) besitzt nur lesenden Zugriff auf die NVTs und die SCAP-Informationen. Alle weiteren Informationen sind nicht verfügbar.

  • Monitor: Diese Rolle hat Zugriff auf die Performance-Daten des GSM (siehe Abschnitt Überwachung und Fehlersuche).

  • Observer: Diese Rolle besitzt nur lesenden Zugriff auf das System. Sie darf keine eigenen Scans erzeugen oder starten. Sie besitzt auch nur lesenden Zugriff für die Scans für die die entsprechenden Benutzer als Observer eingerichtet worden sind.

  • Super Admin: Diese Rolle hat Zugriff auf alle Objekte von allen Benutzern. Sie hat keine Beziehung zum SuperUser auf der Kommandozeile. Diese Rolle kann nicht über die Weboberfläche konfiguriert werden. Die Konfiguration ist nur im GOS-Admin-Menü möglich (siehe auch Abschnitt Super Admin).

  • User: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien mit der Ausnahme der Benutzer-, Rollen- und Gruppenverwaltung. Außerdem darf diese Rolle nicht die Feeds verwalten und synchronisieren. In der Weboberfläche besteht kein Zugriff auf den Menüpunkt Administration. Alle weiteren Funktionen stehen dieser Rolle aber zur Verfügung

Weitere Rollen können einfach angelegt werden. Am einfachsten kopieren Sie eine der vorhandenen Rollen, die Ihren Anforderungen am nächsten kommt und passen diese dann an. In seltenen Fällen möchten Sie vielleicht eine Rolle erzeugen, die nur wenige Funktionen unterstützt. Dann ist es sinnvoller mit einer leeren Rolle zu beginnen.

Ein Benutzer kann auch mehrere Rollen besitzen. Daher können die Privilegien mit Hilfe der Rollen auch gruppiert werden. Werden dann mehrere Rollen einem Benutzer zugewiesen, so addieren sich die Privilegien.

Daher kann zum Beispiel eine Rolle Maintenance erzeugt werden. Diese Rolle erhält dann die folgenden Privilegien:

  • authenticate
  • get_settings
  • write_settings
  • help
  • describe_cert
  • describe_feed
  • describe_scap
  • sync_cert
  • sync_feed
  • sync_scap
_images/taskadminrole.png

Die Rolle TaskAdmin gibt nur eingeschränkten Zugriff

Weitere Rollen können dann den Namen TargetAdmin, ScanConfigAdmin, TaskAdmin und Scanner erhalten und mit entsprechenden Rechten ausgestattet werden. Wichtig ist die Tatsache, dass die Rollen alle mindestens die Privilegien authenticate und get_settings erhalten. Diese werden für die Anmeldung an der grafischen Weboberfläche zwingend benötigt. Sinnvoll ist dann auch noch das Privileg write_settings. Dann kann der Benutzer sein eigenes Kennwort, die Zeitzone und weitere persönliche Einstellungen ändern.

Den Benutzern können dann unterschiedliche Permutationen dieser Rollen zugewiesen werden. So können bestimmte Benutzer anschließend die Zielsysteme, die Scankonfiguration oder den tatsächlichen Scan konfigurieren oder starten. In der Auswahl der Privilegien werden Ihnen nur die noch nicht zugewiesenen Privilegien angezeigt. Dies erleichtert das Hinzufügen und den Überblick über die noch verfügbaren Privilegien.

Meldet sich anschließend ein Benutzer mit der Rolle TaskAdmin an, so ist die Menüauswahl entsprechend eingeschränkt.

_images/taskadminlogin.png

Die Menüauswahl der Rolle TaskAdmin ist eingeschränkt.

15.1.4. Gastanmeldung

Der GSM kann für die Gastanmeldung konfiguriert werden. Als Gast verfügt der Benutzer nur die Möglichkeit auf das SecInfo-Management (siehe Abschnitt SecInfo Management) zuzugreifen. Damit kann ohne Kennwort ein einfacher Zugriff auf die aktuellen Informationen geboten werden.

_images/dashboard.png

Die Rolle Gast hat Zugriff auf das SecInfo Dashboard.

