Tivoli SecureWay Policy Director Base Administratorhandbuch
Contents
1. Abbildung 15 Gesch tzter Objektbereich von Policy Director Tivoli SecureWay Policy Director Base Administratorhandbuch 51 uoyemian y9Is aqpyalgqo u z ny s 9 Z 52 Hierarchie des gesch tzten Objektbereichs Die strukturelle Spitze oder der Anfang des gesch tzten Objekt bereichs ist das Stammcontainerobjekt Root Das Symbol f r den Stamm ist der Schr gstrich An das Stammobjekt schlie en sich folgende Objektbereichs kategorien an Webobjekte Container WebSEAL Das WebSEAL Containerobjekt ist der Stamm des logischen Webbereichs der gesicherten Dom ne Alle HTTP Operationen sind f r ein Objekt in dieser untergeordneten Baumstruktur berechtigt Webobjekte sind alle Objekte die mit einer URL Adresse aufge rufen werden k nnen Hierzu geh ren statische Webseiten und dynamische URL Adressen die in Datenbankabfragen oder in eine andere Anwendungsaufrufart durch ein Gateway zwischen Web und Anwendung konvertiert werden Policy Director Verwaltungsobjekte Container Management Das Management Containerobjekt ist der Stamm des logischen Bereichs der alle Policy Director Verwaltungsoperationen steu ert Verwaltungsobjekte stellen die Services dar die zum Definie ren von Benutzern und Gruppen und zum Festlegen der Sicher heits Policy erford2. aAbBcgNTW Abbildung 23 Mehrere Aktionsgruppen 82 Version 3 8 Neue Aktionsgruppe erstellen Mit dem Befehl pdadmin action group create k nnen Sie eine neue Aktionsgruppe erstellen pdadmin gt action group create test group pdadmin gt action group list primary test group pdadmin gt action group delete test group pdadmin gt action group list primary Die Standardaktionsgruppe primary wird immer in einer Gruppen liste angezeigt und kann nicht gel scht werden Sie m ssen ber einen Eintrag in einer Zugriffssteuerungsliste ACL im Objekt Management ACL mit der Berechtigung zum ndern m verf gen um Aktionsgruppen zu erstellen und mit der Berechtigung zum L schen d um Aktionsgruppen zu l schen Neue Aktionen in einer Aktionsgruppe erstellen Mit dem Befehl pdadmin action create k nnen Sie eine neue Aktion in einer Aktionsgruppe erstellen pdadmin gt action create lt Aktionsname gt lt Aktionsbezeichnung gt lt Aktionsart gt lt Aktionsgruppenname gt Aktionsname Die Aktion Berechtigung darstellender Buchstabe Aktionsbezeichnung Beschreibung f r diese Aktion Wird in einem Befehl pdadmin action list und im Web Portal Manager angezeigt Aktionsart Aktionskategorie verwendet Web Portal Manager zum Zusammenfassen allgemeiner Aktionsbits Die Standardkategorien sind Basis Gen
3. 234 Version 3 8 Policy Verwaltungsbefehle Die Befehle pdadmin policy sind eine Gruppe von Verwaltungs befehlen die bestimmte Regeln und Bedingungen f r LDAP Benut zer und gruppenkonten festlegen Sie k nnen folgende Policy Attribute verwalten Eine Policy definiert die Bedingungen die LDAP Benutzerkonten und Kennw rtern auferlegt werden um die Gesamtsicherheit des Systems zu verbessern Diese Bedingungen k nnen allgemein global f r alle Benutzer im System oder spezifisch nur f r einen bestimm ten Benutzer auferlegt werden Wenn f r einen Benutzer eine spezifische Policy g ltig ist hat diese spezifische Policy Vorrang vor allen allgemeinen Policies die au er dem definiert sein k nnen Die Vorrangstellung ist unabh ngig davon ob die spezifische Policy restriktiver ist als die allgemeine Policy oder nicht Anmeldungs Policies verwalten Mit den folgenden Befehlen pdadmin policy k nnen Sie anmeldungsbezogene Policies verwalten Mit den anmeldungsbezogenen Policy Verwaltungsbefehlen erstellen Sie neue Anmeldungs Policies oder kopieren vorhandene Anmel dungs Policies Au erdem k nnen Sie Informationen zur Anmel dungs Policy eines Benutzerkontos anzeigen F r anmeldungsbezogene Policies definiert Policy Director die rela tive Zeit wie folgt TTT hh mm ss Die absolute Zeit wird wie folgt definiert JJJJ MM TT hh mm ss Tivoli SecureWay Policy Director Base Administratorhandbuch 23
4. Management Server Haupt berechtigungs Policy 1 I 1 1 N i I pdmgrd ij j N 1 1 Berechtigungs auswertungs nn programm nn AuthAPI WebSEAL oder la n Fremdanbieter mi j Ressourcen gt 1 Authentifizierter Client Abbildung 13 Berechtigungs API Lokaler Cache Modus Externe Berechtigungsf higkeit In einigen F llen k nnen die Policy Director Standard Policy Imple mentierungen Zugriffssteuerungslisten und POP Policies unter Umst nden nicht allen Berechtigungsregeln Ausdruck verleihen die die Sicherheits Policy eines Unternehmens erforderlich macht Policy Director verf gt daher ber eine optionale externe Berechtigungs f higkeit die alle zus tzlichen Berechtigungsanforderungen erf llen soll Der externe Berechtigungsservice erm glicht Ihnen zus tzliche Berechtigungssteuerelemente und bedingungen die durch ein sepa rates externes Berechtigungsservicemodul vorgegeben werden anzugeben Tivoli SecureWay Policy Director Base Administratorhandbuch 10 3911q IlOd Jsqn 1491S19QN L 42 Berechtigungsservice erweitern Die externe Berechtigungsf higkeit wird automatisch in den Berech tigungsservice von Policy Director integriert Wenn Sie einen exter nen Berechtigungsservice konfigurieren nimmt der Berechtigungs service von Policy Director die Zugriffsentscheidungspfade einfa
5. P m Ta Windows NT Benutzer und Gruppen Workstation PEN 5 ki 3 Policies auf den gesch tzten onten erstellen ndern Objektbereich anwenden und l schen Web Portal i Manager Security Server Benutzer registrierungs datenbank Management Server Haupt berechtigungs Policy Abbildung 9 Web Portal Manager Verwaltung der Sicherheits Policy Tivoli SecureWay Policy Director Base Administratorhandbuch 33 10 3911q IlOd 13qN Iys s aan L Die Schritte des Berechtigungsprozesses Die folgende Abbildung illustriert den vollst ndigen Berechtigungs prozess Gesicherte Dom ne gt 3 Berechtigungs Berechtigungs pr fung Policy 4 Berechtigungs gt service A a a E 2 Berechtigungs 4 Berechtigungs ER s m a za anforderung entscheidung Gesch tzter AuthAPI AuthAPI Objektbereich 1 Anforderung K Yy omponente zur zwingenden Anwendung der 5 Berechtigte Operation definierten Policy Ressourcen 6 Antwort Ressourcen Client manager Abbildung 10 Policy Director Berechtigungsprozess 1 34 Eine authentifizierte Client Anforderung f r eine Ressource wird an den Ressourcenmanagerserver weitergeleitet und durch die Komponente zur zwingenden Anwendung der definierten Policy abgefangen Der Ress
6. nauau 207 Erweiterte Attribute f r gesch tzte Objekte verwalten 209 Befehle f r Policy f r gesch tzte Objekte POP 2220 210 POP Policies verwalten 2 22222 coo ces neeeneeeeenenenn 210 Erweiterte Attribute f r POP Policies verwalten 212 serverbefehle 2 2 4 0 realen 213 Version 3 8 Technische Anmerkungen 22 2222 cneeeeeenenen nenn 214 Verwaltungsinformationsbefehl 222222 nneeeeeee nenn 215 Benutzerverwaltungsbefehle 2 2 2222 nnneeeeeeee nenn 215 Gruppenverwaltungsbefehle 2 22 nnneeeeenee en nnen 223 Ressourcenverwaltungsbefehle 22222222 ccneeeeeenenen 227 Ressourcen verwalten 22 222 con nneeeneeenene nennen 227 Ressourcengruppen verwalten 22 2noeeeeeeeee nenn 229 Ressourcenberechtigungen verwalten 2 222 222 ununa 231 Policy Verwaltungsbefehle 22222222 nneeeeeeen nennen 235 Anmeldungs Policies verwalten 222222 oeeeeeenenen 235 Kennwort Policies verwalten 2222 oneneeeeenen nenn 238 Anhang B Referenz f r ivmgrd conf 241 Anhang C Referenz f r ivacld conf 245 Anhang D Referenz f r Idap conf 251 Anhang E Referenz f r pd conf zuuresunn n 253 INGE nenne phase 255 Tivoli SecureWay Policy Director Base Administratorhandbuch xi xii Version 3 8 Vorwort Willkommen beim Tivol
7. Version 3 8 Erweiterte ACL Aktionen und Aktionsgruppen erstel len Tivoli SecureWay Policy Director Base Administratorhandbuch Befehl Beschreibung action create lt Aktionsname gt lt Aktionsbezeichnung gt lt Aktionsart gt lt Aktionsgruppenname gt Eine neue ACL Aktionsdefinition f r die angegebene Aktionsgruppe erstellen action delete lt Aktionsname gt lt Aktionsgruppenname gt Eine ACL Aktionsdefinition aus der angegebenen Aktionsgruppe l schen action group list Listet alle ACL Aktionsgruppennamen auf action group create lt Aktionsgruppenname gt Neue ACL Aktionsgruppe erstellen action group delete lt Aktionsgruppenname gt ACL Aktionsgruppe l schen action list lt Aktionsgruppenname gt Alle ACL Aktionsdefinitionen f r die angegebene Aktionsgruppe auflisten 205 umwpepd Iy3J9g AN ZU919J94 Y Objektbefehle Mit den Befehlen pdadmin object und objectspace k nnen zus tzli che Objektbereiche mit gesch tzten Objekten die von Anwendungen anderer Hersteller verwendet werden erstellt werden 206 Angepassten Objektbereich verwalten Befehl Beschreibung objectspace create lt Objektbereichsname gt lt Beschreibung gt lt Art gt Erstellt einen neuen gesch tzten Objektbereich in den gesch tzte Objekte gestellt werden k nnen objectspace delete lt Objektbereichsname gt L scht einen vorhanden
8. Version 3 8 Serverbefehle Die folgenden Befehle pdadmin server sind geeignet f r Verwal tungs Tasks auf den Policy Director Servern Das Argument Servername wird als tats chlicher Maschinenname und die von diesem Befehl verwendete Policy Director Komponente ausgedr ckt Die Policy Director Komponente kann ein Basisserver z B pdmgrd oder pdacld ein Policy Director Ressourcenmanager z B webseald oder ein externer Anwendungsserver sein lt Policy Director Komponente gt lt Maschinenname gt Wenn der Maschinenname beispielsweise cruz lautet und die Policy Director Komponente WebSEAL ist lautet der Servername webseald cruz Befehl Beschreibung server list Listet alle registrierten Server auf Verwenden Sie das durch diesen Befehl angezeigte Servernamensformat f r alle Argumente lt Servername gt server listtasks lt Servername gt Ruft die f r diesen Server verf gbare Liste der Tasks Befehle ab server replicate server lt Servername gt server show lt Servername gt Zeigt die Merkmale des angegebenen Servers an server task lt Servername gt lt Befehl gt Sendet den angegebenen Befehl an den angegebenen Server Tivoli SecureWay Policy Director Base Administratorhandbuch 213 umwpepd Iy3J9g AN ZU919j94 Y Technische Anmerkungen Achten Sie darauf dass das Argument Servername in genau dem selben Format eingegeben werden muss das in der Aus
9. Tivoli SecureWay Policy Director Base Administratorhandbuch 245 Juo9 pjpeni 1N ZU919j94 I 246 Parameter Beschreibung unix user unix group UNIX Benutzerkonto f r diesen Ser ver UNIX Gruppenkonto f r diesen Ser ver permit unauth remote caller Gibt an ob Berechtigungs API Clients durch den Berechtigungsserver berech tigt werden sollen bevor ihre Anforde rungen verarbeitet werden Zeilengruppe ldap enabled LDAP Benutzerregistrierungsdaten bankunterst tzung aktivieren bzw inaktivieren host Host Name des LDAP Servers port Der beim Binden an den LDAP Server verwendete IP Port bind dn Der beim Binden an den LDAP Server verwendete LDAP Benutzer DN bind pwd Das LDAP Benutzerkennwort cache enabled prefer readwrite server Zwischenspeichern von LDAP Client Daten zur Verbesserung des Durchsat zes f r hnliche LDAP Abfragen aktivieren bzw inaktivieren Die Auswahlm glichkeit des Clients den LDAP Server mit Lese Schreibzugriff vor der Abfrage von Replikationsservern mit Lesezugriff die in der Dom ne konfiguriert sind abzufragen aktivieren bzw inaktivie ren ssl enabled SSL bertragung mit dem LDAP Server aktivieren bzw inaktivieren ssl keyfile Position der SSL Schl sseldatei mit der Zertifikate f r die LDAP bertra gung bearbeitet werden ssl keyfile dn Zertifikatkennsatz in der SSL Schl sseldatei
10. U9PUSOMAOA SOIIIOA 1IV E 90 Management ACL Berechtigungen Mit diesem Objekt k nnen Verwaltungsbenutzer ACL Verwaltungs Task auf hoher Ebene ausf hren die sich auf die Sicherheits Policy f r die gesicherte Dom ne auswirken K nnen Operation Beschreibung a attach ACL Policies Objekten zuordnen ACL Policies aus Objekten entfernen acl attach acl detach c control Eigentumsrecht der ACL Policy erlaubt das Erstellen L schen und ndern von Eintr gen f r diese ACL acl modify d delete Vorhandene ACL Policy l schen Der ACL Ein trag f r diesen Benutzer muss au erdem die Berechtigung control c enthalten acl delete m modify Neue ACL Policy erstellen acl create v view ACLs auflisten suchen und anzeigen ACL De tails anzeigen Diese Berechtigung muss sich in einem Eintrag einer Zugriffssteuerungsliste befin den die Management ACL zugeordnet ist acl find acl list acl show Sie m ssen ACL Administratoreintr ge in der Standard ACL Policy f r das Objekt Management ACL erstellen Der ACL Eintrag des Administrators kann alle der oben aufgef hrten Berechtigungen ent halten Diese Berechtigungen gestatten dem Administrator neue ACL Policies zu erstellen ACLs Objekten zuzuordnen und ACL Policies zu l schen Version 3 8 Ein ACL Administrator kann eine vorhandene Zugriffssteuerungsliste ACL nur dann ndern wenn diese Zugriffssteuerungsliste f r den Admini
11. Netzsicherheit Allgemeine Hinweise Sowohl das weltweite ffentliche Internet als auch firmeninterne Intranets sind mit heterogenen Datenverarbeitungssystemen Anwen dungen und Netzen verbunden Diese Mischung unterschiedlicher Hardware und Software wirkt sich normalerweise wie folgt auf ein Netz aus m Keine zentrale Kontrolle der Sicherheit f r Anwendungen m Keine einheitliche URL Namenskonvention URL Uniform Resource Locator m Keine allgemeine Unterst tzung f r Hochverf gbarkeits anwendungen m Keine allgemeine Unterst tzung f r skalierbaren Zuwachs Neue Gesch ftsmodelle machen es erforderlich dass Unternehmen Ihre Informationsquellen in einem bisher undenkbaren Ma exponie ren Diese Unternehmen m ssen sich darauf verlassen k nnen dass sie den Zugriff auf diese Quellen sicher kontrollieren k nnen Version 3 8 Die Verwaltung von Policies und Benutzern in verteilten Netzen hat sich als schwere Aufgabe f r IT Manager IT Information Techno logy erwiesen insbesondere seit einzelne Anwendungs und System lieferanten eigene Berechtigungen implementieren In den Unternehmen erkennt man dass die Entwicklung neuer Berechtigungsservices f r jede Unternehmensanwendung ein Kost spieliger Prozess ist der in einer schwer zu verwaltenden Infrastruk tur resultiert Ein zentraler Berechtigungsservice auf den Entwickler ber eine standardisierte API zugreifen k nnte Zeitaufwand und Gesamtkosten betr chtlic
