5.1. Administratoren authentifizieren

Die Authentifizierung des Administrators zwecks Verbindung mit dem Enterprise Server kann auf eine der folgenden Weisen erfolgen:

1.Mit Speicherung von Informationen zu Administratoren in der Datenbank des Servers.

Die Authentifizierungsmethoden werden folgegemäß nach folgenden Prinzipien verwendet:

1.Die Rangfolge bei der Verwendung der Authentifizierungsmethoden hängt von deren Reihenfolge in den Einstellungen ab, welche über das Verwaltungszentrum konfiguriert werden.

2.Als erster erfolgt immer der Versuch, den Administrator über die Datenbank des Servers zu authentifizieren.

3.Die zweite Methode der Authentifizierung erfolgt standardmäßig über LDAP, die dritte – über Active Directory, die vierte – über RADIUS.

4.In den Einstellungen des Servers kann die Reihenfolge von Authentifizierungsmethoden über LDAP, Active Directory und RADIUS geändert werden, als erste erfolgt aber immer die Authentifizierung des Administrators über die Datenbank.

5.Standardmäßig ist die Authentifizierung über LDAP, über Active Directory und über RADIUS deaktiviert.

3.Im geöffneten Fenster finden Sie die Liste der Autorisierungstypen in der Reihenfolge, wie sie verwendet werden. Um deren Reihenfolge zu ändern, klicken Sie auf den Pfeil links von der Benennung des Autorisierungstyps. Die Reihenfolge der Punkte mit den benannten Typen der Autorisierung wird geändert.

Die Authentifizierungsmethode mit Speicherung von Informationen zu Administratoren in der Datenbank des Servers wird per Default verwendet.

2.Im Verwaltungsmenü wählen Sie den Punkt Administratoren. Es öffnet sich eine Liste, in der alle in der Datenbank registrierten Administratoren aufgelistet sind.

4.Setzen Sie ein Häkchen bei Microsoft Active Directory Authentifizierung verwenden.

Bei der Authentifizierung von Administratoren über Active Directory wird nur de Erlaubnis zur Nutzung dieser Authenifizierungsmethode im Verwaltungscenter eingestellt.

Die Eigenschaften der Administratoren von Active Directory werden manuell auf dem Server von Active Directory bearbeitet.

Die nachfolgenden Aktionen sind auf den Rechnern vorzunehmen, auf denen die Möglichkeit zur Active Directory Administrierung vorgesehen ist.

1.Um die Parameter der Administratoren bearbeiten zu können, sind folgende Aktionen auszuführen:

a)Um das Active Directory Schema zu modifizieren, starten Sie das Dienstprogramm drwschema-modify.exe (gehört zum Distributionsumfang des Enterprise Servers).
Die Modifizierung des Active Directory Schemas kann eine gewisse Weile dauern. Je nach der Konfiguration Ihrer Domäne kann es bis zu 5 oder mehr Minuten betragen, bis das modifizierte Schema synchronisiert und übernommen wird.

b)Zur Registrierung der Tools von Active Directory Schema führen Sie mit Administratorrechten den regsvr32 schmmgmt.dll Befehl aus, danach starten Sie mmc und fügen Sie die Tools von Active Directory Schema hinzu.

c)Unter Verwendung der hinzugefügten Tools von Active Directory Schema fügen Sie die Hilfsklasse DrWebEnterpriseUser zur Klasse User und (gegebenenfalls) zur Klasse Group hinzu.

Wenn das Übernehmen des modifizierten Schemas nicht beendet wurde, kann die Klasse DrWebEnterpriseUser nicht gefunden werden. In diesem Fall warten Sie eine gewisse Zeit ab und wiederholen Sie den Versuch gemäß dem Punkt с).

d)Unter Administrierungsbefugnissen starten Sie die Datei drweb-esuite-aduac-600-xxxxxxxxx-windows-nt-xYY.msi (gehört zum Distributionsumfang von Dr.Web Enterprise Security Suite 6.0.4) und waten Sie, bis die Installation beendet wird.

2.Die grafische Benutzeroberfläche zum Bearbeiten der Attribute ist im Steuerfeld Active Directory Users and Computers → im Bereich Users → im Fenster zur Bearbeitung von Eigenschaften des ausgewählten Benutzers Administrator Properties → auf der Registerkarte Dr.Web Authentication verfügbar.

