next up previous contents
Next: Das Kerberos-Protokoll Up: Grundlagenbetrachtungen Previous: LDAP   Contents

Authentifizierung

Moderne Mehrbenutzerbetriebssysteme oder vernetzte Dienste sollen in ihrer Nutzbarkeit administrativ auf einen sinnvollen Personenkreis von Nutzern eingegrenzt werden. Dazu muss im ersten Schritt sichergestellt werden, dass die Person, die den Dienst oder das System nutzen will, auch derjenigen entspricht, die sie vorgibt zu sein. Diesen Schritt nennt man die Authentifizierung. Im Anschluss kann dann anhand der Information, welche Person tatsächlich einen Dienst nutzen will, entschieden werden, ob sie dies darf. Dieser Schritt heißt wiederum Authorisierung.
Es gibt verschiedenste Konzepte, die zur Authentifizierung genutzt werden können. Die meisten bauen auf der Überprüfung des Wissens um ein gemeinsames Geheimnis auf. So ist das verbreiteste Verfahren die Eingabe eines Nutzernamens und eines Passworts. In anderen Situationen kommen SmartCards, Secure-ID-Generatoren, biometrische Daten oder eine Kombination aus verschiedenen Systemen zum Einsatz - die Vertraulichkeit der dadurch geschützten Daten, Systeme oder Dienste und der vetretbare Aufwand für deren Schutz ist hier für die Wahl ausschlaggebend.
Die Information über das gemeinsame Geheimnis oder die zur aktuellen Generierung notwendig ist, muss im System gespeichert werden. Im Standard-Linux-System wird hierfür die Datei $/etc/passwd$ genutzt, in älteren Windows-Systemen war es der Security Accounts Manager (SAM). Natürlich soll gerade im Umfeld dieser Arbeit auch nicht unerwähnt bleiben, dass die Verlagerung dieser Information in ein Verzeichnis möglich ist. Neben Windows-2000-Domänen (und folgend), wo die Nutzer-Informationen im Active Directory und damit in einem Verzeichnis liegen, kann man auch bei den verschiedenen UN*X-Systemen eine Anbindung an beispielsweise ein LDAP-Verzeichnis vornehmen. Eine andere Möglichkeit bestand zum Beispiel im Network Information Service (NIS), welcher allerdings nach heutigen Maßstäben nicht mehr als sicher genug und damit empfehlenswert angesehen werden kann.

Ein zunehmendes Problem in verteilten Systemen stellt ebenso die Vielzahl der Stellen dar, in denen Nutzerinformationen gespeichert und zu denen die Informationen (oft unverschlüsselt) übertragen werden und die Vielzahl an unterschiedlichen Passworten, die ein Nutzer sich einprägen muss, arbeitet er in verteilten System unterschiedlicher Administration. Auch die wiederholte Eingabe von Passworten bei der Arbeit kann sich als störend erweisen.



Subsections
next up previous contents
Next: Das Kerberos-Protokoll Up: Grundlagenbetrachtungen Previous: LDAP   Contents
Marko Damaschke 2006-03-25