12. 22222eeeeeeeeeeeeen 55 Neues benutzerdefiniertes Containerobjekt erstellen 55 Objekte erstellen und l schen 2 22 2222200 ceeeeeeeee nenn 57 Kapitel 3 ACL Policies verwenden zr suu0u 59 Einf hrung in die ACL Policy 2 2 2 2oooeeneeeeeeeennnnen 60 ACL Policy Eintr ge 2422202000200 eei nenn 60 ACL Policies erstellen und benennen 22222 eeeeen 62 Syntax der ACL Eintr ge cori eons seen nennen een 63 Attnb tl Art eiee 22 02 ae 64 Attribut ID 04 42 20 a a enden 66 Attribut Berechtigungen Aktionen 2222 anaren 66 Policy Director Standardberechtigungen Aktionen 67 Wie der Berechtigungsservice ACL Policies verwendet 68 Operationen f r ein Objekt ausf hren 2222222 ccnen 68 Voraussetzungen f r angepasste Berechtigungen 69 Beispiel f r angepasste Berechtigung 2 2 eeeeen 70 Zugriffssteuerungsliste ACL auswerten 2 222 neeeeeenenennen 71 Authentifizierte Anforderungen auswerten 22222 71 Nicht authentifizierte Anforderungen auswerten 2 222222 72 Beispiel ACL Eintr ge concorri cerrasori cori rard eira rigis 73 Schlankes ACL Modell ACL bernahme nunnana nnana 73 Erl uterungen zum schlanken ACL Modell 22222 74 Die Standardstamm ACL Policy 2 222222 c see eeee een 74 Berechtigung Traveise oi su 0us 2ER Re es 75 Tivoli
13. LDAP berbr ckung 161 Protokolldateien 176 aktivieren und inaktivieren 177 Protokollieren bersicht 175 Tivoli SecureWay Policy Director Base Administratorhandbuch 257 xapuj Pr fen bersicht 175 Pr fereignis 180 Pr fprotokoll 180 Pr fprotokolldateien 176 180 R Registrierungsdatenbank 4 Replikation 24 Replikation der Berechtigungsdatenbank 145 Ressourcenmanager 15 Ressourcenobjekt 51 S Schlankes ACL Modell 73 sec_master Benutzer 115 Security Server 12 Server Start automatisieren 144 Server starten und stoppen 141 Serverprotokolldateien 177 Serverreplikation 147 Serverstatus 142 Servicenachrichten 178 Sicherheit allgemeine Hinweise 4 Policy implementieren 26 Sicherheitsmethoden und definitionen 3 Sicherungsstufe 4 7 Skalierbarkeit 4 9 24 Stamm ACL Standard 74 101 Standard WebSEAL ACL 102 Standardstamm ACL 74 101 Standardverwaltungs Policies 101 Starten und Stoppen des Servers 141 Status Server 142 Stellvertreterverwaltung ACL Berechtigungen f r Benutzer 128 ACL Berechtigungen f r Gruppen 126 258 Stellvertreterverwaltung Forts Gruppen und Benutzerverwaltung 120 Gruppen erstellen 124 Gruppencontainerobjekte 122 Objektbereichsverwaltung 114 Policy verwalten 129 Verwaltungsbenutzer und gruppen 115 Systemressource 27 50 T Traverse 86 Traverse Berechtigung 75 86 U berbr ckungskonfiguration 157 berlaufschwellenwert 181 bernahme 73 bernommene ACL Policy 30
14. Typ Wert Hierbei wird der Typ durch eine Objekt ID OID definiert und der Wert hat eine definierte Syntax Attribute k nnen ber einen Wert z B kann eine Person nur ein Geburtsdatum haben oder ber meh rere Werte eine Person kann mehrere Rufnummern haben verf gen Jeder Eintrag in einem LDAP Verzeichnis hat einen eindeutigen registrierten Namen Distinguished Name DN Das Verzeichnis schema definiert Regeln f r DNs und welche Attribute ein Eintrag enthalten muss Um die in Verzeichniseintr gen gespeicherten Infor mationen zu organisieren werden in dem Schema Objektklassen definiert Eine Objektklasse besteht aus verbindlichen und optionalen Attributen Tivoli SecureWay Policy Director Base Administratorhandbuch 155 USPUOMIOA Yuequajep sBun1a11s1 3y dVA1 Z Objektklassen k nnen von anderen Objektklassen bernommen wer den was eine einfache Erweiterungsmethode darstellt neue Objekt klassen k nnen z B definiert werden indem vorhandenen Objekt klassen lediglich neue Attribute hinzugef gt werden LDAP Merkmale Skalierbarkeit LDAP Verzeichnisse sind insbesondere wenn sie durch eine relatio nale Datenbank wie IBM SecureWay Directory gesichert werden in hohem Ma skalierbar Gro e Verzeichnisse mit Millionen von Ein tr gen sind bei gleichzeitig exzellenter Leistung m glich Aufgrund der allgemeinen Standardbasis ist die einfache Aufr st m glichkeit auf leistungsf higere Hardware und Sof
15. Version 3 8 Parameter Beschreibung sslI keyfile pwd Kennwort der SSL Schl sseldatei max search size Maximale Gr e des Suchpuffers die vom LDAP Server in Eintr gen zur ckgegeben wird ssl port Empfangsbereiter SSL Port f r LDAP bertragung auth using compare Ausw hlen ob Idap_compare anstelle des Aufrufs Idap_bind zum Authentifizieren von LDAP Benutzern verwendet wird Idap replica Die LDAP Benutzerregistrierungs datenbankreplikationen in der Dom ne definieren Zeilengruppe ssl ssl keyfile Position der SSL Schl sseldatei sslI keyfile pwd Kennwort zum Schutz privater Schl s sel in der Schl sseldatei ssl keyfile stash Position der SSL Kennwort Stash Datei ssl keyfile label Zu verwendender Kennsatz des Schl ssels nicht der Standardwert ssl v3 timeout Sitzungszeitlimit f r SSL v3 Verbin dungen ssl listening port TCP Port f r den Empfang eingehen der MTS Anforderungen ssl io inactivity timeout Bei einer SSL Verbindung der Zeit raum in Sekunden bis zur Zeitlimit berschreitung wenn auf eine Antwort gewartet wird ssl maximum worker threads Maximale Anzahl Threads die der Server zur Bearbeitung eingehender Anforderungen erstellt ssl pwd life Lebensdauer des SSL Kennworts in Tagen Tivoli SecureWay Policy Director Base Administratorhandbuch 247 Juo9 pjpeni
16. Vorteile 19 Boot Start ivacld 144 Boot Start ivmgrd 144 Tivoli SecureWay Policy Director Base Administratorhandbuch 255 xapuj C Containerobjekt 51 Management 52 benutzerdefiniert 53 WebSEAL 52 Control Berechtigung 91 D Default config ACL 103 Default GSO ACL 103 Default management ACL 103 Default Policy ACL 103 Default replica ACL 103 E Ereignisfeld ID Codes 190 Erweiterte Aktionen 81 Erweiterte Aktionsgruppen 81 Explizite ACL Policy 30 73 Externer Berechtigungsservice 41 F Feld ID Codes 190 Ferner Cache Modus 36 38 G Gesch tzter Objektbereich 4 27 49 benutzerdefinierte Objekte 28 gesch tztes Objekt 27 Richtlinien 80 Systemressource 27 Verwaltungsobjekte 27 Webobjekte 27 256 Gesch tztes Objekt 27 50 Gesicherte Dom ne 3 Gruppe 61 Gruppencontainerobjekte 122 GSKit 14 H Hauptberechtigungs Policy Datenbank 20 IBM Global Security Kit GSKit 14 IBM SecureWay Directory 157 Integrit t 3 iPlanet 157 iv admin Gruppe 116 ivmgrd log Beispiel 178 ivmgrd servers Gruppe 116 K Komponente zur zwingenden Anwendung der definierten Policy 15 Konfigurationsdateien 139 L LDAP neue Suffixe 163 berbr ckungskonfiguration 157 bersicht 152 ldap conf 159 LDAP berbr ckung Priorit tswerte 161 logaudit 181 Version 3 8 logflush Parameter 182 logsize Parameter 181 Lokaler Cache Modus 36 40 Management ACL Berechtigungen 90 Management Action Berechtigungen 92 Manag
17. Wenn der prim re Lese zugriffsserver ausf llt wird der Server mit dem n chsth heren Priorit tswert verwendet Verf gen mehrere Server ber denselben Priorit tswert wird durch einen Lastausgleichsalgorithmus bestimmt welcher ausgew hlt wird Denken Sie daran dass der LDAP Master Server als Server mit Lesezugriff und als Server mit Lese Schreibzugriff dienen kann F r den Lesezugriff verf gt der Master Server ber die fest codierte Priorit tseinstellung 5 Dadurch k nnen Sie f r die Replikations server einen h heren oder niedrigeren Wert als f r den Master ange ben um die erforderliche Leistung zu erzielen Mit den entsprechen den Priorit tseinstellungen k nnten Sie beispielsweise verhindern dass der Master Server t gliche Leseoperationen ausf hrt Sie k nnen hierarchische Priorit tswerte definieren um den Zugriff auf einen einzelnen LDAP Server zu gestatten mit berbr ckung zu den anderen Servern oder Sie k nnen gleiche Priorit ten f r alle Server definieren damit die Serverauswahl durch den Lastausgleich bestimmt wird Die folgende Tabelle illustriert einige m gliche Priorit tsszenarios M bedeutet LDAP Master Server Lesen Lesen Schreiben und RI R2 R3 gibt die LDAP Replikationsserver Lesen an Tivoli SecureWay Policy Director Base Administratorhandbuch 161 USPUSMIOA Yuequajep sBun1a1s1 ay dVA1 Z M R1 R2 R3 berbr ckungspriorit t 5 5 5 5 Alle Server haben denselb
18. Zeilengruppen m ldap Parameter Beschreibung Zeilengruppe ldap enabled Policy Director verwendet eine LDAP Benutzer registrierungsdatenbank G ltige Werte sind yes und no host Der Netzname der Maschine auf der sich der LDAP Master Server befindet port Der TCP Empfangs Port des LDAP Master Servers ssl port Der SSL Empfangs Port des LDAP Master Servers max search size Das Policy Director Limit f r eine LDAP Client Suche nach Datenbankeintr gen z B eine Anforderung an die Management Console Benutzer aus der LDAP Da tenbank aufzulisten replica LDAP Replikationsservereintrag Tivoli SecureWay Policy Director Base Administratorhandbuch 251 uov dep n zus19j04 A 252 Version 3 8 Referenz f r pd conf Konfigurationsdatei pd conf Zeilengruppen m pdrte m ssl m manager m ldap ext cred tags Parameter Beschreibung Zeilengruppe pdrte configured Gibt an ob das Paket PDRTE konfi guriert wurde user reg type Art der Benutzerregistrierungs datenbank Momentan wird nur LDAP unterst tzt user reg server Servername der Benutzer registrierungsdatenbank user reg host Host Name der Benutzerregistrierungs datenbank user reg hostport Server Port Nummer der Benutzer registrierungsdatenbank boot start ivmgrd Management Server pdmgrd beim Systemstart starten Tivoli SecureWay Policy D
19. am Standardisierungsprozess und durch Implementieren der Ergeb nisse in IBM SecureWay Directory Das wichtigste Standardisie rungsorgan f r LDAP ist die Internet Engineering Task Force IETF Version 3 8 in der Vertreter von IBM und andere wichtige industrielle F hrungs kr fte diese Aktivit ten aktiv unterst tzen Jede Organisation verwendet Verzeichnisse Die meisten modernen Betriebssysteme z B UNIX oder Windows 9x NT speichern z B Benutzerkontodaten entweder lokal oder auf Abteilungsservern Netz betriebssysteme z B NetWare Novell ben tigen ebenfalls Daten banken Abteilungen k nnen eine lokale Mitarbeiterdatenbank ver walten w hrend sich auf Unternehmensebene umfangreiche Perso naldatenbanken befinden Au erdem speichern Betriebssysteme gro e Datenmengen f r die Systemkonfiguration und andere Netzressour cen z B Drucker und Server Informationen werden h ufig ber mehrere Positionen verteilt gespei chert wodurch Verwaltung und Pflege unn tig erschwert werden Hauptursache daf r dass LDAP schnell so viel Interesse erregt hat ist die M glichkeit ein einzelnes auf Standards beruhendes Ver zeichnis f r verteilte Informationen zu erhalten Das LDAP Informationsmodell Das LDAP Informationsmodell beruht auf einem Teil des X 500 Informationsmodells Die Daten in einem LDAP Verzeichnis werden in Eintr gen gespeichert die Attribute enthalten Attribute werden mit folgendem Format eingegeben
20. aznapi configuration logsize berlaufschwellenwert der Protokolldatei f r Pr fprotokolle logflush H ufigkeit des zwangsweisen Schreibens in Protokolldateipuffer f r Pr fprotokolle logaudit Pr fung aktivieren bzw inaktivieren auditlog Position der Pr fprotokolldatei auditcfg azn Berechtigungsereignisse erfassen auditcfg authn Authentifizierungsereignisse erfassen auditefg mgmt Authentifizierungsereignisse erfassen Zeilengruppe aznapi entitle ment services Zeilengruppe aznapi pac se rvices Zeilengruppe aznapi cred modification services Zeilengruppe aznapi external authzn services Zeilengruppe delegated admin authorize group list Berechtigungspr fungen f r die Befehle group list und group list dn aktivieren bzw inaktivieren Version 3 8 Referenz f r ivacld conf Konfigurationsdatei ivacld conf f r den Policy Director Authoriza tion Server pdacld Zeilengruppen ivacld ldap ssl manager aznapi configuration aznapi pac services aznapi admin services authentication mechanisms aznapi entitlement services aznapi cred modification services Parameter Beschreibung Zeilengruppe ivacld tcp reg port TCP Empfangs Port f r eingehende Anforderungen pid file Position der PID Datei log file Position der Protokolldatei
21. d pun us1al j0oY0J 0A1d IRHANYLIIM S B Hinweise zum Debug Modus 1 Wenn Sie die Erfassung der Informationen zur Serveraktivit t abgeschlossen haben m ssen Sie darauf achten dass die normale Bedingung der Routing Datei wiederhergestellt wird Entfernen Sie den NOTICE Eintrag NOTICE generiert sehr viele Informa tionen die sich schnell ansammeln 2 Mit der Tastenkombination Strg c k nnen Sie einen Server prozess der im Debug Modus gestartet wurde unterbrechen Der Serverprozess wird korrekt abgeschlossen und beendet Policy Director Pr fprotokolldateien 180 Die Pr fung ist definiert als das Erfassen von Daten zu System aktivit ten die die sichere Verarbeitung des Policy Director Berechtigungsprozesses beeinflussen Jeder Policy Director Server kann Pr fereignisse erfassen sobald eine sicherheitsbezogene pr f bare Aktivit t auftritt Pr fereignisse werden als Pr fs tze gesichert die die spezifische Aktivit t dieses Server dokumentieren Jede gepr fte Aktivit t wird als Pr fereignis bezeichnet Eine Sammlung von Pr fereigniss tzen die in einer Datei gespeichert werden wird als Pr fprotokoll bezeichnet Jeder Policy Director Server verwaltet seine eigene Pr fprotokollda tei Der Policy Director Server enth lt Management Server pdmgrd Authorization Server pdacld WebSEAL webseald Benutzererstellte Anwendungen unter Verwendung von Authori zation ADK Siehe Handbuch Tivoli SecureWa
