5.6 Authentisierung und Berechtigungen

Authentisierung

starke Verfahren zur Authentisierung (Authentication) sind Basis jedes Security-Systems

eine Person => eine (mehrere) Identität(en)

aber: keine von mehreren Personen genutzten Identitäten (Rollen-Accounts)

sicheres Identifizieren von Personen
- Basis der Vergabe von Berechtigungen (Authorization)
- verhindert "Abtauchen" in Anonymität
- macht Abläufe nachvollziehbar/abrechenbar (Log-Files)
- hilft Mißbräuche aufzuklären bzw. Vorwürfe zu widerlegen

gute Authentisierungsverfahren
- vermittlen großes Vertrauen in die Identität der Person
- verhindern die Benutzung fremder Identitäten

Authorization

Authorization-Mechanismen legen fest, was eine (identifizierte) Person tun kann

Authorization-Matrix

	Maschinen/Dienste
Gruppe	Entw	Fin	Pers	PV	Prod	IS	Sec
Entwickler	Write			Read
Prod.-vorbereitung	Read			Write	Read
Finanzverwaltung		Write
Personalverwaltung			Write
Produktion				Read	Write
SysAdmin	Admin	Admin	Admin	Admin	Admin	Admin
Security	Admin	Admin	Admin	Admin	Admin	Admin	Admin

Legende:

Entw	Entwicklung
Fin	Finanzen
Pers	Peronal
PV	Produktionsvorbereitung, Test
IS	Infrastruktur (Authentication Server, Fileserver, Mail-Server, ...)
Sec	Security (Firewall, Intrution Detection, ...)

Authorization-Matrix widerspiegelt eine Policy
- inhaltliche Abstimmung mit Management notwendig (Strukturänderungen)
- Anbindung an Authentication Services erforderlich
- enge Beziehung zur Verwaltung von Namensräumen

Rollen (Webmaster, DB-Admin, ...) durch Mail-Aliases und Gruppen realisieren

Frage 5.6.1:
Welche Vorteile sind mit der Verwendung von Gruppen anstelle von Rollen- oder Gruppen-Accounts verbunden?

Frage 5.6.2:
Warum sollten Berechtigungen eher an Rollen statt an Individuen vergeben werden?

Frage 5.6.3:
Welche Möglichkeiten gibt es in UNIX-Systemen Gruppen von Benutzern zu bilden? Wie kann man diese Gruppen verwenden, um den Zugang zu bestimmten Maschinen und Diensten zu steuern?