Ein Weg aus dem Gestrüpp von Benutzerprofilen und Kennwörtern: Single Signon

Sind Sie es nicht auch Leid, sich am PC anmelden zu müssen, dann noch ein-, zwei-, drei- oder viermal an der iSeries, um dann mit Emulationsbildschirmen zu arbeiten – womöglich noch einmal, weil Sie mit Lotus Notes auf einen Domino-Server zugreifen wollen? Das Problem der Mehrfachanmeldung wird oftmals noch dadurch verschärft, dass ich bei diversen internetbasierten Diensten wiederum Anmeldedaten hinterlegt habe. Diese Gesamtsituation hat bei mir dazu geführt, dass ich in meiner Brieftasche einen Zettel bei mir habe, auf dem meine diversen Kennungen aufgelistet sind. Geht der Zettel verloren, was passiert dann? Sicherheitstechnisch betrachtet: ein unmöglicher Zustand.

Also muss ein Prozess geschaffen werden, der es möglich macht, dass ein Anwender sich nur einmal anmeldet, alles Weitere läuft dann unter der Oberfläche – eben ein Single Signon.

Warum Single Signon (SSO)?

Die Notwendigkeit zur Einführung von SSO entstand aus der Tatsache, dass ein Anwender heute in den unterschiedlichsten Umgebungen mit unterschiedlichen Namen und Kennwörtern registriert ist.

Die Gesamtsituation

Er soll und will sich aber nur einmalig anmelden, um dann ungehindert seine Aufgaben auf verschiedenen Systemen mit den unterschiedlichsten Anwendungen ungehindert ausführen zu können.

Vorteile von Single Signon

Single Signon löst Probleme auf den unterschiedlichsten Ebenen:

Das Benutzer-Problem: Der Benutzer ist Bestandteil vieler Registraturen. Diesen Zustand unter Kontrolle zu halten, ist zeitaufwändig und frustrierend.

Das Anwendungsentwickler-Problem: Entwickler schreiben heute Anwendungen, in denen Programme auf unterschiedlichen Systemen miteinander kommunizieren. Um diese Kommunikationsvorgänge zu ermöglichen, werden bestenfalls eigene applikationsbezogene Berechtigungssysteme aufgebaut. Schlimmstenfalls werden Zugangsdaten hart in die Anwendung kodiert.
Organisationsprobleme: Die Wartung, Pflege und Synchronisation von Anmeldungsdaten ist unproduktiv und kostet Geld. Anwender müssen überdurchschnittlich oft auf den Helpdesk zugreifen, wenn Sie sich auf irgendeinem System nicht anmelden können oder wenn die Applikation, die dieses eigentlich realisieren soll, nicht funktioniert. Auf der anderen Seite verschlingt die Administration dieser heterogenen Vorgänge sehr viel Geld. Anwender, die eine Vielzahl von Namen und Kennwörtern haben, müssen sich an diese erinnern (siehe oben: der Zettel). Bei selbsterstellten Prozessen werden die Kennwörter über das Netzwerk übermittelt – ein weiteres Sicherheitsproblem. Anwender, die das Unternehmen verlassen, müssen aus den Registraturen sämtlicher Systeme entfernt werden. (Haben Sie schon einmal einen Benutzer aus der iSeries-Umgebung gelöscht, der Eigner von einer Vielzahl von Objekten ist? Wenn ja, wissen Sie wovon ich rede.) Anwenderprofile können nicht administrativ an zentraler Stelle deaktiviert werden.

In allen diesen Bereichen punktet Single Signon.