22. den Normalerweise ist dies eine ACL mit sehr wenig Einschr nkun gen Alle Objekte in dem untergeordneten Objektbereich bernehmen diese ACL Wenn ein Bereich oder eine untergeordnete Baumstruktur in dem Objektbereich andere Zugriffssteuerungseinschr nkungen erfordert ordnen Sie eine explizite ACL am Stamm Root dieser untergeord neten Baumstruktur zu Dadurch wird die Kette der bernommenen ACLs vom prim ren Stammobjektbereich zu dieser untergeordneten Baumstruktur unterbrochen An dieser neu erstellten expliziten ACL beginnt eine neue bernahmekette Die Standardstamm ACL Policy Policy Director startet die berpr fung der bernahme am Stamm Root des gesch tzten Objektbereichs Wenn Sie f r andere Objekte in der Baumstruktur ACLs nicht explizit definieren bernimmt die gesamte Baumstruktur diese Stamm ACL Am Stamm Root des gesch tzten Objektbereichs ist immer eine explizite ACL Policy definiert Ein Administrator kann diese ACL Version 3 8 Policy durch eine andere mit anderen Eintr gen und Berechtigungs einstellungen ersetzen Die Root ACL Policy kann jedoch nie voll st ndig entfernt werden Die Stamm ACL Policy wird w hrend der Policy Director Erst installation und konfiguration explizit definiert Zu den Kerneintr gen der Standardstamm ACL default root geh ren Gruppe iv admin Tcmdbva Beliebige andere T Nicht authentifiziert T Berechtigung Traverse Die Zugriffssteuerung von Policy D
23. gt eine Beschreibung f r die angegebene Gruppe hinzu durch die sie der IntraVers Administrator besser identifizieren kann Beispiel in einer Zeile eingegeben pdadmin gt group modify credit description Kredit Abt HCUS group modify lt Gruppenname gt add lt Benutzername gt F gt der angegebenen Gruppe einen neuen Benutzer hinzu Beispiel pdadmin gt group modify engineering add dlucas group modify lt Gruppenname gt remove lt Benutzername gt group delete lt Gruppenname gt L scht einen vorhandenen Benutzer aus der angegebe nen Gruppe Beispiel pdadmin gt group modify engineering remove dlucas L scht eine vorhandene Gruppe und alle Eintr ge die der Gruppe zugeordnet sind Beispiel pdadmin gt group delete engineering Version 3 8 Befehl Beschreibung group show lt Gruppenname gt Zeigt die Details zu einer angegebenen Gruppe an Bei spiel pdadmin gt group show credit Dieser Befehl hat etwa folgende Ausgabe Gruppen ID credit LDAP DN cn credit ou Austin o Wesley Inc c US Beschreibung Kredit Abt HCUS LDAP CN credit Ist SecGroup true group show dn lt DN gt Liefert den Gruppennamen f r den angegebenen regist rierten Namen Distinguished Name DN Beispiel in einer Zeile eingegeben pdadmin gt group show dn en credit ou Austin o Wesley Inc c US Dieser Befehl hat etwa folgende Ausgabe Gruppen ID credit LDAP DN cn cr
24. lt Kennwort gt lt Dateipfadname gt Hilfetext Geben Sie folgenden Befehl ein um eine Liste der verf gbaren Befehle aufzurufen pdadmin gt help lt Kategorie gt Tivoli SecureWay Policy Director Base Administratorhandbuch 199 umwpepd Iy3J9g AN ZU919j94 Y Befehlskategorien sind acl action object server rsrc rsrecred rsrc group admin login user group policy pop errtext Informationen zu spezifischer Befehlssyntax k nnen Sie mit folgen dem Befehl aufrufen pdadmin gt help lt Befehl gt Dienstprogramm pdadmin beenden Wenn Sie pdadmin beenden und zur Eingabeaufforderung zur ck kehren wollen geben Sie den Befehl exit oder quit ein Zum Bei spiel pdadmin gt exit Unzul ssige Sonderzeichen f r GSO Befehle Die folgenden Zeichen k nnen Sie f r die Erstellung eines GSO Benutzernamens eines GSO Ressourcennamens oder eines GSO Ressourcengruppennamens nicht verwenden 8 x 5 lt gt Diese Zeichen k nnen Sie zwar f r andere LDAP bezogene Policy Director Daten z B CN DN und SN eines Benutzers verwenden in der LDAP DN Syntax und bei den LDAP DN Filtern haben sie jedoch eine spezielle Bedeutung Bevor Sie eines dieser Zeichen in Policy Director Benutzer und Gruppennamen verwenden lesen Sie die Dokumentation zu Ihrem LDAP Server um die Auswirkung von Sonderzeichen in LDAP zu bestimmen Benennungseinschr nkungen f r GSO Ressourcen Ressourcen oder Ressourcenberechtigungs
25. 10 3911q IlOd Jsqn 1491S19QN L Unternehmensnetz sichern In vielen Unternehmen werden das ffentliche Internet und private Intranets inzwischen als effektive und unverzichtbare Medien f r die globale Kommunikation eingesetzt E Commerce oder e business ist in kurzer Zeit zu einer wesentlichen Komponente vieler Marketing strategien geworden Ausbildungseinrichtungen nutzen das Internet f r den Fernunterricht Mit Hilfe der Onlinedienste k nnen Einzel personen E Mails senden und die nahezu unersch pfliche Ressour cenquelle des World Wide Web nutzen Traditionelle Anwendungen wie z B TELNET und POP3 sind weiterhin als wichtige Netzser vices vorhanden In den Unternehmen setzt sich die Erkenntnis durch dass mit Hilfe der Internet Methoden Lieferkettenverbindungen verbessert die Zusammenarbeit mit Gesch ftspartnern erleichtert und die Kunden verbindungen verst rkt werden k nnen Voraussetzung hierf r ist jedoch dass Unternehmensressourcen mit einem hohen Ma an Sicherheit exponiert werden k nnen Unternehmen sind bereit das Internet als globales Handels und Vertriebsmedium einzusetzen wurden bisher jedoch durch den Mangel an erprobten Sicherheits strategien und Verwaltungssystemen daran gehindert Policy Director ist eine Verwaltungsl sung f r die Informations politik die Unternehmen zentrale Netzsicherheitsservices zur Verf gung stellt mit denen die Sicherheitsstrategie eines Unternehmens konsequent implem
26. 11q DI Od 9 6 Klicken Sie den entsprechenden Knopf Starten Beenden Start art auf der rechten Seite des Fensters 7 Damit ein Policy Director Server nicht automatisch durch den Dienst Autostart gestartet wird dr cken Sie den Knopf Start art um f r diesen Server Deaktiviert anzugeben Serverstart beim Systemstart automatisieren 144 Parameter zum Automatisieren des Serverstarts befinden sich in der Zeilengruppe pdrte der Konfigurationsdatei pd conf Management Server Wenn das Paket PDMgr installiert ist startet der Management Ser ver D mon pdmgrd automatisch nach jedem Neustart des Systems pdrte boot start ivmgrd yes Soll der automatische Start von pdmgrd verhindert werden geben Sie folgendes an boot start ivmgrd no Anmerkung Jede gesicherte Dom ne darf nur einen Management Server enthalten pdmgrd darf nicht auf mehreren Servern pro gesicherter Dom ne installiert und ausge f hrt werden Authorization Server Wenn das Paket PDAcld installiert ist startet der Authorization Ser ver D mon automatisch nach jedem Neustart des Systems pdrte boot start ivacld yes Soll der automatische Start von pdacld verhindert werden geben Sie folgendes an boot start ivacld no Version 3 8 Verwaltung des Management Servers pdmgrd Der Management Server verwaltet die Hauptberechtigungs Policy Datenbank und Adressinformationen zu anderen Policy Director Ser ver
27. 19V E 104 Version 3 8 Policies f r gesch tzte Objekte verwenden Der Policy Director Berechtigungsservice trifft Entscheidungen ber Zugriffsanforderungen f r gesch tzte Objekte in der gesicherten Dom ne Die Entscheidung kann anhand von zwei Policy Arten getroffen werden m ACL Policies ACL Access Control List Zugriffssteuerungs liste m POP Policies POP Protected Object Policies Policies f r gesch tzte Objekte Eine POP Policy dient dazu den durch die ACL Policy erlaubten Operationen zus tzliche Bedingungen aufzuerlegen Beispiele f r Zugriffsbedingungen m Berichtssatz im Pr fservice speichern m Zugriff auf einen bestimmten Zeitraum beschr nken In diesem Kapitel wird beschrieben wie POP Policies konfiguriert und auf Objekte angewendet werden Stichwortindex Tivoli SecureWay Policy Director Base Administratorhandbuch 105 u pu m a aplalqOo arz nyasa n sel91 0od y POP Policies Einf hrung ACL Policies stellen dem Berechtigungsservice Informationen zur Verf gung mit denen eine positive oder eine negative Entscheidung bez glich einer Zugriffsanforderung f r ein gesch tztes Objekt und f r die Ausf hrung von Operationen mit diesem Objekt getroffen werden kann POP Policies POP Protected Object Policies Policies f r ge sch tzte Objekte enthalten zus tzliche Bedingungen f r die Anforde rung die zusammen mit der positiven Entscheidung zur ACL Policy vom Ber
28. 1N ZU919j9H4 I 248 Parameter Beschreibung ssl cert life ssl auto refresh Lebensdauer des SSL Zertifikats in Tagen Automatische Aktualisierung des SSL Zertifikats und des Kennworts der Schl sseldatenbankdatei aktivieren bzw inaktivieren Bei einer Aktivie rung werden das Zertifikat und das Kennwort kurz vor dem Ablauf neu generiert ssl authn type Authentifizierungsart Zeilengruppe manager manager host Host Name des MTS Servers master port TCP Port an dem der Server empfangsbereit f r Anforderungen ist master dn Der vom MTS Server dargestellte und erwartete registrierte Name des Zertifi kats Zeilengruppe authentication mechanisms passwd uraf Bibliothek f r die Authentifizierung cert uraf Bibliothek f r die Authentifizierung passwd Idap Bibliothek f r die Authentifizierung cert Idap Bibliothek f r die Authentifizierung Zeilengruppe aznapi configuration logsize berlaufschwellenwert der Protokoll datei f r Pr fprotokolle logflush H ufigkeit des zwangsweisen Schrei bens in Protokolldateipuffer f r Pr fprotokolle logaudit Pr fung aktivieren bzw inaktivieren auditlog Position der Pr fprotokolldatei des lokalen Clients auditcfg azn Berechtigungsereignisse erfassen auditcfg authn Authentifizierungsereignisse erfassen Version 3 8 Parameter Bes
29. 20 03 26 232 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 727 0x00000001 Datenbank wird erstellt 2001 08 18 20 03 26 312 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 749 0x00000001 Client Benachrichtigungsfunktion initialisieren 2001 08 18 20 03 26 315 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 760 0x00000001 Lokalen Objekt Cache initialisieren 2001 08 18 20 03 26 728 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 825 0x00000001 Berechtigungsmanager initialisieren 2001 08 18 20 03 29 278 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 833 0x00000001 Client Berechtigung initialisieren 2001 08 18 20 03 31 341 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 863 0x00000001 Server Manager initialisieren 2001 08 18 20 03 31 345 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd cpp 872 0x00000001 Befehlssteuerroutine initialisieren cpp 937 0x000000012 799 00 00I 0x1354A0A0 pdmgrd NOTICE ivc general ivmgrd Server bereit pp 528 0x0000001335 377 00 00I 0x10652105 pdmgrd NOTICE bas mts mtsserver c Der Server ist an Port 7135 empfangsbereit Servicenachrichten Servicenachrichten werden durch die Routing Datei gesteuert UNIX opt PolicyDirector etc routing Windows lt Installationspfad gt etc routing 178 Version 3 8 Eintr ge in dieser Konfigurationsdatei legen die Art der Informatio nen die protokolliert werd
30. Administratorhandbuch 93 U9PUSOMAOA SOIIIOA 19V E Management Server Berechtigungen Mit dem Containerobjekt Management Server des gesch tzten Objektbereichs k nnen Administratoren Serververwaltungs Tasks ausf hren wenn entsprechende Berechtigungen definiert sind Mit Hilfe von Steuerelementen f r die Serververwaltung wird bestimmt ob ein Benutzer ber die Berechtigung zum Erstellen ndern oder L schen einer Serverdefinition verf gt Serverdefi nitionen enthalten Informationen mit denen andere Policy Director Server insbesondere der Management Server pdmgrd diesen Ser ver lokalisieren und mit ihm Daten austauschen k nnen Eine Serverdefinition wird w hrend des Installationsprozesses f r einen bestimmten Ressourcenmanager z B WebSEAL oder Autho rization Server pdacld erstellt Die Definition f r einen Server wird au erdem gel scht wenn der Server deinstalliert wird Operation Beschreibung s server Berechtigungsdatenbank replizieren server replicate v view Registrierte Server auflisten und Server eigenschaften anzeigen server list server show t trace Dynamischen Trace oder Statistikverwaltung akti vieren server task lt Servername gt trace server task lt Servername gt stats Management Config Berechtigungen Mit dem Containerobjekt Management Config des gesch tzten Objektbereichs k nnen Administratoren Konfigurationsverwaltungs Tasks ausf hren
31. Berechtigungsservice bietet folgende Vorteile Der Service ist anwendungsunabh ngig Der Service verwendet eine sprachunabh ngige Standard berechtigungscodierung die Berechtigungs API Der Service ist zentral und einfach verwaltet Wenn beispiels weise ein neuer Mitarbeiter hinzukommt muss nur die Berech tigungsdatenbank in einer Zentrale und nicht in mehreren Syste men ge ndert werden Der Service richtet sich an die Anwendung von Sicherheits services in einer heterogenen plattform bergreifenden Umge bung Der Service integriert vorhandene andere Berechtigungssysteme durch eine externe Berechtigungsservicef higkeit Der Service verf gt ber eine skalierbare und flexible Architek tur die auf einfache Weise in eine vorhandene Infrastruktur inte griert werden kann Der Service erm glicht mehrschichtige Berechtigung ein Berechtigungspaket kann durch die verschiedenen Schichten eines Anwendungsprozesses oder einer Transaktion geleitet wer den Der Service verwendet ein allgemeines und effektives Pr fungs modell Der Service ist unabh ngig von Authentifizierungsmethoden Tivoli SecureWay Policy Director Base Administratorhandbuch 19 10 3911q IlOd 13qN 1491S19QN L Policy Director Berechtigungsservice 20 Der Policy Director Berechtigungsservice ist verantwortlich f r die Berechtigungsentscheidungsfindung die die Durchf hrung einer Netzsicherheits Policy unterst tzt Durch den Berechtigung