Um diesen Gastzugriff zu erlauben, können Sie einen Benutzer erzeugen und diesem die Rolle Guest zuweisen.

_images/create-guest.png

Erzeugen Sie einen Gast-Benutzer.

Dieser Benutzer kann sich nun bei Kenntnis des Kennworts anmelden und erhält das Dashboard.

Um die Gastanmeldung ohne Kennwort zu erlauben, muss diese Funktion zunächst auf der Kommandozeile aktiviert werden. Hierzu starten Sie das GOS-Admin-Menü und wählen die Option User. Anschließend aktivieren Sie die Option Guest login. Mögliche Werte sind disabled und enabled. Dann geben Sie den Namen des Gastbenutzers und dessen Kennwort ein. Dies erfolgt in dem selben Menü unter der Option Guest User. Diese Menüoption erscheint erst nach der Aktivierung des Gastzugriffs.

Aktivieren Sie die Änderungen durch den Aufruf von Commit im Menü. Alternativ können Sie den Zugriff auch über die Einstellung guest_login aktivieren:

gsm: get guest_login
s guest_login disabled
gsm: set guest_login enabled
gsm: set guest_user guest
gsm: set guest_password guest
gsm *: commit
gsm: get guest_login
s guest_login enabled

Anschließend sollte ein Reboot erfolgen. Nun ist auf der Anmelde-Maske unten rechts das Login als Gast verfügbar (siehe Abbildung Login als Gast-Benutzer ohne Kennwort.).

_images/guestlogin.png

Login als Gast-Benutzer ohne Kennwort.

15.1.5. Super Admin

Der Super Admin ist die höchste Zugriffsstufe. Sie wurde mit dem neuen Berechtigungskonzept eingeführt. Die normale Rolle Admin ist vom Rechtemodell zunächst einem einfachen Benutzer gleichzusetzen. Dabei ist der Admin jedoch in der Lage, neue Benutzer zu erzeugen, zu modifizieren und zu löschen. Des Weiteren kann der Admin sämtliche Rechte(Permissions) auf dem System einsehen, modifizieren und löschen. Dennoch ist er auch diesen Rechten unterworfen. Wenn ein Benutzer eine private Scan-Konfiguration anlegt und diese nicht freigibt, kann der Admin die Scan-Konfiguration nicht sehen. Natürlich könnte der Admin sich selbst ein entsprechendes Recht für die von dem Benutzer erzeugte Ressource geben.

Der Super Admin ist hiervon ausgenommen. Der Super Admin darf sämtliche Konfigurationseinstellungen aller Benutzer sehen und kann diese auch editieren.

Der Super Admin kann nicht in der Weboberfläche erzeugt werden. Um den Super Admin zu erzeugen ist ein Zugriff auf der Kommandozeile erforderlich. Hier können Sie im GOS-Admin-Menü im Punkt User im Unterpunkt Add Super Admin diesen Benutzer mit Kennwort anlegen.

Anschließend kann der Benutzer in der Weboberfläche editiert werden.

_images/superadmin.png

Der Super Admin kann nicht in der Weboberfläche erzeugt werden!

Der Super Admin kann nicht durch den normalen Administrator verändert werden. Nur der Super Admin selbst kann die Einstellungen des Benutzers ändern!

15.1.5.1. Super Permissions

Sie können auch eine Rolle mit Super-Permissions ausstatten. Dann darf diese Rolle auf alle Objekte einer Gruppe zugreifen.

Jede auf dem GSM angelegte Ressource (Scan Konfiguration, Target, etc.) ist entweder global oder gehört einem bestimmten Benutzer. Globale Ressourcen sind an dem Icon view_other zu erkennen. Jede nicht globale Ressource darf zunächst nur von ihrem Besitzer gesehen und verwendet werden. Hier sind individuelle Berechtigungen erforderlich, um die Ressource anderen Anwendern zur Verfügung zu stellen. Dies ist recht aufwändig. Daher bietet das Greenbone OS 3.1 nun die Möglichkeit Super Permissions zu verteilen. Ein Benutzer kann diese Super Permission erhalten für:

  • Benutzer

  • Rolle

  • Gruppe

  • Jeder

Diese Super Permissions erlauben dann den kompletten Zugriff auf sämtliche Ressourcen des entsprechenden Benutzers, der Rolle, der Gruppe oder tatsächlich auf alle Ressourcen. Dabei kann der Jeder-Zugriff nicht explizit gesetzt werden. Dies ist ein Privileg des Super Admins (siehe Abschnitt Super Admin) . Diese letzte Super Permission kann daher nur durch das Erzeugen eines Super Admins gesetzt werden.