Die IBM Single Signon Strategy

Die Single Signon Strategy der IBM besteht aus drei Teilen:

Authentifizierung mittels des Kerberos-Protokolls. Kerberos schafft über einen zentralen Server-Dienst eine einzige für ein Netzwerk gemeinsame Authentifizierungsstelle – das Key Distribution Center (KDC), das die Berechtigung zum Eintritt in ein Netzwerk gibt. Alle an diesem Netzwerk beteiligten Systeme vertrauen KDC. Mit einfachen Worten: Ist ein Anwender vom KDC als berechtigt klassifiziert worden, so vertrauen alle weiteren Registraturen der diversen Betriebssysteme dieser Authentifizierung. Der anmeldende Prozess erhält ein Ticket, mit dem er sich an den jeweiligen Systemen anmeldet. Somit werden keine Benutzerdaten im Netzwerk übermittelt, sondern nur verschlüsselte Tickets. Die iSeries ist Kerberos-befähigt. Die iSeries Kerberos-Implementierung verbirgt sich hinter dem Begriff Network Authentication Service(NAS). Soweit die gute Nachricht, jetzt kommt die schlechte: OS/400 kann kein KDC sein. Wir benötigen also ein fremdes Betriebssystem mit einer KDC-Implementierung. Hier bieten sich unter anderem an: Windows 2000 Server und Windows 2003 Server, AIX, LINUX und andere UNIX-Systeme. Übrigens die Windows 2000/2003-Authentifizierung des Active Directory basiert auf Kerberos!

Benutzerregistrierung mittels LDAP. Benutzer, die im OS/400 ein Benutzerprofil haben, werden im LDAP-Dienst des OS/400 registriert. Damit Sie sich jetzt nicht noch mit den Feinheiten einer LDAP-Konfiguration herumschlagen müssen, hat die IBM im OS/400 einen LDAP-basierten Dienst implementiert, der Enterprise Identity Mapping (EIM) genannt wird. Dieser Dienst basiert auf einem so genannten EIM Domänen Controller – eine Art Datenbank, in der die iSeries-Benutzer registriert und den im KDC registrierten Benutzern zugeordnet werden.

Kerberos-befähigte Applikationen. Kerberos-Authentifizierung funktioniert nicht auf der Systemebene, sondern auf der Anwendungsebene. Kein Anwender erlangt aufgrund der Kerberos-Berechtigung einen generellen Zugang zu einem System, sondern nur Kerberos-befähigte Anwendungen erhalten diesen.

Folgende Anwendungen sind in OS/400 ab V5R2 Kerberos-befähigt:
– SQL
– DDM
– iSeries Access für Windows und die OS/400 Hostserver
– iSeries Netserver
– das Dateisystem QFileSvr.400
– HTTP (der Apache Server)
– LDAP
– PC5250 und Telnet

Folgende Anwendungen sind Kerberos- und EIM-befähigt:
– iSeries Navigator
– DRDA
– PC5250 und Telnet
– iSeries Netserver
– das Dateisystem QFileSvr.400

Welche Vorteile bringt EIM?

Bestehende Benutzerregistrierungen bleiben bestehen. Es besteht kein Grund, gleichartige Benutzer und Kennwörter auf verschiedenen Systemen einzurichten. Es gibt keine Kennwort-Synchronisierung. Je nach Bedarf können Benutzer in die Kerberos-Authentifizierung und EIM-Registrierung einbezogen werden. Es besteht kein Grund, alles „auf einen Schlag“ zu realisieren. EIM kann die Grundlage für eine gemeinsame netzwerkweite Benutzerverwaltung darstellen.

Was müssen Sie tun?

Beschäftigen Sie sich mit dem OS/400 V5R2 Network Authentication Service, der iSeries Kerberos-Implementierung und dem Enterprise Identity Mapping. Ein wenig Kenntnis über LDAP kann nicht schaden. Das ist jedoch alles vergleichsweise wenig, gemessen an der Gesamtaufgabe, alle Benutzer eines heterogenen Netzwerks auf andere Art und Weise „unter einen Hut“ zu bekommen.

Den Autor Klaus-Peter Luttkus erreichen Sie unter Peter.Luttkus@MidrangeMagazin.de