32. Director Base Administratorhandbuch 113 us1a ajap syseL sBunyemian SG Stellvertreterverwaltung im Objektbereich Das Verteilen der Verwaltungszust ndigkeit innerhalb einer gesicher ten Dom ne wird als Stellvertreterverwaltung bezeichnet Die Stell vertreterverwaltung wird normalerweise durch wachsende Anforde rungen eines gro en Standorts mit vielen verschiedenen Unterneh mens und Ressourcenbereichen erforderlich In der Regel kann ein gro er Objektbereich in Bereiche unterteilt werden die diese Abteilungen oder Unternehmensbereiche darstellen Die einzelnen Bereiche der Dom ne werden normalerweise besser durch einen Manager organisiert und verwaltet der mit den Aufga ben und Anforderungen des betreffenden Bereichs vertraut ist In einer gesicherten Dom ne von Policy Director ist das Konto sec _master f r LDAP zun chst das einzige Konto mit Verwaltungs berechtigung Als sec_master k nnen Sie Verwaltungskonten erstel len und diesen Konten entsprechende Steuerelemente f r bestimmte Bereiche des Objektbereichs zuordnen Objektbereich f r die Stellvertreterverwaltung struktu rieren 114 Gliedern Sie Ihren Objektbereich in bestimmte Bereiche auf in denen untergeordnete Verwaltungsaktivit ten die speziell f r diesen Unterbereich gelten ausgef hrt werden k nnen In dem folgenden Beispiel ben tigen die beiden Bereiche Techni scher Server und Ver ffentlichungen des Objektbereichs separate Ver
33. Ein trags Gruppe aus der angegebenen ACL Policy Defini tion acl modify lt ACL Name gt remove unauthenticated Gestattet das Entfernen des ACL Eintrags Nicht authentifiziert aus der angegebenen ACL Policy Defini tion Tivoli SecureWay Policy Director Base Administratorhandbuch 201 umwpepd Iy3J9g AN ZU919J94 Y 202 Befehl Beschreibung acl modify lt ACL Name gt remove user lt Benutzername gt Gestattet das Entfernen eines vorhandenen ACL Ein trags Benutzer aus der angegebenen ACL Policy Defi nition acl modify lt ACL Name gt set any other lt Berechtigungen gt Gestattet das Erstellen und oder Editieren des ACL Ein trags Beliebige andere in der angegebenen ACL Policy Definition Beispiel pdadmin gt acl modify pubs set any other r acl modify lt ACL Name gt set description lt Beschreibung gt Gestattet das Erstellen und oder Editieren des Beschreibungsfelds das der angegebenen ACL Policy zugeordnet ist acl modify lt ACL Name gt set group lt Gruppenname gt lt Berechtigungen gt acl modify lt ACL Name gt set unauthenticated lt Berechtigungen gt Gestattet das Erstellen und oder Editieren des ACL Ein trags Gruppe in der angegebenen ACL Policy Defini tion Beispiel pdadmin gt acl modify pubs set group sales Tr Gestattet das Erstellen und oder Editieren des ACL Ein trags Nicht authentifiziert in de
34. IBM das IBM Logo Tivoli das Tivoli Logo AIX Policy Director und SecureWay sind in gewissen L ndern Marken oder eingetragene Marken der International Business Machines Corporation oder der Tivoli Systems Inc Microsoft Windows Windows NT und das Logo von Windows sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist in gewissen L ndern eine eingetragene Marke von The Open Group D is Java und alle Java basierten Marken sind in gewissen L ndern Marken der Sun AVA Microsystems Inc COMPANIE Andere Namen von Unternehmen Produkten und Dienstleistungen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein Bemerkungen Hinweise auf Produkte Programme und Dienstleistungen von Tivoli Systems oder IBM in dieser Ver f fentlichung bedeuten nicht dass Tivoli Systems oder IBM diese in allen L ndern in denen Tivoli Sys tems oder IBM vertreten ist anbietet Hinweise auf diese Produkte Programme oder Dienstleistungen bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von Tivoli Systems oder IBM ver wendet werden k nnen Anstelle der Produkte Programme oder Dienstleistungen von Tivoli Systems oder IBM k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder anderen Schutzrechte von Tivoli Systems oder der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme oder Dienstleistungen in Ver bindun
35. Lesezugriff f r Mitglieder der Gruppe Ver kauf vp erteilt die auch zur Gruppe Verkauf geh ren Anmerkung Dieses ACL Schema muss beim Hinzuf gen oder Ent fernen von Benutzern innerhalb der gesicherten Dom ne nicht ge ndert werden Neue Benutzer wer den einfach der den entsprechenden Gruppe n hin zugef gt Genauso k nnen Benutzer aus diesen Grup pen entfernt werden Tivoli SecureWay Policy Director Base Administratorhandbuch 79 U9PUSOMAOA SOIIIOA 19V E Gruppe iv admin WebSEAL Server Gruppe ivmgrd server www acme com Gruppe webseal server a Nicht authentifiziert Beliebige authentifizierte Produktion Abteilungen C Inventari D Gruppe iv admin abc Tdm Irx Gruppe ivmgrd server BERER TE or yakan Gruppe ivmgrd server g Tdm Irx Gruppe Verkauf um T irx staff html tele html president htmi manager html Anm Gruppe Verkauf enth lt Mitglieder der Gruppe Verkauf vp Gruppe iv admin abc Tdm Irx Gruppe ivmgrd server g Tdm Irx Gruppe Verkauf vp Tor Abbildung 21 ACL bernahmebeispiel Richtlinien f r einen gesch tzten Objektbereich m Definieren Sie eine Sicherheits Policy auf hoher Ebene f r Containerobjekte am Anfang des Objektbereichs Definieren Sie mit Hilfe von expliziten ACL Policies f r untergeordnete Objekte in der Hierarch
36. Objekte stellen benutzerdefinierte Tasks oder Netz ressourcen dar die durch Anwendungen mit Hilfe des Berechtigungsservice ber die Berechtigungs API gesch tzt werden Verwaltungs Web Benutzerdefinierte objekte objekte Objekte Abbildung 6 Gesch tzter Objektbereich von Policy Director Version 3 8 ACL und POP Policies definieren und anwenden Sicherheitsadministratoren sch tzen Systemressourcen durch Defini tion von Regel so genannte ACL und POP Policies und durch Anwenden dieser Policies auf die Objektdarstellungen dieser Res sourcen in dem Objektbereich Der Berechtigungsservice trifft Berechtigungsentscheidungen anhand der Policies die auf diese Objekte angewendet werden Wenn eine angeforderte Operation f r ein gesch tztes Objekt zugelassen wird implementiert die Anwendung die f r die Ressource verantwortlich ist diese Operation Eine Policy kann die Zugriffsschutzparameter von vielen Objekten festlegen Jede nderung wirkt sich auf alle Objekte denen die Schablone zugeordnet ist aus Tivoli SecureWay Policy Director Base Administratorhandbuch 29 10 3911q IlOd 13qN 1491S19QN L Explizite und bernommene Policy Policy kann explizit angewendet oder bernommen werden Der gesch tzte Objektbereich von Policy Director
37. Policy Verwaltungsbefehle Befehl Beschreibung name gt policy set max password age unsetl lt relative Zeit gt user lt Benutzer policy get max password age user lt Benutzername gt Verwaltet die Policy die die maximale Zeit bis zum Verfall und bis zu einer erforderlichen nderung des Kennworts steuert Die angegebene Zeit kann unbe grenzt oder eine in Tagen Stunden und Minuten aus gedr ckte relative Zeit sein Als Administrator k nnen Sie einen bestimmten Benutzernamen angeben oder die Policy global f r alle Benutzer in der Registrierungsdatenbank anwenden Das Argument relative Zeit ist die maximale Zeit in Tagen Stunden und Minuten mit folgendem Format TTT hh mm ss Beispiel 1 in einer Zeile eingegeben pdadmin gt policy set max password age 031 08 30 00 user dlucas Beispiel 2 pdadmin gt policy get max password age user dlucas Version 3 8 Befehl Beschreibung lt Benutzername gt policy get max pa policy set max password repeated chars lt Zahl gt lunset user ssword repeated chars user lt Benutzername gt Verwaltet die Policy die die maximal zul ssige Anzahl Zeichenwiederholungen in einem Kennwort steuert Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der Standardregistrierungsdatenbank anwenden Die Standardeinstellung ist 2 policy set min password a
38. Pr fprotokolldateien m Policy Director Serverpr fprotokolldateien Zentrale Verwaltung m Web Portal Manager m Befehlszeilendienstprogramm pdadmin Policy Director Komponenten Policy Director verf gt ber Software f r Client und Serversysteme Policy Director wird auf den Plattformen UNIX einschlie lich Sola ris AIX HP UX und Linux und Windows NT Windows 2000 unter st tzt 10 Version 3 8 Server Web Portal Manager und Befehlszeilendienstprogramm pdadmin Policy Director Serversystem Security Server Authentifizierung Benutzerregistrierungsdatenbank LDAP E Berechtigungsservice Zugriffssteuerung Management Server pdmgrd Client FT WebSEAL webseald Authorization Server pdacld Ey Berechtigungs API SSL f higer Verwaltungs API Browser IBM Global Security Kit SSL Implementierung Server Betriebssystem t ij Abbildung 1 Policy Director Komponenten Web Portal Manager Web Portal Manager ist eine webbasierte Grafikanwendung mit der die Sicherheits Policy f r die gesicherte Dom ne von Policy Director verwaltet wird Web Portal Manager stellt die Verwaltung von Benut zern Gruppen Berechtigungsklassen Policies und der Bereitstellung des Anwendungszugriffs zur Verf gung Web Portal Manager verf gt au erdem ber eine umfangreiche Gruppe von Stellv
39. Pr fungsstufenattribut Das POP Attribut Pr fungsstufe ersetzt die ACL Berechtigung A mit der in fr heren Versionen von Policy Director die Pr fung akti viert wurde Die POP Pr fungsstufe verf gt ber die zus tzliche F higkeit eine Pr fungsstufe anzugeben Wenn die Pr fung beispielsweise so definiert ist dass nicht erfolgrei che Ereignisse aufgezeichnet werden k nnen Sie mit Hilfe der Ergebnisse eine ungew hnliche Anzahl fehlgeschlagener Zugriffs versuche f r eine bestimmte Ressource feststellen Protokolleintr ge werden in einem XML Standardformat gespeichert das eine einfache Syntaxanalyse zum Extrahieren der erforderlichen Informationen gestattet Version 3 8 pdadmin gt pop modify lt POP Name gt set audit level all none lt Pr fungsstufenliste gt Pr fungsstufenliste Wert Beschreibung permit Alle Anforderungen f r ein gesch tztes Objekt mit erfolg reichem Zugriff pr fen deny Alle Anforderungen f r ein gesch tztes Objekt mit Zugriffsverweigerung pr fen error Alle intern generierten Fehlernachrichten die aus einer Zugriffsverweigerung f r das gesch tzte Objekt resultie ren pr fen Sie k nnen eine beliebige Kombination dieser drei Werte anwenden Wenn Sie mehrere Werte angeben m ssen Sie ein Komma als Trennzeichen verwenden Zum Beispiel pdadmin gt pop modify test set audit level permit deny Zugriffszeitattribut Das POP Attribut Zug
40. Replica 160 A ACL 3 31 Anforderung aufl sen 77 angepasste Berechtigungen 69 Attribut Art 64 Attribut Berechtigungen 66 Attribut ID 66 auf neue LDAP Suffixe anwenden 163 Auswertung 71 Beispiel f r angepasste Berechtigungen 70 Berechtigung control 91 Eintr ge 60 Eintragssyntax 63 erstellen 62 erweiterte Aktionen 81 erweiterte Aktionsgruppen 81 Operationen f r ein Objekt 68 Standardstamm 101 Standardverwaltungs Policies 101 Traverse 75 86 bernahme 73 Verwaltungsberechtigungen 89 WebSEAL Berechtigungen 87 ACL Anforderung aufl sen 77 ACL Berechtigungen 67 ACL Policies definieren 29 Aktion in ACL Eintr ge eingeben 84 Aktion neue erstellen 83 Aktionen 67 Aktionsgruppe neue erstellen 83 Aktualisierungsbenachrichtigungs Threads 147 auditcfg Parameter 183 auditlog Parameter 181 Auswertung einer ACL 71 Authentifizierung 3 7 Authorization Server 14 135 auto database update notify 146 B Beliebige andere 64 72 Benachrichtigungsverz gerungszeit 148 Benutzer 61 Benutzerdefinierte Objekte 28 Benutzerdefinierter Objektbereich 54 neuen erstellen 55 Berechtigung 3 7 14 Berechtigungen 67 angepasste 69 Beispiel f r angepasste 70 Berechtigungs API 13 35 Berechtigungs API Standard 6 Berechtigungs Policy Datenbank 20 Berechtigungsauswertungsprogramm 21 Berechtigungsdatenbank Replikation 145 Berechtigungsmodell 14 Berechtigungsprozess 34 Berechtigungsservice 16 18 20 Berechtigungs APl 23 Verwaltungsschnittstelle 22
41. Schriftbildkonventionen Dieses Handbuch verwendet mehrere Schriftbildkonventionen f r spezielle Begriffe und Aktionen Diese Konventionen haben folgende Bedeutung Fett Befehlsnamen und Optionen Schl sselw rter und andere Informationen die w rtlich verwendet werden m ssen werden fett angezeigt Kursiv Variablen Befehlsargumente und Werte die Sie angeben m ssen werden kursiv angezeigt Titel von Ver ffentlichun gen und spezielle W rter oder Phrasen die hervorgehoben werden erscheinen ebenfalls kursiv Monospace Codebeispiele Befehlszeilen Bildschirmausgaben und Schrift Systemnachrichten werden in Monospace Schrift ange zeigt Zugeh rige Policy Director Dokumente In der folgenden Tabelle sind einige der verf gbaren Policy Director Ver ffentlichungen aufgef hrt die sich auf der Support Site von Tivoli SecureWay Policy Director befinden Tivoli SecureWay Policy Director Technische Dokumente Installationshandb cher Tivoli SecureWay Policy Director Base Installation Guide Tivoli SecureWay Policy Director WebSEAL Installationshandbuch Administratorhandb cher Tivoli SecureWay Policy Director Base Administratorhandbuch dieses Dokument Tivoli SecureWay Policy Director WebSEAL Administratorhandbuch Tivoli SecureWay Policy Director Plug in for Edge Server Administrator handbuch Tivoli SecureWay Policy Director Web Portal Manager Administrator handbuch Tivoli
42. Standardsyntax Als Pr fadministrator wird von Ihnen erwartet dass Sie Ereignisse nach Ihren eigenen Kriterien ausw hlen und extrahieren Hierzu kann auch das erneute Formatieren jedes Ereignisses geh ren wobei eine entsprechende DTD Document Type Definition Dokumentart definition oder ein entsprechendes Schema f r das von Ihnen ver wendete Analyse Tool angewendet wird DTD ist ein Zwischenfor mat das eine Beschreibung der Daten die erfasst werden k nnen zur Verf gung stellt Der folgende Abschnitt zeigt einen DTD Vorschlag lt audit_event dtd gt lt ELEMENT event date outcome originator accessor target data gt lt ATTLIST event rev CDATA 1 1 link CDATA IMPLIED gt lt ELEMENT date PCDATA gt lt ELEMENT outcome PCDATA gt lt ATTLIST outcome status CDATA IMPLIED gt Version 3 8 lt ELEMENT originator component event location gt lt ATTLIST originator blade CDATA REQUIRED gt lt ELEMENT component rev CDATA 1 0 gt lt ELEMENT action PCDATA gt lt ELEMENT location PCDATA gt lt ELEMENT accessor principalx gt lt ATTLIST accessor name CDATA REQUIRED gt lt ELEMENT principal PCDATA gt lt ATTLIST principal auth CDATA REQUIRED gt lt ELEMENT target object process azn gt lt ATTLIST target resource CDATA REQUIRED gt lt ELEMENT object PCDATA gt lt ELEMENT process pid rid eid uid gid gt lt ATTLIST process architecture u
