Next: Domain Name Service
Up: Aktueller Stand im URZ
Previous: Authentifizierung
  Contents
Da dieses Thema von Dienst zu Dienst differiert, kann hierbei keine
derart einfache Aussage getroffen werden, wie bei der
Authentifizierung. Diese bildet natürlich die wesentliche Grundlage,
um eine sichere Authorisierung durchführen zu können.
Zentral gespeichert und verwaltet werden die nutzerbezogenen
Informationen, also auch die Berechtigungen (hier vor allem
Gruppenzugehörigkeit zu typischen Nutzergruppen) in der MoUSE, einer
MySQL-Datenbank, die speziell für die Nutzerverwaltung des URZ der TU
Chemnitz entwickelt wurde. Weitere Informationen hierzu finden sich in
[MoU01].
Eine weitere wesentliche Komponente sind hierbei Access Control Lists
(ACLs) im AFS (Andrew File System), welches in der
OpenAFS-Implementierung eingesetzt wird und einen kerberisierten
Dienst darstellt, also vollkommen auf eine Authentifizierung durch
Kerberos aufsetzt. Dabei werden Rechte nutzer- oder gruppenweise für
einzelne Verzeichnisse oder ganze Verzeichnisbäume vergeben. Da das
AFS als zentrales Filesystem zum Einsatz kommt, regelt sich über diese
Verzeichnisrechte der Zugriff auf Daten aber auch Programmresourcen.
Auch der Zugang zu Rechnerkapazitäten wird im Wesentlichen auf Tokens
des AFS zurückgeführt. Abgestützt wird sich im Linux-Umfeld hierbei
auf ein PAM-Modul, bei Windows auf eine Gina-Bibliothek, welche
jeweils versuchen, ein AFS-Token zu erhalten. Das AFS wiederum
authentifiziert den Nutzer gegen das Kerberos-System. Bekommt der
Nutzer ein gültiges AFS-Token, also ein KRBTGT- und ein
AFS-Service-Ticket vom Kerberos, gilt er als authentifiziert und wird
authorisiert. Weitere Informationen zu OpenAFS finden sich auf der
Projekthomepage [Ope05a].
Im Linux-Umfeld wird weiterhin mittels der Verteilung von lokalen
Konfigurationsdateien Einfluss auf die Authorisierung genommen. Diese
Verteilung wird dabei durch dieselben Werkzeuge vorgenommen, die auch
zur Softwareverteilung (siehe 3.2.5) dienen.
Next: Domain Name Service
Up: Aktueller Stand im URZ
Previous: Authentifizierung
  Contents
Marko Damaschke
2006-03-25