Dabei kann ein Benutzer nur Super Berechtigungen für die Objekte setzen, die er selbst erzeugt hat. Hierzu muss er zunächst die RessourceID des Benutzers, der Rolle oder der Gruppe ermitteln für die er die Super Berechtigung setzen möchte.

Anschließend kann er dann die Werte im Dialog eintragen.

_images/superperm.png

Für die Super-Berechtigung benötigen Sie die Resource-ID

In der Erfolgsmeldung wird dann statt der Ressource ID der Klartextname angezeigt.

_images/superpermdone.png

Der Benutzer Ralf hat Super Zugriff auf die Ressourcen des Benutzers Theo.

Die Super Berechtigungen vereinfachen die Rechteverwaltung auf dem GSM. So können leicht auch die Super Berechtigungen für ganze Gruppen vergeben werden. Damit können alle Benutzer einer Gruppe auf alle Ressourcen, die von weiteren Mitgliedern der Gruppe angelegt wurden, zugreifen.

15.1.5.2. GetUsers-Rolle für Observer

Die GSM erlaubt die Verwaltung von Observern (siehe Abschnitt Berechtigungen). Dies sind Benutzer, die Leserechte an bestimmten Tasks und deren Reports erhalten. Diese Observer können per Default nur von Administratoren an den Tasks und Reports berechtigt werden. Normale Benutzer können keine Observer an ihren eigenen Tasks berechtigen. Sie können ihre Tasks somit nicht für andere Benutzer freigeben. Bei ihnen ist der entsprechende Dialog zur Verwaltung der Berechtigungen einen Tasks nicht funktionsfähig.

_images/userobserver.png

Normale Benutzer können keine Observer einrichten.

Damit normale Benutzer ebenfalls ihre Tasks mit Leserechten für andere Benutzer ausstatten dürfen, benötigen Sie das Privileg get_users für den Zugriff auf die Benutzerdatenbank. Dieses Recht verwalten Sie am einfachsten über eine eigene Rolle. Erzeugen Sie hierzu eine Rolle GrantReadPriv (siehe Abbildung Die Rolle GrantReadPriv erlaubt die Verwaltung der Leserechte.). Dieser weisen Sie in einem zweiten Schritt dann das Privileg zu. Damit erhält jeder Benutzer mit dieser zusätzlichen Rolle das Recht, Leserechte an den eigenen Tasks zu vergeben.

_images/grantreadpriv2.png

Die Rolle GrantReadPriv erlaubt die Verwaltung der Leserechte.

Dann müssen Sie nur noch den entsprechenden Benutzern diese Rolle zusätzlich zuweisen.

Bemerkung

Falls der Benutzer ebenfalls Leserechte an Gruppen oder Rollen vergeben darf, müssen entsprechend die Berechtigungen get_groups und get_roles zugewiesen werden.

15.1.6. Gruppen

Neben den Rollen gibt es auch eine Gruppenverwaltung im Greenbone Security Assistant. Diese Gruppen dienen der logischen Gruppierung der Benutzer. Zusätzlich können über diese Gruppen aber auch Berechtigungen zugewiesen werden (siehe Abschnitt Permissions). Im Auslieferungszustand sind keine Gruppen eingerichtet. Sie können beliebig viele Gruppen erzeugen.

Hierbei müssen Sie die folgenden Informationen angeben:

  • Name: Der Name der Gruppe darf maximal 80 Zeichen lang sein und aus Buchstaben und Ziffern bestehen.

  • Comment: Ein optionaler Kommentar beschreibt die Gruppe genauer.