43. Zeitspezifikation gt gt utellocal G ltige Werte f r die Variable Tagesliste sind Mon Die Mit Don Fre Sam Son Die Bereichs variable Zeitspezifikation muss wie folgt ausgedr ckt werden hhmm Zum Beispiel 0700 1945 Die optionale Zeitzone ist standardm ig lokal pop modify lt POP Name gt set warning onloff Warnungsanzeiger der POP Policy ndern pop show lt POP Name gt Details der POP Policy anzeigen Tivoli SecureWay Policy Director Base Administratorhandbuch 211 umwpepd Iy3J9g AN ZU919j94 Y 212 Erweiterte Attribute f r POP Policies verwalten Befehl Beschreibung pop list lt POP Name gt attribute pop modify lt POP Name gt delete attribute lt Attributname gt Listet alle erweiterten Attribute auf die einer POP Policy zugeordnet sind Entfernt das angegebene erweiterte Attribut und alle zugeh rigen Werte aus der angegebenen POP Policy wert gt pop modify lt POP Name gt delete attribute lt Attributname gt lt Attribut Entfernt den angegebenen Wert aus dem erweiterten Attribut das der angegebenen POP Policy zugeordnet ist pop modify lt POP Name gt set attribute lt Attributname gt lt Attributwert gt F gt das erweiterte Attribut und seinen Wert einer POP Policy hinzu pop show lt POP Name gt attribute lt Attributname gt Details bestimmter POP Attribute anzeigen
44. aktivie ren notifier wait time Inaktivit tszeit in Sekunden der Berechtigungs Policy Datenbank bevor die Datenbankreplikationen eine Benachrichti gung erhalten pid file log file Position der PID Datei Position der Protokolldatei ca cert download enabled Clients das Herunterladen des Root CA Zer tifikats gestatten Zeilengruppe ldap Idap server config Position der Konfigurationsdatei Idap conf prefer readwrite server Die Auswahlm glichkeit des Clients den LDAP Server mit Lese Schreibzugriff vor der Abfrage von Replikationsservern mit Lesezugriff die in der Dom ne konfiguriert sind abzufragen aktivieren bzw inaktivieren bind dn Der beim Binden an den LDAP Server ver wendete LDAP Benutzer DN bind pwd Das LDAP Benutzerkennwort ssl enabled ssl keyfile SSL bertragung mit dem LDAP Server aktivieren bzw inaktivieren Position der SSL Schl sseldatei mit der Zer tifikate f r die LDAP bertragung bearbeitet werden Version 3 8 Parameter Beschreibung ssl keyfile dn Zertifikatkennsatz in der SSL Schl sseldatei sslI keyfile pwd Kennwort der SSL Schl sseldatei auth using compare Ausw hlen ob Idap_compare anstelle des Aufrufs Idap_bind zum Authentifizieren von LDAP Benutzern verwendet wird Zeilengruppe ssl ssl keyfile Position der SSL Schl sseldatei sslI keyfile pwd Kennwort zu
45. anderer Hersteller K nnen Aufrufe an den Berechti gungsservice ber die Berechtigungs API durchf hren Version 3 8 F r die Integration einer Anwendung eines anderen Herstellers in den Berechtigungsservice sind zwei Schritte erforderlich m Den Objektbereich der Anwendung definieren m Berechtigungen f r Objekte Ressourcen die gesch tzt werden m ssen anwenden Der Administrator eines Objektbereichs einer Anwendung eines anderen Herstellers kann mit Hilfe des Dienstprogramms pdadmin neue Berechtigungen und Aktionen definieren Der Administrator muss ber die Management Action Berechtigungen m und d zum Erstellen und L schen dieser Berechtigungen Aktionen verf gen Management POP Berechtigungen Mit diesem Objekt k nnen Verwaltungsbenutzer gesch tzte Objekt Policies verwalten Alle Berechtigungen m ssen in Eintr gen f r Zugriffssteuerungslisten in Management POP erscheinen Aktions Tasks und zugeh rige Berechtigungen Operation Beschreibung a attach Eine POP einem Objekt zuordnen pop attach pop detach d delete Eine POP l schen pop delete m modify POPs erstellen und POP Attribute ndern pop create pop modify v view POPs suchen und auflisten und POP Details anzeigen pop find pop list pop show B Bypass TOD Eine Verwaltungsberechtigung die das POP At tribut TOD Time of Day Uhrzeit f r ein Objekt berschreibt Tivoli SecureWay Policy Director Base
46. ausf hrbares Programm Verzeichnis Junction WebSEAL Server nicht verwendet nicht verwendet oa rund do 11 12 13 14 15 16 17 9 HTTP Server 10 nicht vorhandenes Objekt Containerobjekt Blattobjekt Port Anwendungscontainerobjekt Anwendungsblattobjekt Verwaltungsobjekt nicht verwendet Die Kategorie Art verwendet Web Portal Manager nur zum Anzei gen eines entsprechenden Symbols mit dem Objekt Bei der Erstellung eines Objekts muss eine Art angegeben werden Sie k nnen eine entsprechende Kategorie ausw hlen oder die Art 0 f r unbekannt verwenden Zum Beispiel pdadmin gt objectspace create Test Space Neuer Objektbereich 14 pdadmin gt objectspace list WebSEAL Management Management Users Management Groups Test Space Verwaltungshinweise m F r jede Anwendung eines anderen Herstellers sollte ein separa ter Objektbereich erstellt werden m Sie m ssen den neuen Objektbereich definieren bevor Sie Objekte hinzuf gen k nnen m F r den Stamm des Objektbereichs der gleichzeitig mit der Definition des Objektbereichs erstellt wird wird automatisch das Attribut ispolicyattachable festgelegt Version 3 8 Objekte erstellen und l schen Sobald ein Objektbereich erstellt worden ist k nnen Sie ihn mit Objekten ausf llen Verwenden Sie zum Verwalten von benutzerdefinierten Objekten den Befehl pdadmin objects pdadmin gt object crea
47. den Ereignisbenachrichtigungs Thread Pool lautet ivmgrd max notifier threads 10 Siehe auch W Benachrichtisunssverz serunsszeit definiere Benachrichtigungsverz gerungszeit definieren Wenn der Verwaltungsserver eine Anweisung f r eine nderung der Hauptberechtigungsdatenbank erh lt verz gert er das Senden der Benachrichtigungen an Datenbankreplikationen ber einen Stan dardzeitraum Die Standardverz gerungszeit ist auf 15 Sekunden festgelegt Diese Zeitverz gerung wird mit jeder nachfolgenden nderung der Datenbank zur ckgesetzt Die zeitliche Verz gerung soll verhindern dass der Verwaltungs server einzelne Replikationsbenachrichtigungen f r jede nderung in einer Reihe von Datenbank nderungen sendet Die zeitliche Verz ge rung unterst tzt die Gew hrleistung einer optimalen Leistung des Policy Director Systems 148 Version 3 8 Tivoli SecureWay Policy Director Base Administratorhandbuch Diese Funktion ist besonders wichtig in Umgebungen in denen Stapelverarbeitungs nderungen in der Berechtigungsdatenbank vorge nommen werden Hierbei ist es effektiver Policy nderungen erst dann an Datenbankreplikationen zu senden wenn alle nderungen abgeschlossen sind Sie k nnen diesen Standardwert der Benachrichtigungszeitverz ge rung berschreiben indem Sie den Wert des Parameters notifier wait time in Sekunden ndern Dieser Parameter befindet sich in der Zeilengruppe ivmgrd der Konfigurationsdate
48. die Gruppe aus dem Objektbereich aber nicht LDAP gel scht und dann an eine neue Position importiert wird Benutzer in der Gruppe bleiben erhalten Zum Beispiel pdadmin gt group create groupl cn travel c us Groupl Travel pdadmin gt group create group2 cn travel c us Group2 Travel Management Management Groups Management Groups Travel Management Groups Travel group1 Management Groups Travel group2 Abbildung 27 Neue Gruppen unter einem bestimmten Gruppencontainer erstellen Tivoli SecureWay Policy Director Base Administratorhandbuch 125 us1a ajap syseL sBunyemuan S ACL Policies die die Gruppenverwaltung betreffen Die Berechtigung zum Steuern einer Benutzergruppe erhalten Sie durch Zuordnen einer entsprechenden Zugriffssteuerungsliste ACL zum Gruppenobjekt oder Gruppencontainerobjekt Die ACL die durch einen bergeordneten Systemadministrator erstellt und zugeordnet wird sollte die entsprechenden Berechtigun gen f r die Aktionen die der Stellvertreteradministrator der Grup pe n ausf hren muss enthalten Wenn sich die Gruppe unter dem Abschnitt Management Groups des Objektbereichs befindet muss die ACL Management Groups oder der Gruppe selbst zugeordnet werden Wenn sich die Gruppe unter dem Gruppencontainerobjekt befindet muss die ACL dem Gruppencontainerobjekt oder der Gruppe selbst zugeordnet werden Wenn Sie die ACL
49. die von einem Benutzer angeforderten Operationen definiert werden Beispielsweise kann ein externer Berechtigungsservice ausgel st werden wenn ein Benutzer eine Schreiboperation f r eine gesch tzte Ressource anfordert aber nicht bei anderen Operationen Dann ist es m g lich Operationsgruppen zu entwickeln f r die ein externer Berechtigungsservice oder eine Kombination mehrerer externer Berechtigungsservices gem der angeforderten Operations gruppe ausgel st wird Die externen Berechtigungsservices werden als DLL Module DLL Dynamically Loadable Library implementiert Dadurch wird die Entwicklung des externen Berechtigungsservice sehr vereinfacht Es sind keine Anforderungen an einen fernen exter nen Berechtigungsservice erforderlich und der Systemaufwand f r den Aufruf entspricht dem Systemaufwand f r einen Funk tionsaufruf Die Kombination aus Berechtigungs API und externem Berechtigungsservice bietet eine in h chstem Ma erweiterbare und flexible L sung f r die Implementierung einer komplexen Sicherheits Policy Version 3 8 Gesch tzten Objektbereich ver walten Eine gesicherte Dom ne von Policy Director enth lt physische Res sourcen die normalerweise einen bestimmten Schutz ben tigen Zu den Ressourcen geh ren Dateien Verzeichnisse und Druckerservices Policy Director verwendet eine virtuelle Darstellung dieser Ressour cen die als gesch tzter Objektbereich bezeichnet wird Ressourcen k nnen ge
50. eine positive Antwort aus wenn die Berechtigung p vorhanden ist und die Druckoperation wird fortgesetzt Findet der Berechtigungsservice keine Berechtigung p f r den betreffenden Benutzer kann die Druckoperation nicht fortge setzt werden Kann ich diesen Spool A Drucker verwenden Service P Berechtigungs a f r Ik service Policy Drucker JA Datenbank Abbildung 19 Angepasste Berechtigung f r Druck Spooler Drucker ACL Benutzer michael p Version 3 8 Zugriffssteuerungsliste ACL auswerten Policy Director bestimmt die Berechtigungen die einem bestimmten Benutzer durch eine Zugriffssteuerungsliste ACL erteilt wurden mit Hilfe eines spezifischen Pr fprozesses Wenn Sie diesen Prozess verstehen k nnen Sie bestimmen wie Sie den unerw nschten Zugriff bestimmter Benutzer auf Ressourcen verhindern k nnen Authentifizierte Anforderungen auswerten Policy Director pr ft die Anforderung eines authentifizierten Benut zers in der folgenden Reihenfolge 1 Vergleich der Benutzer ID mit den Benutzereintr gen der Zugriffssteuerungsliste Die erteilten Berechtigungen sind in dem bereinstimmenden Eintrag bereinstimmung Die Pr fung stoppt hier Keine bereinstim mung Weiter mit dem n chsten Schritt 2 Bestimmung der Gruppe n zu der denen der Benutzer geh rt und Vergleich mit den Gruppeneintr gen der Zugriffssteuerungs liste Stimme
51. en ee I Berechtigungs Funktionsaufruf l service I l l I I Feink rniger l I berechtigter l O Anforderung Web Zugriff Von CGI en Web SEAL IP anwendung gt bearbeitete Objekte Client l l Abbildung 11 Beispielverwendung der Berechtigungs API Berechtigungs API Ferner Cache Modus Im fernen Cache Modus verwenden Anwendungen die Funktionsauf rufe die die Berechtigungs API zur Verf gung stellt um mit dem fernen Authorization Server pdacld zu kommunizieren Der Authorization Server fungiert als Auswertungsprogramm f r die Berechtigungsentscheidungsfindung und verwaltet eine eigene Repli kation Kopie der Berechtigungs Policy Datenbank Der Authorization Server trifft eine Entscheidung und gibt ber die API eine Empfehlung an die Anwendung zur ck Der Server kann auch einen Protokolleintrag schreiben der die Details der Berechti gungsentscheidungsanforderung enth lt Version 3 8 In der gesicherten Dom ne muss ein Berechtigungsserver aktiv sein Der Authorization Server kann sich auf derselben Maschine wie die Anwendung oder auf einer anderen Maschine befinden Sie K nnen den Authorization Server auch auf mehreren Maschinen in einer gesicherten Dom ne installieren um eine hohe Verf gbarkeit zu erreichen Die Berechtigungs API f hrt eine transparente berbr ckung durch wenn ein bestimmter Authorization Server ausf llt Berechtigungsservice Management Server pdmgra be
52. f r eine bestimmte Gruppe und die Benutzer in dieser Gruppe besitzt m Die Stufe der Gruppen und Benutzersteuerung die dieser Admi nistrator erh lt In diesen Erl uterungen bezieht sich der Begriff Administrator auf die Zust ndigkeiten und Steuerelemente die ein ansonsten normaler Benutzer erh lt Ein Administrator mit Stellvertreterpflichten ist ein normaler Benutzer mit zus tzlichen M glichkeiten bestimmte Ver waltungs Tasks auszuf hren Das Definieren einer Stellvertretergruppenverwaltung erfordert fol gende Bedingungen 1 Festlegen einer logischen und praktischen Hierarchie der Benut zer und Benutzerarten die zur gesicherten Dom ne geh ren 2 Erstellen von Gruppencontainerobjekten die diese Hierarchie widerspiegeln 3 Erstellen entsprechender Gruppen innerhalb dieser Container objekte 4 Strategisches Zuordnen von ACL Policies die den Administrator benutzereintrag enthalten 5 Zuordnen der spezifischen Berechtigungen die f r die Ausf h rung der erforderlichen Tasks ben tigt werden zu diesem Administratorbenutzereintrag Tivoli SecureWay Policy Director Base Administratorhandbuch 121 us1a ajap syseL sBunyemian S Gruppencontainerobjekte erstellen Der Bereich Management des Policy Director Objektbereichs ver f gt standardm ig ber ein Containerobjekt Groups mit dem Sie die Hierarchie der Gruppen in Ihrer gesicherten Dom ne aufbauen k nnen Containerobjekte sind Strukt
