next up previous contents
Next: Domain Name Service Up: Aktueller Stand im URZ Previous: Authentifizierung   Contents

Authorization

Da dieses Thema von Dienst zu Dienst differiert, kann hierbei keine derart einfache Aussage getroffen werden, wie bei der Authentifizierung. Diese bildet natürlich die wesentliche Grundlage, um eine sichere Authorisierung durchführen zu können.
Zentral gespeichert und verwaltet werden die nutzerbezogenen Informationen, also auch die Berechtigungen (hier vor allem Gruppenzugehörigkeit zu typischen Nutzergruppen) in der MoUSE, einer MySQL-Datenbank, die speziell für die Nutzerverwaltung des URZ der TU Chemnitz entwickelt wurde. Weitere Informationen hierzu finden sich in [MoU01].
Eine weitere wesentliche Komponente sind hierbei Access Control Lists (ACLs) im AFS (Andrew File System), welches in der OpenAFS-Implementierung eingesetzt wird und einen kerberisierten Dienst darstellt, also vollkommen auf eine Authentifizierung durch Kerberos aufsetzt. Dabei werden Rechte nutzer- oder gruppenweise für einzelne Verzeichnisse oder ganze Verzeichnisbäume vergeben. Da das AFS als zentrales Filesystem zum Einsatz kommt, regelt sich über diese Verzeichnisrechte der Zugriff auf Daten aber auch Programmresourcen.
Auch der Zugang zu Rechnerkapazitäten wird im Wesentlichen auf Tokens des AFS zurückgeführt. Abgestützt wird sich im Linux-Umfeld hierbei auf ein PAM-Modul, bei Windows auf eine Gina-Bibliothek, welche jeweils versuchen, ein AFS-Token zu erhalten. Das AFS wiederum authentifiziert den Nutzer gegen das Kerberos-System. Bekommt der Nutzer ein gültiges AFS-Token, also ein KRBTGT- und ein AFS-Service-Ticket vom Kerberos, gilt er als authentifiziert und wird authorisiert. Weitere Informationen zu OpenAFS finden sich auf der Projekthomepage [Ope05a].
Im Linux-Umfeld wird weiterhin mittels der Verteilung von lokalen Konfigurationsdateien Einfluss auf die Authorisierung genommen. Diese Verteilung wird dabei durch dieselben Werkzeuge vorgenommen, die auch zur Softwareverteilung (siehe 3.2.5) dienen.


next up previous contents
Next: Domain Name Service Up: Aktueller Stand im URZ Previous: Authentifizierung   Contents
Marko Damaschke 2006-03-25