Best Practice Consulting
Die Sicherung des DV-Zuganges ist insgesamt keine einfache Aufgabe, da mit der Verbreitung von Client-Server-Anwendungen Verfahren und Daten über diverse Systeme, PCs, Server und Host verteilt sind. In solcher Umgebung muß sich ein DV-Anwender regelmäßig am Netz, der Datenbank, den Anwendungen, Betriebssystemen und Host anmelden. Jede Anmeldung besteht in typischer Weise aus einem Dialog, der die korrekte Eingabe eines statischen, von der Systemadministration vergebenen Benutzernamens und eines durch den Anwender änderbaren Paßwortes verlangt. Ohne diese Eingaben wird der Zugang zu der gewünschten Ressource nicht freigegeben.
Für die Anwender ist dabei besonders lästig, daß für fast jedes System eine separate Zugangskontrolle erfolgt. Dies zwingt die Anwender dazu, sich mehrere Zugangskennungen und Paßworte zu merken. Kennungen und Paßworte besitzen aber häufig keine erkennbare Systematik und lassen sich daher schlecht merken. Paßwortverlust gehört deshalb mit zu den häufigsten Meldungen an den Benutzerservice. In der Praxis werden daher von DV-Benutzern Kennungen und Paßworte, entgegen allen Sicherheitsregeln notiert und in Reichweite des PC, auf Visitenkarten, der Tastatur, am Monitor usw. aufbewahrt. Zu der so faktisch verminderten Sicherung der Systeme gegen unberechtigte Benutzung tritt noch die Tatsache, daß für die Suche nach dem jeweils richtigen Paßwort und die Häufigkeit der Anmeldeprozeduren die Produktivität der Mitarbeiter beeinträchtigt wird. Sogenannte Single-Sign-On-Systeme (SSO) sollen zu einer Verbesserung dieser Situation führen. SSO ersetzt dazu die unterschiedlichen Anmeldeprozeduren durch ein einziges, systemweites Login, das im Hintergrund die notwendigen Prozesse aktiviert.
Der Authentisierungsvorgang mit Hilfe eines Single-Sign-On-Systems läßt sich in vier Schritte unterteilen:
Start der lokalen Arbeitsstation
Der Arbeitsplatzrechner wird gestartet und es erscheint die gewohnte Benutzeroberfläche mit einem Single-Sign-On Icon, sowie
die lokal verfügbaren Ressourcen.
Benutzer Log-On
Nach der Aktivierung des Single-Sign-On Icons erscheint ein Fenster mit der Aufforderung zur Eingabe der Benutzerkennung und
des Paßwortes. Nach der Eingabe wird vom Log-On-Server ein Initial-Ticket generiert und der Arbeitsstation übergeben. Dieses
Ticket berechtigt die Arbeitsstation zur Nutzung der Netzressourcen. Es ist für einen festen Zeitraum netzweit
gültig.
Weitervererbung
Die Arbeitsstation erhält vom Log-On-Server durch Vorweisen des Initial-Tickets für jeden Single Log-On ein Paßticket, das
die Station für jede im Ressourcenprofil des Benutzers festgelegte Anwendung benötigt. Diese erlaubten Anwendungen werden
den Benutzern grafischer Oberflächen in Form von Symbolen (Icons) auf dem Desktop angezeigt. Das Paßticket wird nach der
Initialisierung der individuellen Oberfläche nicht mehr benötigt und kann daher eine recht kurze Lebensdauer haben.
Client/Server Authentifikation
Im letzten Schritt werden bei der Benutzung einer Anwendung zwischen Client- und Serverprogrammen Meldungen ausgetauscht.
Für jede Client/Serverbeziehung "löst" der Sender beim Log-On-Server durch vorweisen des Initial-Tickets ein Service-Ticket,
das zur Nutzung des Service berechtigt. Die Anwendung kann dann im Rahmen der konfigurierten Möglichkeiten genutzt
werden.
SSO wird häufig in Verbindung mit Projekten zur zentralen Benutzerverwaltung realisiert. Ob in konkreten Situationen SSO die Security Situation in Ihrer Infrastruktur nachhaltig verbessert, welcher Authentisierungsserver (RACF, Kerberos oder andere) zum Einsatz kommt und welches Produkt zur Realisierung geeignet ist, sollte man zuvor analysieren.