  • Users: Hier können Sie direkt die Mitglieder der Gruppe angeben. Dabei dürfen Sie die Mitglieder durch Leerzeichen oder Kommas trennen. Die Länge der Angabe darf maximal 1000 Zeichen betragen. Alternativ können Sie die Gruppenmitgliedschaften direkt bei den Benutzern verwalten.

_images/group.png

Gruppen können für die Verwaltung von Rechten genutzt werden.

15.1.7. Permissions

Unter dem Menüpunkt Configuration/Permissions können Sie sämtliche auf dem System vergebenen Berechtigungen einsehen. Bei mehreren angelegten Rollen können das leicht mehrere Hundert Berechtigungen sein. Jede einzelne hier angezeigte Berechtigung bezieht sich immer auf genau ein Subject.

Ein Subject ist entweder

  • ein Benutzer,

  • eine Rolle

  • oder eine Gruppe.

Üblicherweise werden die Berechtigungen durch die Weboberfläche über die Rollen (siehe Abschnitt Benutzerrollen) verwaltet. Dabei können Sie die Berechtigungen der Rollen sowohl in der Rollenverwaltung als auch hier verwalten. Alternativ können Sie aber auch Berechtigungen direkt Benutzern oder Gruppen zuweisen.

Diese Möglichkeit bietet Ihnen die maximal mögliche Flexibilität in der Verwaltung der Berechtigungen. Jedoch empfiehlt sich das Hinzufügen und Verwalten der Berechtigungen über diesen Dialog nur für erfahrene Benutzer, die zum Beispiel eine bestimmte Berechtigung suchen und für einen bestimmten Benutzer entfernen möchten.

Bemerkung

Auch bei den eingebauten Rollen ist eine Modifikation der Berechtigungen über diesen Dialog möglich. Dies führt bei Updates möglicherweise zu unerwünschten Effekten, wenn die Berechtigungen wieder zurückgesetzt werden.

15.1.7.1. Freigabe einzelner Objekte für andere Benutzer

Jeder Benutzer kann beliebige Objekte, die er selbst erzeugt hat, freigeben. Dazu muss er jedoch über das Privileg get_users verfügen. Ansonsten hat er nicht das Recht die Namen der anderen Benutzer zu ermitteln (siehe Abschnitt GetUsers-Rolle für Observer).

Um ein Objekt freizugeben, ermitteln Sie zunächst die Objekt-ID. Eine Freigabe über den Namen ist nicht möglich. Hierzu zeigen Sie das Objekt, welches Sie freigeben möchten (z.B. einen Filter) im Browser an. Oben Rechts in der Anzeige können Sie die ID sehen und kopieren.

_images/objectid.png

Kopieren der ID des freizugebenden Objektes.

Anschließend wechseln Sie in das Menü Configuration/Permissions. Erzeugen Sie hier eine neue Berechtigung new . Wählen Sie dann die richtige Berechtigung für das von Ihnen freizugebende Objekt aus:

  • Filter: get_filters
  • Scan-Konfiguration: get_configs

  • Alert: get_alerts
  • Notizen: get_notes

  • Overrides: get_overrides
  • Tags: get_tags
  • Targets: get_targets
  • Task mit Reports: get_tasks

  • Schedules: get_schedules

Wählen Sie das passende Subjekt (User, Role oder Group) aus und fügen Sie die kopierte Ressource ID in das entsprechende Feld.

_images/ralf-filter.png

Kopieren der ID des freizugebenden Objektes.

15.1.8. Zentrale Benutzerverwaltung

Speziel in großen Umgebungen mit vielen Anwenders ist die Synchronisation der Kennworte häufig eine Herausforderung. Der Aufwand für das Zurücksetzen oder Neusetzen der Kennworte ist häufig hoch. Um dies zu vermeiden, bietet die GSM Appliance die Nutzung eines zentralen Kennwortspeichers in Form eines LDAP oder RADIUS Servers. Der GSM wird diesen Dienst nur für die Authentifizierung des Benutzers nutzen. Dies bedeutet, dass die Anwender, die durch diesen Dienst authentifiziert werden, auf dem GSM angelegt werden und für die Authentifizierung durch diesen Dienst konfiguriert werden müssen.

Eine Voraussetzung für die Nutzung der zentralen Authentifizierung ist die richtige Benennung der Benutzer mit einem identischen Namen wie in dem LDAP oder RADIUS Server.