53. fung die in POP Einstellungen aktiviert ist aznapi configuration auditcfg authn Die folgenden Einstellungen aktivieren WebSEAL HTTP Anforde rungs und Berechtigungspr fung inaktivieren jedoch alle anderen Pr fkategorien f r den WebSEAL Server aznapi configuration auditcfg http auditcfg authn Wenn die Pr fung f r einen Prozess ohne konfigurierte Pr fbefehle aktiviert ist werden standardm ig alle pr fbaren Ereignisse erfasst Die folgende Tabelle zeigt die Pr fereignisse gekennzeichnet durch den Pr fbefehl die f r jeden spezifischen Policy Director Server erfasst werden k nnen Tivoli SecureWay Policy Director Base Administratorhandbuch 183 u j n d pun u 1 1 040 01d IEHANYLIAM S B Pr fbefehl webseald pdmgrd pdacld authadk authn X X X X azn X X X X mgmt X http X Pr fprotokolldateiformat 184 Pr fereignisse werden im Pr fprotokoll in einem Standardformat mit Hilfe von Befehlen im XML Stil erfasst Auch wenn XML nur ein Zwischenschritt bei der Ausgabe einer Pr sentationssicht der Daten ist hat die XML Datei ein ASCII Format und kann direkt gelesen oder zur weiteren Analyse an andere externe Syntaxanalysekom ponenten bermittelt werden Ein vollst ndiges Pr fprotokoll stellt kein einzelnes XML Dokument dar Jedes Pr fereignis in der Datei wird als isolierter XML Daten block geschrieben Jeder Datenblock entspricht den Regeln der XML
54. policy set password spaces yeslnolunset user lt Benutzername gt policy get password spaces user lt Benutzername gt Verwaltet die Policy die steuert ob ein Kennwort Leerzeichen enthalten darf Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der Standardregistrierungs datenbank anwenden Die Standardeinstellung ist nicht definiert Version 3 8 Referenz f r ivmgrd conf Konfigurationsdatei ivmgrd conf f r den Policy Director Manage ment Server pdmgrd Zeilengruppen ivmgrd ldap ssl authentication mechanisms object spaces aznapi configuration aznapi entitlement services aznapi pac services aznapi cred modification services aznapi external authzn services delegated admin Tivoli SecureWay Policy Director Base Administratorhandbuch 241 juo9 p uun 1n ZU919Jj9H4 g 242 Parameter Beschreibung Zeilengruppe ivmrgd unix user UNIX Benutzerkonto f r diesen Server unix group UNIX Gruppenkonto f r diesen Server database path Position der Hauptberechtigungsdatenbank tcp req port TCP Empfangs Port f r eingehende Anforde rungen max notifier threads Maximale Anzahl der Ereignisbenachrichtigungs Threads auto database update notify Automatische oder manuelle Aktualisierungs benachrichtigung f r Berechtigungsdatenbankreplikationen
55. registrierte LDAP Name der der erstellten Zugriffsgruppe zugeordnet wird Beispiel cn credit ou Austin o Wesley Inc c US Das Argument CN ist der allgemeine Name der der Gruppe zugeordnet wird Beispiel Kredit Das optionale Argument Gruppencontainerobjekt ord net die Gruppe dem angegebenen Gruppencontainer zu Wenn Sie dieses Argument nicht verwenden wird die Gruppe standardm ig in den Objektbereich unter Management Groups gestellt Beispiel in einer Zeile eingegeben pdadmin gt group create credit en scredit ou Austin o Wesley Inc c US Credit Tivoli SecureWay Policy Director Base Administratorhandbuch 223 umwpepd Iy3J9g AN ZU919j94 Y 224 Befehl Beschreibung group import lt Gruppenname gt lt DN gt Gruppencontainerobjekt Importiert die Informationen zu einer vorhandenen LDAP Registrierungsdatenbankgruppe um eine Policy Director Gruppe zu erstellen Die Gruppe muss in der LDAP Registrierungsdatenbank bereits vorhanden sein bevor Sie die Informationen importieren und eine Policy Director Gruppe erstellen k nnen Der Name der erstell ten Gruppe muss in dem Objektbereich eindeutig sein Wird kein Gruppencontainerobjekt angegeben wird die Gruppe in Management Groups aufgenommen Beispiel in einer Zeile eingegeben pdadmin gt group import engineering cn engineering ou Austin o Wesley Inc c US group modify lt Gruppenname gt description lt Beschreibung gt F
56. tivoli com support documents Klicken Sie auf Master Index um nach produktspezifischen Unterst tzungsseiten zu suchen Technische Policy Director Dokumentation nach Produktversion kann mit Hilfe folgender Adresse aufgerufen werden https www tivoli com secure support Prodman html AB html Security F r einige Produkte ist die Dokumentation im PDF und HTML Format verf gbar bersetzte Dokumente stehen f r einige Produkte ebenfalls zur Verf gung F r den Zugriff auf die meisten Dokumentationen ben tigen Sie eine ID und ein Kennwort Rufen Sie http www tivoli com support getting auf um eine ID zur Verwen dung auf der Unterst tzungs Website zu erhalten Wiederverk ufer sollten unter http www tivoli com support smb index html die zus tzlichen Informationen bez glich des Anforderns technischer Tivoli Doku mentation und Unterst tzung lesen Gesch ftspartner sollten den Abschnitt k enta estelle en im Vorwort lesen Dieser Abschnitt enth lt weitere Informationen ber das Bestellen von technischer Tivoli Dokumen tation Dokumentation bestellen Tivoli Dokumentation kann online unter bestellt werden Tivoli SecureWay Policy Director Base Administratorhandbuch xvii R ckmeldung ber Produktdokumentation Wir sind sehr daran interessiert Ihre Meinung ber Tivoli Produkte und Dokumentation zu h ren und wir freuen uns ber Verbesse rungsvorschl ge Wenn Sie Kommentare oder Vorschl ge haben die un
57. unterst tzt die ber nahme von ACL und POP Policy Attributen Diese Tatsache ist f r den Sicherheitsadministrator der den Objektbereich verwaltet von gro er Bedeutung Der Administrator muss explizite Policies nur an den Punkten in der Hierarchie anwenden an denen sich die Regeln ndern m ssen Explizite Regel bernommene Regel lt N Verwaltungs Web Benutzerdefinierte objekte objekte Objekte Abbildung 7 Explizite und bernommene Policies Beispiele f r Policy Arten m Fest codierte Regeln m Externe Berechtigungsf higkeit m Spezielle gesicherte Kennzeichnung Zugriffssteuerungslisten ACLs Version 3 8 Zugriffssteuerungsliste ACL Eine ACL Policy ACL Access Control List Zugriffssteuerungs liste besteht aus einer Gruppe von Steuerangaben Berechtigungen die die Bedingungen angeben die zum Ausf hren bestimmter Opera tionen f r eine Ressource erforderlich sind ACL Policy Definitionen sind wichtige Bestandteile der Sicherheits Policy f r die gesicherte Dom ne ACL Policies dr cken den im gesch tzten Objektbereich dargestellten Ressourcen die Sicherheitsstandards einer Organisation auf Eine ACL Policy steuert folgendes 1 Welche Operationen f r eine Ressource ausgef hrt werden k n nen 2 Wer diese O
58. users lt ACL customers users admin Die ACL sales admin dient zur Verwaltung der Zugeh rigkeit zur Gruppe sales die wiederum den Zugriff auf den Abschnitt des Webbereichs steuert der den Vertriebsmitarbeitern vorbehalten ist Nur die Berechtigung der Gruppe sales admin zum Hinzuf gen und Entfernen von Benutzern in dieser Gruppe ist erforderlich Au erdem ist die Berechtigung view v n tzlich f r Administrato ren damit sie die Gruppenzugeh rigkeit und die Benutzer in der Gruppe anzeigen k nnen sales admin Gruppe super admin Tabc Gruppe admin TAv Die ACL sales users admin steuert durch die Zuordnung zur Gruppe sales users wer Benutzer verwalten kann die zur Gruppe sales users geh ren das ist wieder die Gruppe sales admin sales users admin Gruppe super admin Tabc Gruppe admin TNWdmv 132 Version 3 8 Tivoli SecureWay Policy Director Base Administratorhandbuch hnlich dient die ACL customers admin zur Verwaltung der Zuge h rigkeit zur Gruppe customers die wiederum den Zugriff auf den Abschnitt des Webbereichs steuert der den Kunden vorbehalten ist customers admin Gruppe super admin Tabc Gruppe sales TAv Die ACL customers users admin steuert durch die Zuordnung zur Gruppe customers users wer die Mitglieder der Gruppe customers users verwalten kann das ist wieder die Gruppe sales Auch die Mitglieder der Gruppe sales admin d rfen Kunden verwalten customers users admin Grup
59. vorhanden und andere sicherheitsrelevante Identit tsattribute beschreiben Verschl sselung Die Umwandlung von elektronischen Daten in einen Geheimcode der die Daten vor unberechtigtem Einblick sch tzt Die Verschl sselung vereinfacht die als Zugriffscode bezeichnete Sicherheitsbedingung Integrit t Die Bedingung dass elektronische Daten zwischen Sende und Empfangszeit unver ndert bleiben POP Policy POP Protected Object Policy Policy f r gesch tztes Objekt Der Sicherheitsmechanismus von Policy Director der spezielle Bedingungen f r den Zugriff auf eine gesch tzte Ressource nach einer erfolgreichen ACL Policy Pr fung vorschreibt Tivoli SecureWay Policy Director Base Administratorhandbuch 10 3911q IlOd 13qN 1491S19QN L Gesch tzter Objektbereich Die virtuelle Objektdarstellung tats chlicher Systemressourcen die zum Anwenden von ACL und POP Policies und vom Berechtigungsservice verwendet wird Registrierungsdatenbank Der Datenspeicher z B LDAP in dem die Benutzerinformationen f r Benutzer und Gruppen die eine Berechtigung f r die gesicherte Dom ne besitzen ver waltet werden Skalierbarkeit Die F higkeit eines Netzsystems eine zuneh mende Anzahl an Benutzern die auf Ressourcen zugreifen zu bearbeiten Sicherungsstufe Der Grad der Datensicherheit der sich aus einer Kombination aus Authentifizierungs Integrit ts und Zugriffscodebedingungen zusammensetzt
60. wenn entsprechende Berechtigungen definiert sind Erstellen und L schen von Serverdefinitionen erfolgt automatisch der Installationsadministrator muss keine besonderen Schritte f r die Erstellung einer Definition ausf hren Dem Administrator muss jedoch die Berechtigung modify m f r das Objekt Version 3 8 Management Config erteilt werden damit die Definition w hrend der Installation erstellt werden kann Au erdem muss der Administrator ber die Berechtigung delete d f r das Objekt Management Config verf gen damit die Definition w hrend der Deinstallation gel scht werden kann Operation Beschreibung m modify Konfiguration in einer gesicherten Dom ne svrsslcfg config svrsslcfg modify d delete Dekonfiguration srysslcfg unconfig Management Policy Berechtigungen Mit dem Containerobjekt Management Policy des gesch tzten Objektbereichs k nnen Administratoren die Befehl policy get und policy set berechtigen wenn entsprechende Berechtigungen definiert sind Operation Beschreibung v view Erforderlich f r policy get Operationen m modify Erforderlich f r policy set Operationen Management Replica Berechtigungen Das Containerobjekt Management Replica des gesch tzten Objekt bereichs steuert die Replikation Vervielf ltigung der Berechtigungs datenbank Systemsteuerelemente f r dieses Objekt beeinflussen die Verarbeitung des Verwaltungsserve
61. writefile object list object listandshow erfordert zus tzlich v d delete objectspace delete object delete object modify set name erfordert zus tzlich m m modify objectspace create objectspace readfile object create object modify v view object listandshow erfordert zus tzlich b object show 100 Version 3 8 Standardverwaltungs ACL Policies Die folgenden Standardverwaltungs ACL Policies werden als Basis f r die Sicherung bestimmter Bereiche der gesicherten Dom ne vor geschlagen Sie k nnen Eintr ge f r Benutzer Gruppen Beliebige andere Belie bige authentifizierte und Nicht authentifizierte hinzuf gen um einen breiteren Steuerungsbereich zu erhalten und die Anforderungen Ihres gesch tzten Objektbereichs besser zu erf llen Notieren Sie die Benutzer und Gruppen in jeder Zugriffssteuerungs liste ACL die ber die Berechtigung control c verf gen Benutzer und Gruppen mit der Berechtigung control sind Eigner der ACL und k nnen die ACL Eintr ge ndern Standardstamm ACL Policy Zu den Kerneintr gen der Standardstamm ACL default root geh ren Gruppe iv admin Tcmdbva Beliebige andere T Nicht authentifiziert T Die Stammzugriffssteuerungsliste Stamm ACL ist die Basis alle k nnen den Objektbereich durchqueren aber keine anderen Aktionen ausf hren Normalerweise m ssen Sie hier keine nderung vorneh men Ein Vorteil der Stamm ACL liegt jedoch d
62. 22 95 Management Users Berechtigungen 222222222 nrnna 96 Management Groups Berechtigungen 2 222220 98 Management GSO Berechtigungen 2222222 nneeenen nen 99 Objekt und Objektbereichsberechtigungen 2 222 000 100 Standardverwaltungs ACL Policies 2222222 s essen 101 Standardstamm ACL Policy 2222222220 eeeeeennnenn 101 Version 3 8 Standard WebSEAL ACL Poliey Standard Management ACL Policy Standard Replica ACL Policy Standard Config ACL Policy 2 2 2 2 Standard GSO ACL Policy 2 222200 Standard Policy ACL Policy Kapitel 4 Policies f r gesch tzte Objekte verwenden 105 POP Policies Einf hrung 22222 nnnnnnenenen nennen 106 Hinweise zu POP Policies 22 222222 oneeeeeeeen nenn 107 POP Policies erstellen und l schen 2 222222 eneeeenn 107 POP Attribute auf gesch tzte Objekte anwenden 109 POP Attribute konfigurieren 222222 co nnneeeeeeeene nennen 109 Warnungsmodusattribut 2 222 2neeeeeeeeeeeneen apii gaa 110 Pr fungsstufenattribut 2 222220 eeeeeeeeeeneeennnenn 110 Zugritiszeitattfib t u u eee aci a a a a anne 111 Sicherungsstufenattribut 222222222200 112 IP Endpunkt Authentifizierungsmethodenattribut 112 Kapitel 5 Verwaltungs Tasks delegieren 113 Stellvertreterverwaltung i