3.Zum Bearbeiten sind folgende Parameter verfügbar (jedes Attribut kann den Wert yes, no oder not set haben):

◆User is administrator - weist darauf hin, dass der Benutzer als vollberechtigter Administrator auftritt.

◆User is read-only administrator - weist darauf hin, dass der Benutzer als der Administrator mit Nur-Lesen-Rechten auftritt.

Wenn der yes-Wert nur für den Parameter User is administrator festgelegt ist, so ist der Benutzer der vollberechtigte Administrator.

Wenn der yes-Wert für Parameter User is administrator und User is read-only administrator gleichzeitig festgelegt wurde, so tritt der Benutzer als Administrator mit Nur-Lesen-Rechten auf.

◆Inherit permissions from groups - Parameter, der das Übernehmen der Werte für sonstige Parameter aus den Gruppen des Benutzers erlaubt. Wenn ein Parameter (bzw. mehrere Parameter) den Wert not set haben und bei Inherit permissions from groups der yes-Wert angegeben ist, werden die Werte der nicht festgelegten Parameter aus den Gruppen, zu denen dieser Benutzer gehört, übernommen.

Die Algorithmen für Funktionsweise und Auswertung der Attribute bei der Autorisierung sind im Anhang O angeführt.

Die Autorisierung unter Verwendung des LDAP-Protokolls kann auf jedem LDAP-Server eingestellt werden. Mit Hilfe von diesem Mechanismus ist es auch möglich, den Server unter Betriebssystem der UNIX-Familie zur Autorisierung bei Active Directory auf dem Domänencontroller zu konfigurieren.

Die Einstellungen der LDAP-Autorisierung werden in der Konfigurationsdatei auth-ldap.xml gespeichert.

Die Beschreibung von grundsätzlichen xml-Attributen der Autorisierung ist im Anhang O angeführt.

Zum Unterschied von Active Directory kann dieser Mechanismus für ein beliebiges LDAP-Schema konfiguriert werden. Standardmäßig erfolgt der Versuch, die Attribute von Dr.Web Enterprise Security Suite zu verwenden, wie sie für Active Directory festgelegt sind.

1.Die Adresse des LDAP-Servers wird übers Verwaltungscenter oder in der xml-Konfigurationsdatei festgelegt.

◆Erfolgt die Übersetzung des Namens in DN (Distinguished Name) unter Verwendung von DOS-artigen Masken (mit dem Einsatz des * Zeichens), wenn die Regeln festgelegt sind.

◆Erfolgt die Übersetzung des Namens in DN unter Verwendung der regulären Ausdrücke, wenn die Regeln festgelegt sind.

◆Wird das benutzerdefinierte Skript bei der Übersetzung der Namen in DN verwendet, wenn dieses Skript in den Einstellungen festgelegt ist.

◆Im dem Fall, wenn keine der Übersetzungsregeln hierzu passt, wird der festgelegte Name ohne Änderungen benutzt.

Das Format des Benutzernamens wird auf keine Weise festgelegt und wird nicht fixiert - es kann so sein, wie es im Unternehmen gilt, d.h. es wird keine zwangsläufige Modifizierung des LDAP-Schemas benötigt. Die Umsetzung zu diesem Schema erfolgt unter Verwendung von Regeln für die Übersetzung der Namen in LDAP DN.

3.Nach der Übersetzung, wie auch bei Active Directory, erfolgt der Versuch, diesen Benutzer auf dem angegebenen LDAP-Server mit Hilfe des erhaltenen DN und des eingegebenen Passworts zu registrieren.

4.Danach, wie auch bei Active Directory, werden die Attribute des LDAP-Objektes für erhaltenen DN gelesen. Die Attribute und deren mögliche Werte können in der Konfigurationsdatei neu festgelegt werden.

5.Falls es noch nicht festgelegte Werte der Administrator-Attribute gibt, so, bei der Festlegung des Übernahmeverfahrens (in der Konfigurationsdatei), erfolgt die Suche nach benötigten Attributen nach Gruppen, zu denen der Benutzer gehört, ähnlich, wie es unter Verwendung von Active Directory ausgeführt wird.