Best Practice Consulting

Logo der Vation Technology GmbH

Login in Netzwerken optimieren



Die Sicherung des DV-Zuganges ist insgesamt keine einfache Aufgabe, da mit der Verbreitung von Client-Server-Anwendungen Verfahren und Daten über diverse Systeme, PCs, Server und Host verteilt sind. In solcher Umgebung muß sich ein DV-Anwender regelmäßig am Netz, der Datenbank, den Anwendungen, Betriebssystemen und Host anmelden. Jede Anmeldung besteht in typischer Weise aus einem Dialog, der die korrekte Eingabe eines statischen, von der Systemadministration vergebenen Benutzernamens und eines durch den Anwender änderbaren Paßwortes verlangt. Ohne diese Eingaben wird der Zugang zu der gewünschten Ressource nicht freigegeben.

Für die Anwender ist dabei besonders lästig, daß für fast jedes System eine separate Zugangskontrolle erfolgt. Dies zwingt die Anwender dazu, sich mehrere Zugangskennungen und Paßworte zu merken. Kennungen und Paßworte besitzen aber häufig keine erkennbare Systematik und lassen sich daher schlecht merken. Paßwortverlust gehört deshalb mit zu den häufigsten Meldungen an den Benutzerservice. In der Praxis werden daher von DV-Benutzern Kennungen und Paßworte, entgegen allen Sicherheitsregeln notiert und in Reichweite des PC, auf Visitenkarten, der Tastatur, am Monitor usw. aufbewahrt. Zu der so faktisch verminderten Sicherung der Systeme gegen unberechtigte Benutzung tritt noch die Tatsache, daß für die Suche nach dem jeweils richtigen Paßwort und die Häufigkeit der Anmeldeprozeduren die Produktivität der Mitarbeiter beeinträchtigt wird. Sogenannte Single-Sign-On-Systeme (SSO) sollen zu einer Verbesserung dieser Situation führen. SSO ersetzt dazu die unterschiedlichen Anmeldeprozeduren durch ein einziges, systemweites Login, das im Hintergrund die notwendigen Prozesse aktiviert.

Der Authentisierungsvorgang mit Hilfe eines Single-Sign-On-Systems läßt sich in vier Schritte unterteilen:

  • Start der lokalen Arbeitsstation
    Der Arbeitsplatzrechner wird gestartet und es erscheint die gewohnte Benutzeroberfläche mit einem Single-Sign-On Icon, sowie die lokal verfügbaren Ressourcen.

  • Benutzer Log-On
    Nach der Aktivierung des Single-Sign-On Icons erscheint ein Fenster mit der Aufforderung zur Eingabe der Benutzerkennung und des Paßwortes. Nach der Eingabe wird vom Log-On-Server ein Initial-Ticket generiert und der Arbeitsstation übergeben. Dieses Ticket berechtigt die Arbeitsstation zur Nutzung der Netzressourcen. Es ist für einen festen Zeitraum netzweit gültig.

  • Weitervererbung
    Die Arbeitsstation erhält vom Log-On-Server durch Vorweisen des Initial-Tickets für jeden Single Log-On ein Paßticket, das die Station für jede im Ressourcenprofil des Benutzers festgelegte Anwendung benötigt. Diese erlaubten Anwendungen werden den Benutzern grafischer Oberflächen in Form von Symbolen (Icons) auf dem Desktop angezeigt. Das Paßticket wird nach der Initialisierung der individuellen Oberfläche nicht mehr benötigt und kann daher eine recht kurze Lebensdauer haben.

  • Client/Server Authentifikation
    Im letzten Schritt werden bei der Benutzung einer Anwendung zwischen Client- und Serverprogrammen Meldungen ausgetauscht. Für jede Client/Serverbeziehung "löst" der Sender beim Log-On-Server durch vorweisen des Initial-Tickets ein Service-Ticket, das zur Nutzung des Service berechtigt. Die Anwendung kann dann im Rahmen der konfigurierten Möglichkeiten genutzt werden.

SSO wird häufig in Verbindung mit Projekten zur zentralen Benutzerverwaltung realisiert. Ob in konkreten Situationen SSO die Security Situation in Ihrer Infrastruktur nachhaltig verbessert, welcher Authentisierungsserver (RACF, Kerberos oder andere) zum Einsatz kommt und welches Produkt zur Realisierung geeignet ist, sollte man zuvor analysieren.

Vation Technology GmbH - Max-Planck-Str. 6  -  D-86420 Diedorf - HRB 20056 Augsburg - Tel.: +49-(0) 821-484194 - Fax: +49-(0) 821-484193