63. 32 33 34 35 36 Heben Sie den Namen All Users hervor und klicken Sie auf Remove Klicken Sie auf Edit Manually Das Fenster Edit ACI for o neworg c us wird angezeigt Ersetzen Sie den Standard ACI Text durch den folgenden targetfilter objectclass secPolicyData objectclass secPolicy version 3 0 acl PD Deny Others deny all groupdn Idap cn SecurityGroup secAuthority Default 1dap cn remote acl users cn SecurityGroups secAuthority Default 1dap cn ivacld servers cn SecurityGroups secAuthority Default Klicken Sie auf Check Syntax um sicherzustellen dass Sie den Text korrekt eingegeben haben Korrigieren Sie alle Fehler bis die Syntaxanalyse fehlerfrei ist Klicken Sie auf OK Das Fenster Manage Access Control f r o neworg c us wird angezeigt Klicken Sie auf OK um das Fenster Manage Access Control f r o neworg c us zu schlie en Klicken Sie auf Console gt Exit um die Konsole zu verlassen Version 3 8 Serveraktivit t protokollieren und pr fen Policy Director stellt eine Reihe von Protokoll und Pr ffunktionen zur Verf gung Protokolldateien k nnen alle Fehlernachrichten und Warnungen die Policy Director Server generieren erfassen Pr fpro tokolldateien k nnen Berechtigung Authentifizierung Verwaltung und auf den Policy Director Servern auftretende HTTP Ereignisse erfassen Stichwortindex Einf hrung in Protokollieren
64. 45 uoyemion 1 M1 10 9 11q DIOd 9 146 Konfigurationsdatei ivmgrd conf F r den Parameter ist standard m ig yes definiert der Management Server f hrt die Aktuali sierungsbenachrichtigung automatisch durch ivmgrd auto database update notify yes Diese automatische Einstellung ist f r Umgebungen geeignet in der Datenbank nderungen selten vorkommen Wenn Sie eine automati sche Aktualisierungsbenachrichtigung konfigurieren m ssen Sie auch die Parameter max notifier threads und notifier wait time korrekt Wenn Sie eine manuelle Aktualisierungsbenachrichtigung konfigurie ren wird dieses Ereignis durch eine manuelle Anwendung des Befehls pdadmin server replicate gesteuert ivmgrd auto database update notify no Diese manuelle Einstellung ist f r Umgebungen geeignet in der Datenbank nderungen h ufig vorkommen und tiefgreifende nderun gen nach sich ziehen In einigen F llen k nnen einige Datenbank nderungen viele Aktualisierungsbenachrichtigungen generieren die bald veralten weil die Hauptdatenbank fortlaufend ge ndert wird Diese veralteten Benachrichtigungen verursachen unn tigen Daten austausch auf dem Netz Durch eine manuelle Steuerung der Aktualisierungsbenachrichti gungen kann die nderung der Hauptberechtigungsdatenbank abge schlossen werden bevor Aktualisierungsbenachrichtigungen an Authorization Server mit Datenbankreplikationen gesendet werden Im manuellen Modus wir
65. 5 umwpepd Iy3J9g AN ZU919j94 Y 236 Dies gilt f r Policy Verwaltungsbefehle f r die Registrierungs datenbank Befehl Beschreibung policy set account expiry date unlimited lt absolute Zeit gt user lt Benutzername gt policy get account expiry date user lt Benutzername gt Verwaltet die Policy die das absolute Datum und die absolute Zeit nach dem der ein Benutzerkonto verfallen soll steuert Kann auch verwendet werden um anzuge ben wann alle Benutzerkonten gleichzeitig verfallen sollen Beispiel 1 in einer Zeile eingegeben pdadmin gt policy set account expiry date 1999 12 30 23 30 00 user dlucas Beispiel 2 pdadmin gt policy get account expiry date user dlucas policy set disable time interval lt Zahl gt lunsetldisable user lt Benutzername gt policy get disable time interval user lt Benutzername gt Verwaltet die Straf Policy die den Zeitraum steuert ber den ein Konto inaktiviert werden soll wenn die maximale Anzahl fehlgeschlagener Anmeldeversuche erreicht wird Als Administrator k nnen Sie diese Straf Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der LDAP Registrierungsdatenbank anwenden Die Standardeinstellung ist 180 policy set max login failures lt Zahl gt lunset user lt Benutzername gt policy get max login failures user lt Benutzername gt Verwaltet die Policy die die maxim
66. 73 Unternehmensnetze sichern 2 V Verschl sselung 3 unterst tzte Standards 8 Verwaltungs API 14 Verwaltungs Policies Standard 101 Verwaltungsobjekte 27 W Web Portal Manager 11 33 138 Webobjekte 27 WebSEAL 13 135 webseal servers Gruppe 117 webseald 136 Version 3 8 webseald log 177 Z Zentrale Verwaltung 10 Zugriffssteue rungsliste ACL 3 Zugriffssteuerungsliste ACL 31 Tivoli SecureWay Policy Director Base Administratorhandbuch 259 260 Version 3 8
67. Beispiel engwebs01 Das Argument Ressourcenbenutzer ID ist die eindeu tige Benutzer ID f r den Benutzer auf dem Webserver Beispiel 4807ws01 Das Argument Ressourcenkennwort ist das Kennwort f r einen Benutzer auf dem Webserver Beispiel rsrpwd Das Argument Benutzername ist der Name des Benut zers f r den die Ressourcenberechtigungsinformationen gelten Beispiel dlucas Beispiel in einer Zeile eingegeben pdadmin gt rsrccred create engwebs0l rsrcuser 4807ws01 rsrcpwd rsrpwd rsrctype web user dlucas Version 3 8 Befehl Beschreibung rsrecred modify lt Ressourcenname gt rsrcetype weblgroup set rsreuser lt Ressourcenbenutzer ID gt rsrepwd lt Ressourcen kennwort gt user lt Benutzername gt ndert die Benutzer ID und das Kennwort der Ressourcenberechtigung f r die angegebene Ressource Soll die Ressourcenbenutzer ID der Benutzer oder Kennwortinformationen ge ndert oder zur ckgesetzt werden muss diesen optionalen Befehlen ein Binde strich vorangestellt werden Damit die Ressourcenberechtigungsinformationen ge ndert werden k nnen m ssen die Ressource oder Ressourcengruppe und der Benutzer bereits vorhanden sein Die angege bene Ressourcenart muss der Ressourcenart entsprechen die bei der Ersterstellung zugeordnet wurde z B web oder group Beispiel in einer Zeile eingege ben pdadmin gt rsrccred modify engwebs0l rsrctype group set rsr
68. C pd audit pdacld log berlaufschwellenwerte f r Pr fprotokolldateien ange ben Der Parameter logsize gibt die maximale Gr e an bis zu der Pr f protokolldateien anwachsen k nnen Er hat folgenden Standardwert in Bytes Tivoli SecureWay Policy Director Base Administratorhandbuch 181 uajn d pun u 1 1 040 01d IRHANYLIOAM S B 182 aznapi configuration logsize 2000000 Wenn eine Pr fprotokolldatei den angegebenen Wert erreicht die ser wird als berlaufschwellenwert bezeichnet wird die vorhan dene Datei unter demselben Namen dem ein aktuelles Datum und eine Zeitmarke angef gt wird gesichert Dann wird eine neue Pr f protokolldatei gestartet Die verschiedenen m glichen Werte f r logsize werden wie folgt interpretiert m Wenn der Wert f r logsize kleiner als Null ist lt 0 wird eine neue Pr fprotokolldatei bei jedem Aufruf des Pr fungsprozesses und alle 24 Stunden von diesem Exemplar erstellt m Wenn der Wert f r logsize gleich Null ist 0 gibt es keinen berlaufschwellenwert und die Gr e der Pr fprotokolldatei ist unbegrenzt Wenn eine Pr fprotokolldatei bereits vorhanden ist werden ihr neue Daten hinzugef gt m Wenn der Wert f r logsize gr er als Null ist gt 0 erfolgt ein berlauf wenn eine Pr fprotokolldatei den konfigurierten Schwellenwert erreicht Wenn eine Pr fprotokolldatei beim Systemstart bereits vorhanden ist werden ihr neue Daten hi
69. CL Aktionen und Aktionsgruppen erstel len In diesem Abschnitt hat das Wort Aktion dieselbe Bedeutung wie das Wort Berechtigung das in vorangegangenen Abschnitten ver wendet wurde Jede Policy Director Berechtigung wird als eine Aktion definiert Siebzehn Aktionen sind f r unmittelbare Funktionalit t vordefiniert g ardherechfisunsen Aktionen Sie k nnen auch neue Aktionen f r Anwendungen anderer Hersteller definieren Dieser Abschnitt beschreibt wie Sie Aktionsgruppen definieren die als Container f r eine erweiterte Gruppe angepasster Aktionen die nen m In jeder Aktionsgruppe k nnen sich bis zu 32 Aktionsbits befin den m Ein Aktionsbit besteht aus einem Buchstaben von a z oder A Z Tivoli SecureWay Policy Director Base Administratorhandbuch 81 U9PUSOMAOA SOIIIOA 1OV E m Jedes Aktionsbitzeichen kann nur einmal in einer Aktionsgruppe verwendet werden m Sie k nnen ein Aktionsbit in verschiedenen Aktionsgruppen mehrfach verwenden m Die Policy Director Standardaktionen sind in einer vordefinierten Aktionsgruppe mit dem Namen primary gespeichert Prim re Aktionsgruppe aAbBcgNTW ee Bits gesetzt f r Gruppe sales abNT Abbildung 22 Aktionsgruppe primary Policy Director unterst tzt maximal 32 Aktionsgruppen ein schlie lich der Aktionsgruppe primary f r maximal 1024 Einzel aktionen Mehrere Aktionsgruppen
70. L_MOD_DEL_ATTRVAL 13125 ACL_SHOW_ATTR 13126 ACL_LIST_ATTR 13127 POP_MOD_SET_ATTR 13128 POP_MOD_DEL_ATTR 13129 POP_MOD_DEL_ATTRVAL 13130 POP_SHOW_ATTR 13131 POP_LIST_ATTR 13132 OBJ_SHOW_ATTRS 13133 ACL_SHOW_ATTRS 13134 POP_SHOW_ATTRS 13135 OBJ_SHOW 13136 OBJ_LIST 13137 OBJ_LISTANDSHOW 13138 Serververwaltungsbefehle SERVER_GET 13200 SERVER_LIST 13203 SERVER_PERFORMTASK 13204 SERVER_GETTASKLIST 13205 SERVER_REPLICATE 13206 Administrator Benutzer und Gruppenverwaltungsbefehle ADMIN_SHOWCONF 13400 Tivoli SecureWay Policy Director Base Administratorhandbuch 191 uajn d pun us1al joYo0JoAd eln pjelanleg 8 192 USER_CREATE 13401 USER_IMPORT 13402 USER_MODDESC 13403 USER_MODPWD 13404 USER_MODAUTHMECH 13405 USER_MODACCVALID 13406 USER_MODPWDVALID 13407 USER_DELETE 13408 USER_SHOWGROUPS 13409 USER_SHOW 13410 USER_SHOWDN 13411 USER_LIST 13412 USER_LISTDN 13413 GROUP_CREATE 13414 GROUP_IMPORT 13415 GROUP_MODDESC 13416 GROUP_MODADD 13417 GROUP_MODREMOVE 13418 GROUP_DELETE 13419 GROUP_SHOW 13420 GROUP_SHOWDN 13421 GROUP_LIST 13422 GROUP_LISTDN 13423 GROUP_SHOWMEMB 13424 USER_MODGSOUSER 13425 USER_SET 13426 GROUP_SET 13427 13500 gt 13599 werden von GSO verwendet GSO_RESOURCE_CREATE 13500 GSO_RESOURCE_DELETE 13501 GSO_RESOURCE_LIST 13502 GSO_RESOURCE_SHOW 13503 Version 3 8 GSO
71. N_PASSWORD_ALPHAS 13619 POLICY_SET_MIN_PASSWORD_NON_ALPHAS 13620 POLICY_GET_MIN_PASSWORD_NON_ALPHAS 13621 POLICY_SET_MIN_PASSWORD_DIFFERENT_CHARS 13622 POLICY_GET_MIN_PASSWORD_DIFFERENT_CHARS 13623 POLICY_SET_PASSWORD_SPACES 13624 POLICY_GET_PASSWORD_SPACES 13625 POLICY_SET_MIN_PASSWORD_LENGTH 13626 POLICY_GET_MIN_PASSWORD_LENGTH 13627 POLICY_SET_MIN_PASSWORD_REUSE_TIME 13628 POLICY_GET_MIN_PASSWORD_REUSE_TIME 13629 POLICY_GET_PASSWORD_FAILURES 13630 POLICY_GET_LAST_PASSWORD_CHANGE_DATE 13631 POLICY_SET_NUMBER_WARN_DAYS 13632 POLICY_GET_NUMBER_WARN_DAYS 13633 POLICY_SET_PASSWORD_REUSE_NUM 13634 POLICY_GET_PASSWORD_REUSE_NUM 13635 POLICY_SET_TOD_ACCESS 13636 POLICY_GET_TOD_ACCESS 13637 POP Befehle POP_CREATE 13700 POP_DELETE 13701 POP_MODIFY 13702 POP_SHOW 13703 POP_LIST 13704 POP_ATTACH 13705 POP_DETACH 13706 POP_FIND 13707 Version 3 8 Konfigurationsbefehle 13800 gt 13899 CFG_CONFIG 13800 CFG_UNCONFIG 13801 CFG_REBNEWCERT 13802 CFG_CHGPORT 13803 Tivoli SecureWay Policy Director Base Administratorhandbuch 195 uajn d pun us1al joyoJoAd IEHANYLIIAN S 8 196 Version 3 8 Referenz f r Befehl pdadmin Das Dienstprogramm pdadmin ist ein Befehlszeilen Tool mit dem Sie die meisten Policy Director Verwaltungs Tasks ausf hren K nnen Der Web Portal Manager stellt viele dieser Befehle ber seine grafi sche Benutzerschnittstelle zur Verf gung Stichwortindex Tivoli SecureWa
72. Policy Director ACLs auf neue LDAP Suffixe anwen den Anmerkung Die folgenden Informationen gelten sowohl f r IBM SecureWay Directory Server als auch f r iPlanet Directory Server Wenn ein LDAP Administrator nach der Erstkonfiguration von Policy Director LDAP Suffixe hinzuf gt muss der Administrator die entsprechenden Zugriffssteuerungslisten Access Control Lists ACLs anwenden damit Policy Director in der Lage ist in diesen neuen Suffixen definierte Benutzer und Gruppen zu verwalten Verwenden Sie f r IBM SecureWay Directory das Directory Management Tool zum Anwenden von ACLs Verwenden Sie iPlanet Console 5 0 f r Netscape LDAP Server Verwenden Sie die entsprechende LDAP Verwaltungsschnittstelle zum Anwenden der folgenden ACLs auf alle neuen Policy Director Suffixe LDAP Gruppe Zugriffssteuerung cn SecurityGroup secAuthority Default m Uneingeschr nkter Zugriff cn ivacld servers cn SecurityGroups secAuthority Default m Lesen Bm Suchen m Vergleichen cn remote acl users cn SecurityGroups secAuthority Default m Lesen Bm Suchen m Vergleichen Tivoli SecureWay Policy Director Base Administratorhandbuch 163 USPUSMIOA Yuequajep sBun1a11s1 3y dVA1 Z 164 Diese Steuerangaben gelten wenn der Administrator LDAP f r die Policy Director Benutzerregistrierungsdatenbank ausgew hlt hat und ein neues LDAP Suffix nach der Erstkonfiguration von Policy Direc tor erstellt wurde E
73. Policy Director Sicherheitsservice durchzuf hren Der Authoriza tion Server erfordert normalerweise sehr wenig Verwaltung oder Konfiguration WebSEAL webseald ist ein Webserver mit hoher Leistung und mehreren Threads der eine feink rnige Sicherheits Policy auf den gesch tzten Webobjektbereich anwendet WebSEAL kann L sungen mit Einzelanmeldung zur Verf gung stellen und Backend Webanwen dungsserverressourcen in seine Sicherheits Policy integrieren Version 3 8 Serverabh ngigkeiten Wichtige Abh ngigkeiten des Policy Director Servers m Eine gesicherte Dom ne darf nur ein Exemplar des Verwaltungs servers und der Hauptberechtigungsdatenbank ACL Datenbank enthalten m Der Verwaltungsserver repliziert vervielf ltigt die Berechti gungsdatenbank f r alle anderen Policy Director Server in der gesicherten Dom ne m Jeder Ressourcenmanager z B WebSEAL und der Authoriza tion Server wendet Zugriffssteuerungs Policy auf der Grundlage von Informationen aus der Replikationsberechtigungsdatenbank an Web Portal Management Server Haupt Manager pdmgrd berechtigungs EJ p Ea i WebSEAL Replikations 2 Webseald gungs Benutzer datenbank registrierungs datenbank Replikations berechti gungs datenbank Authorization Server pdacld Abbildung 28 Policy Director Serverkomponenten Tivoli Secu
