Next: Das Kerberos-Protokoll
Up: Grundlagenbetrachtungen
Previous: LDAP
  Contents
Moderne Mehrbenutzerbetriebssysteme oder vernetzte Dienste sollen in
ihrer Nutzbarkeit administrativ auf einen sinnvollen Personenkreis
von Nutzern eingegrenzt werden. Dazu muss im ersten Schritt
sichergestellt werden, dass die Person, die den Dienst oder das System
nutzen will, auch derjenigen entspricht, die sie vorgibt zu sein.
Diesen Schritt nennt man die Authentifizierung. Im Anschluss kann dann
anhand der Information, welche Person tatsächlich einen Dienst nutzen
will, entschieden werden, ob sie dies darf. Dieser Schritt heißt
wiederum Authorisierung.
Es gibt verschiedenste Konzepte, die zur Authentifizierung genutzt
werden können. Die meisten bauen auf der Überprüfung des Wissens um
ein gemeinsames Geheimnis auf. So ist das verbreiteste Verfahren die
Eingabe eines Nutzernamens und eines Passworts. In anderen Situationen
kommen SmartCards, Secure-ID-Generatoren, biometrische Daten oder eine
Kombination aus verschiedenen Systemen zum Einsatz - die
Vertraulichkeit der dadurch geschützten Daten, Systeme oder Dienste
und der vetretbare Aufwand für deren Schutz ist hier für die Wahl
ausschlaggebend.
Die Information über das gemeinsame Geheimnis oder die zur aktuellen
Generierung notwendig ist, muss im System gespeichert werden. Im
Standard-Linux-System wird hierfür die Datei
genutzt, in
älteren Windows-Systemen war es der Security Accounts Manager (SAM).
Natürlich soll gerade im Umfeld dieser Arbeit auch nicht unerwähnt
bleiben, dass die Verlagerung dieser Information in ein Verzeichnis
möglich ist. Neben Windows-2000-Domänen (und folgend), wo die
Nutzer-Informationen im Active Directory und damit in einem Verzeichnis
liegen, kann man auch bei den verschiedenen UN*X-Systemen eine Anbindung
an beispielsweise ein LDAP-Verzeichnis vornehmen. Eine andere
Möglichkeit bestand zum Beispiel im Network Information Service (NIS),
welcher allerdings nach heutigen Maßstäben nicht mehr als sicher genug
und damit empfehlenswert angesehen werden kann.
Ein zunehmendes Problem in verteilten Systemen stellt ebenso die
Vielzahl der Stellen dar, in denen Nutzerinformationen gespeichert
und zu denen die Informationen (oft unverschlüsselt) übertragen werden
und die Vielzahl an unterschiedlichen Passworten, die ein Nutzer sich
einprägen muss, arbeitet er in verteilten System unterschiedlicher
Administration. Auch die wiederholte Eingabe von Passworten bei der
Arbeit kann sich als störend erweisen.
Subsections
Next: Das Kerberos-Protokoll
Up: Grundlagenbetrachtungen
Previous: LDAP
  Contents
Marko Damaschke
2006-03-25