15.1.8.1. LDAP

Im Folgenden wird die Verbindung zu einem LDAP Baum betrachtet. Der GSM nutzt hier eine sehr einfache Herangehensweise. Während viele andere Systeme zunächst den LDAP-Baum durchsuchen und anschließend mit dem gefunden Objekt eine Anmeldung durchführen (Search&Bind), nutzt die GSM appliance direkt einen eine einfache Anmeldung (Bind) mit einem hartkodierten Objektpfad.

_images/ldapauth.png

Die zentrale LDAP-Authentifizierung verlangt die Angabe des DNs

Dazu können Sie den distinguishedName der Objekte eindeutig definieren. Der Platzhalter %s ersetzt dabei den Benutzernamen. Beispiele für den Auth. DN sind:

  • uid=%s,ou=people,dc=domain,dc=de
  • %s@domain.de
  • domain.de\%s

Während das erste Beispiel für beliebige LDAP Server bei Nutzung der passenden Attribute funktionieren sollte, verwenden das zweite und dritte Beispiel Formate, die nur von dem Active Directory unterstützt werden. In den letzteren Fällen ist die exakte Position des Benutzerobjektes im Baum irrelevant.

Das erste Beispiel unterstützt nicht Benutzer in unterschiedlichen Ästen oder Tiefen eines LDAP-Baums. Alle Anwender, die sich an dem GSM anmelden möchten, müssen sich in demselben Ast und derselben Ebene des Baums befinden.

Die einzige weitere erforderliche Information ist der LDAP Host. Lediglich ein Rechner kann hier mit seiner IP-Adresse oder DNS-Namen eingetragen werden.

Nachdem die LDAP-Authentifizierung aktiviert wurde, finden Sie eine neue Option “Nur LDAP-Authentifizierung erlauben” bei dem Anlegen neuer Benutzer. Diese ist per Default eingeschaltet und sollte aktiviert sein, wenn ein Benutzer sich via LDAP authentifizieren soll. Die vorhandenen Benutzer können im Nachgang entsprechend angepasst werden.

Bitte beachten Sie, dass der Benutzer mit diesem Namen existieren muss, bevor Sie den Benutzer im GSM nutzen. Der GSM wird den Benutzer im Verzeichnisdienst weder hinzufügen, verändern noch löschen. Der GSM wird auch nicht jedem Benutzer im Verzeichnisdienst automatisch Zugriff auf den GSM erlauben. Sie müssen jeden Benutzer einzeln durch seine Anlage im GSM autorisieren. Dabei muss die Option Allow LDAP-Authentication only ausgewählt werden, wie oben erläutert.

Bitte beachten Sie auch, dass ein lokal angelegter Benutzer (ohne LDAP Authentifizierung) “Smith” auf dem GSM Vorrang vor einem Benutzer “Smith” in dem Verzeichnisdienst hat.

Funktionstüchtig ist die LDAP-Authentifizierung jedoch erst nach einem Reboot. Dieser Reboot ist einmalig zwingend nach der Aktivierung der LDAP-Authentifizierung erforderlich.

Bemerkung

Die Kommunikation muss durch SSL/TLS geschützt werden. Unterstützt der LDAP-Server dies nicht, so verweigert die GSM-Appliance die Zusammenarbeit. Details hierzu werden im folgenden Abschnitt gegeben.

15.1.8.2. LDAP mit SSL/TLS

Die GSM Appliance nutzt entweder das Kommando StartTLS via LDAP auf dem Port 389 oder SSL via LDAPS auf dem Port 363. Der LDAP Server muss dazu diese Dienste via SSL/TLS verfügbar machen. Die exakte Konfiguration des LDAP-Server ist nicht Bestandteil dieses Handbuchs. Im Folgenden finden Sie daher einige Verweise:

Damit die GSM Appliance die Identität des LDAP-Servers überprüfen kann, muss sie seinem Zertifikat vertrauen. Hierzu muss das Zertifikat der ausstellenden Zertifikatsautorität auf dem GSM gespeichert werden. Hierzu exportieren Sie das Zertifikat der Zertifikatsautorität als BASE64-kodierte Datei. Dateien mit der Endung .pem weisen meist dieses Format auf. Die Datei selbst beginnt mit ------BEGIN CERTIFICATE-------.

Der tatsächliche Speicherort des Zertifikats hängt stark von dem eingesetzten Produkt ab.

  • Univention Corporate Server (UCS)

    Hier können Sie das CA Zertifikat aus der Datei /etc/univention/ssl/ucsCA/CAcert.pem extrahieren. Diese Datei enthält das Zertifikat bereits in dem richtigen Format. Es kann direkt an das Kommando ldapcertdownload übergeben werden.

  • Active Directory LDAP

    Falls Ihr Active Directory LDAP Dienst noch nicht LDAPS unterstützt, finden Sie in dem folgenden Artikel weitere Hinweise: http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx. Die Active Directory LDAP CA Zertifikate können dann mit den folgenden Schritten aus der Zertifikatsautoritäts-Konsole exportiert werden.

    • Öffnen Sie die Zertifikatsautoritätskonsole auf einem Rechner der Domäne.

    • Wählen Sie mit einem Rechtsklick auf die Zertifikatsautorität deren Eigenschaften aus.

    • In dem CA Zertifikate Dialog wählen Sie die Registerkarte Allgemein. Anschließend wählen Sie das Zertifikat der Autorität, auf die sie zugreifen möchten.

    • Wählen Sie “View Certificate”.

    • Wählen Sie nun die Registerkarte Zertifikatsautorität. Wählen Sie den Namen der Wurzelautorität aus und wählen Sie “View Certificate”.

    • In dem Zertifikate Dialog wählen Sie nun die Registerkarte Details und Kopieren diese in ein Datei.

    • Der Zertifikatsexportwizard erscheint. Wählen Sie Weiter.

    • Auf der Export Dateiformat Seite wählen Sie das Base-64 enkodierte X.509 (.CER) Format aus.

    • Wählen Sie Weiter.

    • Geben Sie den Pfad und Dateinamen des zu exportierenden Zertifikats an und wählen Sie Weiter.

    • Wählen Sie nun Abschliessen. Die .cer Datei wird an der angegeben Position erzeugt.

    • Der folgende Dialog weist Sie auf den erfolgreichen Export hin. Wählen Sie OK um abzuschließen.

    Der Inhalt der Datei kann nun direkt als Eingabe des Kommandos ldapcertdownload genutzt werden.

Diese Datei müssen Sie nun auf Ihren GSM übertragen. Hierzu verbinden Sie sich am besten via SSH (z.B. Putty) mit der Appliance. Öffnen Sie das Zertifikat in einem Editor und kopieren Sie es in die Zwischenablage. Rufen Sie auf der GSM-Kommandozeile den Befehl ldapcertdownload auf und fügen Sie das Zertifikat ein. Schließen Sie den Kopiervorgang mit einem Enter und anschließend Strg-D ab.

Falls die LDAP-Authentifizierung nicht funktioniert, so prüfen Sie bitte, ob die Angabe bei dem LDAP Host mit dem commonName des Zertifikats Ihres LDAP-Servers übereinstimmt. Kommt es hier zu Abweichungen, so verweigert die GSM-Appliance die Nutzung des LDAP-Servers.

15.1.8.3. RADIUS

Die Nutzung eines RADIUS Server für die zentrale Authentifizierung ist sehr einfach. Wechseln Sie in das Menü Administration/Users. Scrollen Sie hinab zur RADIUS Authentication.

_images/radiusauth.png

RADIUS benötigt lediglich einen gemeinsamen Preshared Secret Key (PSK).

Aktivieren Sie die RADIUS Authentifizierung und geben Sie den Rechnernamen oder die IP-Adresse des RADIUS Servers und den PSK für die Authentifizierung und anschließende Verschlüsselung der Kommunikation mit dem RADIUS Dienst an.

Sobald der RADIUS Dienst aktiviert wurde, können Sie jeden Benutzer so einstellen, dass seine Authentifzierung über den RADIUS Dienst erfolgt.

_images/radiususer.png

Aktivierung von RADIUS für einen Benutzer