74. RITY GROUP ALLOW READ allow read search compare groupdn Idap cn remote acl users en SecurityGroups secAuthority Default Klicken Sie auf Check Syntax um sicherzustellen dass Sie den Text korrekt eingegeben haben Korrigieren Sie alle Fehler bis die Syntaxanalyse fehlerfrei ist Klicken Sie auf OK Das Fenster Manage Access Control f r o neworg c us wird angezeigt Klicken Sie auf Neu Geben Sie den ACI Namen PD Deny Others1 an Heben Sie den Namen All Users hervor und klicken Sie auf Remove Klicken Sie auf Edit Manually Das Fenster Edit ACI for o neworg c us wird angezeigt Ersetzen Sie den Standard ACI Text durch den folgenden targetfilter objectclass secUser objectclass secGroup version 3 0 acl PD Deny Others deny all groupdn Idap cn SecurityGroup secAuthority Default Idap cn remote acl users cn SecurityGroups secAuthority Default Idap cn ivacld servers cen SecurityGroups secAuthority Default Klicken Sie auf Check Syntax um sicherzustellen dass Sie den Text korrekt eingegeben haben Korrigieren Sie alle Fehler bis die Syntaxanalyse fehlerfrei ist Klicken Sie auf OK Das Fenster Manage Access Control f r o neworg c us wird angezeigt Klicken Sie auf Neu Geben Sie den ACI Namen PD Deny Others2 an Tivoli SecureWay Policy Director Base Administratorhandbuch 173 USPUOMIOA Yuequajep sBun1a11s1 3y dVA1 Z 174 al
75. Ressourcenberechtigungsbefehle GSO_RESOURCE_CRED_CREATE 13504 GSO_RESOURCE_CRED_DELETE 13505 GSO_RESOURCE_CRED_MODIFY 13506 GSO_RESOURCE_CRED_LIST 13507 GSO_RESOURCE_CRED_SHOW 13508 GSO Ressourcengruppenbefehle GSO_RESOURCE_GROUP_CREATE 13509 GSO_RESOURCE_GROUP_DELETE 13510 GSO_RESOURCE_GROUP_ADD 13511 GSO_RESOURCE_GROUP_REMOVE 13512 GSO_RESOURCE_GROUP_LIST 13513 GSO_RESOURCE_GROUP_SHOW 13514 Policy Befehle POLICY_SET_MAX_LOGIN_FAILURES 13600 POLICY_GET_MAX_LOGIN_FAILURES 13601 POLICY_SET_DISABLE_TIME_INTERVAL 13602 POLICY_GET_DISABLE_TIME_INTERVAL 13603 POLICY_SET_MAX_ACCOUNT_AGE 13604 POLICY_GET_MAX_ACCOUNT_AGE 13605 POLICY_SET_ACCOUNT_EXPIRY_DATE 13606 POLICY_GET_ACCOUNT_EXPIRY_DATE 13607 POLICY_SET_MAX_INACTIVITY_TIME 13608 POLICY_GET_MAX_INACTIVITY_TIME 13609 POLICY_GET_ACCOUNT_CREATION_DATE 13610 POLICY_GET_LAST_LOGIN_ATTEMPT_DATE 13611 POLICY_SET_MAX_PASSWORD_AGE 13612 POLICY_GET_MAX_PASSWORD_AGE 13613 POLICY_SET_MIN_PASSWORD_AGE 13614 POLICY_GET_MIN_PASSWORD_AGE 13615 POLICY_SET_MAX_PASSWORD_REPEATED_CHARS 13616 POLICY_GET_MAX_PASSWORD_REPEATED_CHARS 13617 Tivoli SecureWay Policy Director Base Administratorhandbuch 193 uajn d pun us1al joYo0JoAd IRHANYLIIM S B 194 POLICY_SET_MIN_PASSWORD_ALPHAS 13618 POLICY_GET_MI
76. SecureWay Policy Director Base Administratorhandbuch Zugriffsanforderungen aufl sen 2 222222 nauuna TI ACL Policies f r verschiedene Objektarten anwenden 78 Beispiel einer ACL Policy bernahme 2 22222ccc 0 79 Richtlinien f r einen gesch tzten Objektbereich 80 Erweiterte ACL Aktionen und Aktionsgruppen erstellen 81 Neue Aktionsgruppe erstellen io arrerscinrsensccarecinnseami 83 Neue Aktionen in einer Aktionsgruppe erstellen 2222 83 Angepasste Aktionen in ACL Eintr ge eingeben 84 ACL Policies und der gesch tzte Objektbereich 2 220 86 Stammcontainerobjekt eeure seai et maae e a E E nenn 86 Berechtigung Trayerses sosoca aea aaao E a a EA R EA 86 WebSEAL Berechtigungen oses sce ceri cssri cssc ssra deare rara tara 87 WebSEAL lt h st gt 2 een nuE nEn EE aga 87 WebSEAL lt host gt lt file gt nonno 87 WebSEAL Berechtigungen sussuunannnn nura 88 Verwaltungsberechtigungen sciocco coscscasccnediune canti unitai 89 Management ACL Berechtigungen 2 222222 annn 90 Management Action Berechtigungen 2222222 crrr 92 Management POP Berechtigungen 222222220 93 Management Server Berechtigungen 22222220 94 Management Config Berechtigungen 2 2222 rnrn 94 Management Policy Berechtigungen 2 222220 95 Management Replica Berechtigungen 2 22
77. SecureWay Policy Director Base Administratorhandbuch xV Tivoli SecureWay Policy Director Technische Dokumente Referenzdokumentation f r Anwendungsentwickler Tivoli SecureWay Policy Director Authorization ADK Developer Reference Tivoli SecureWay Policy Director Authorization API Java Wrappers Developer Reference Tivoli SecureWay Policy Director Administration API Developer Reference Tivoli SecureWay Policy Director WebSEAL Developer Reference Erg nzende Dokumentation Tivoli SecureWay Policy Director Release Notes Tivoli SecureWay Policy Director Performance Tuning Guide Tivoli SecureWay Policy Director Capacity Planning Guide Auf Onlinedokumentation zugreifen Die Website f r die Tivoli Kundenunterst tzung http www tivoli com support stellt Links zu den folgenden Doku menten zur Verf gung m Technische Informationen einschlie lich Releasebeschreibungen Installations und Konfigurationshandb cher Administrator handb cher und Referenzdokumentationen f r Anwendungs entwickler m H ufig gestellte Fragen Frequently Asked Questions FAQs m Informationen zum Herunterladen von Software Das Customer Support Handbook ein Handbuch zur Unterst tzung von Services finden Sie unter http www tivoli com support getting xvi Version 3 8 Sie k nnen auf den Index der Tivoli Onlinever ffentlichungen unter Verwendung der folgenden Adresse zugreifen http www
78. Sie in den Befehls referenztabellen in diesem Anhang nach Version 3 8 Einzelbefehlszeilenmodus Sie k nnen einen einzelnen Befehl pdadmin ber die Eingabeauf forderung des Betriebssystems ausf hren UNIX pdadmin a lt Administratorbenutzer gt p lt Kennwort gt command Windows MSDOS gt pdadmin a lt Administratorbenutzer gt p lt Kennwort gt command m Wenn Sie Administratorbenutzer a und Kennwort p ange ben werden Sie als dieser Benutzer angemeldet m Wenn Sie Administratorbenutzer a nicht angeben werden Sie als nicht authentifizierter Benutzer angemeldet m Wenn Sie Administratorbenutzer a aber kein Kennwort p angeben werden Sie zur Kennworteingabe aufgefordert Das optionale Befehlsargument gestattet die Ausf hrung von einmali gen Befehlen Zum Beispiel wird der Benutzer test erstellt wenn Sie folgenden Befehl eingeben pdadmin a sec_master p pwd user create test cn test ou austin o ibm c us test test test1234 Ausf hrung mehrerer Befehle Sie k nnen eine spezielle Datei erstellen die mehrere pdadmin Be fehle enth lt die zusammen eine vollst ndige Task oder eine Reihe von Tasks ausf hren Das Dienstprogramm pdadmin akzeptiert ein Dateinamenargument das die Position einer solchen Datei angibt UNIX pdadmin a lt Administratorbenutzer gt p lt Kennwort gt lt Dateipfadname gt Windows MSDOS gt pdadmin a lt Administratorbenutzer gt p
79. Tivoli SecureWay Policy Director Base Administratorhandbuch Version 3 8 Tivoli SecureWay Policy Director Base Administratorhandbuch Version 3 8 Tivoli SecureWay Policy Director Base Administratorhandbuch Copyrightvermerk Copyright IBM Corporation 2001 Alle Rechte vorbehalten Darf nur gem einer Tivoli Systems Softwarelizenzvereinbarung einer IBM Softwarelizenzvereinbarung oder gem eines Anhangs der All gemeinen Gesch ftsbedingungen oder der Lizenzvereinbarung der IBM verwendet werden Diese Ver f fentlichung darf ohne die vorherige schriftliche Genehmigung der IBM Corporation weder vollst ndig noch auszugsweise in irgendeiner Form kopiert bertragen transkribiert in einem Abrufsystem gespei chert oder in eine beliebige Maschinensprache umgesetzt werden sei es auf elektronische mechanische magnetische optische chemische manuelle oder andere Weise IBM Corporation erteilt die einge schr nkte Genehmigung zur Erstellung von Hardcopies oder anderen Kopien von maschinenlesbarer Dokumentation zur eigenen Verwendung vorausgesetzt dass jede Kopie den Copyrightvermerk der IBM Corporation tr gt Ohne die vorherige schriftliche Genehmigung der IBM Corporation werden keine anderen Rechte unter Copyright gew hrt Das Dokument dient nicht f r Produktionszwecke IBM bernimmt keine Haftung Die in diesem Dokument aufgef hrten Beispiele sollen lediglich zur Veranschaulichung und zu keinem anderen Zweck dienen Marken
80. Version 3 8 Tivoli SecureWay Policy Director Base Administratorhandbuch Ressourcengruppen verwalten Mit den folgenden Befehlen pdadmin rsregroup k nnen Sie ver schiedene ressourcengruppenbezogene Attribute verwalten Eine Ressourcengruppe bezieht sich auf eine Gruppe von Webser vern bei denen alle Server ber dieselben Benutzer ID userids und Kennwortgruppen verf gen Sie k nnen eine einzelne Ressour cenberechtigung f r alle Ressourcen in der Ressourcengruppe erstel len Policy Director verwendet eine einzelne Ressourcenberechti gung f r eine Ressourcengruppe anstelle einer Ressourcenberechti gung f r jede einzelne Ressource in der Ressourcengruppe Befehl Beschreibung rsregroup create lt Ressourcengruppenname gt desc lt Beschreibung gt Erstellt und benennt eine Webressourcengruppe Das Argument Ressourcengruppenname ist der Name der Ressourcengruppe Das optionale Argument Beschrei bung kann hinzugef gt werden um das Identifizieren dieser Ressourcengruppe zu erleichtern Dem optionalen Parameter desc muss ein Bindestrich vorangestellt werden Beschreibungen die Leerzeichen enthalten m ssen zwischen doppelten Anf hrungszeichen ste hen Beispiel in einer Zeile eingegeben pdadmin gt rsrcgroup create webs4807 desc Webserver Raum 4807 rsregroup delete lt Ressourcengruppenname gt L scht die angegebene Ressourcengruppe einschlie lich der Beschreibung Die Ressourcengrup
81. Wert in den folgenden Beschreibungen durch das tats chlich neu erstellte Suffix ersetzen Version 3 8 Prozeduren f r IBM SecureWay Directory Server Die folgenden Schritte beschreiben wie die entsprechenden Policy Director Zugriffssteuerungen auf das neu erstellte Suffix f r IBM SecureWay Directory Server angewendet werden 1 Starten Sie das LDAP Directory Management Tool DMT mit einem der folgenden Befehle Unter Windows Start gt Programme gt IBM SecureWay Directory gt Directory Management Tool Unter UNIX usr bin dmt 2 M glicherweise wird folgende Warnung angezeigt Warnung Eintrag o neworg c us enth lt keine Daten Entfernen Sie die Warnung In Schritt F auf Seite 16d m ssen Sie wissen ob Sie diese Warnung gesehen haben 3 Klicken Sie auf Server hinzuf gen im linken Teilfenster Das Fenster Server hinzuf gen wird angezeigt 4 Geben Sie die folgenden Werte in die folgenden Felder ein Feld Wert Kommentar Server Name ldap lt Host Name gt Zum Beispiel 1bm007 ibm com Port 389 389 ist der Standard Port Registrierter en root DN des LDAP Administra Benutzername tors Benutzerkennwort abc123 Kennwort des LDAP Admi nistrators 5 Klicken Sie auf OK Die Seite des Directory Management Tools wird angezeigt 6 berpr fen Sie den Servernamen im oberen Teil des linken Fensters Zum Beispiel Idap ibm007 ibm com 389 Tivoli SecureWay Policy Director Bas
82. ache Netzprotokolldefi nitionen sowie Datendarstellungs und bearbeitungsfunktionen 152 Version 3 8 Ein Verzeichnis auf das ber LDAP zugegriffen werden kann wird blicherweise als LDAP Verzeichnis bezeichnet Anmerkung Der LDAP Standard definiert nicht wie die Daten in dem Verzeichnis gespeichert werden Zun chst war LDAP so angelegt dass kleine Clients ber einen Gateway Server der die Umsetzung zwischen LDAP und DAP durchf hrte auf ein X 500 Verzeichnis zugreifen konnten LDAP Client Abbildung 29 LDAP Zugriff auf X 500 Bald wurden Verzeichnisse entwickelt die das LDAP Protokoll nativ LDAP LDAP Geteway Server X 500 Server Verzeichnis ohne eine Umsetzung zwischen LDAP und DAP handhaben konnten LDAP Client Abbildung 30 Standalone LDAP Server Die IBM Implementierung eines LDAP Verzeichnisses ist Secu reWay Directory das unter AIX Windows NT Sun Solaris OS 400 und OS 390 zur Verf gung steht TCP LDAP LDAP Server Tivoli SecureWay Policy Director Base Administratorhandbuch Verzeichnis 153 USPUSMIOA Yuequajep sBun1a11s1 3y dVA1 Z 154 Ein LDAP Verzeichnis kann eine beliebige Speicherimplementierung f r die Verzeichnisdaten verwenden Die meisten Implementierungen verwenden zwar Flachdateidatenbanken IBM SecureWay Directory verwendet jedoch die relationale DB2 Hochleistungsdatenbank als Spei
83. aktiv ist Wird hier no angegeben ist der Benutzer gezwungen das Kennwort bei der n chsten Anmeldung zu ndern Bei spiel pdadmin gt user modify dlucas password valid no user modify lt Benutzername gt gsouser yesino Gibt an ob der angegebene Policy Director Benutzer auch ein GSO Benutzer ist W hlen Sie yes aus um den Benutzer als GSO Benutzer hinzuzuf gen w hlen Sie no aus um den Benutzer als GSO Benutzer zu entfernen Beispiel pdadmin gt user modify dlucas gsouser no Version 3 8 Befehl Beschreibung user delete lt Benutzername gt L scht ein vorhandenes Benutzerkonto aus der LDAP Benutzerregistrierungsdatenbank Beim L schen eines Policy Director Benutzerkontos werden auch die GSO Benutzerkontoinformationen aus der LDAP Registrierungsdatenbank gel scht Beispiel pdadmin gt user delete dlucas Alle Ressourcenberechtigungen die einem Benutzer konto zugeordnet sind werden automatisch gleichzeitig mit dem L schen des Benutzerkontos entfernt user show lt Benutzername gt Zeigt die Benutzerkontoinformationen f r den angegebe nen Benutzer an Beispiel pdadmin gt user show dlucas Dieser Befehl hat etwa folgende Ausgabe Anmelde ID dlucas LDAP DN cn Diana Lucas ou Austin o Wesley Inc c US LDAP CN Diana Lucas LDAP SN Lucas Beschreibung Diana Lucas Kreditabt HCUS Ist SecUser true Ist GSO Benutzer false Konto g ltig t
84. al zul ssige Anzahl fehlgeschlagener Anmeldeversuche vor einer Strafe steu ert Dieser Befehl ist abh ngig von einer im Befehl policy set disable time interval festgelegten Strafe Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der LDAP Registrierungsdatenbank anwenden Die Standardeinstellung ist 10 Version 3 8 Befehl Beschreibung policy set tod access lt Uhrzeit gt lunset user lt Benutzername gt policy get tod access user lt Benutzername gt Gibt die Uhrzeit an zu der sich ein oder alle Benutzer anmelden kann Die Uhrzeit hat folgendes Format lt anyday weekday lt Tagesliste gt gt lt anytime lt Zeitspezifikation gt lt Zeitspezifikation gt gt futc local G ltige Werte f r die Variable Tagesliste sind Mon Die Mit Don Fre Sam Son Die Bereichsvariablen Zeitspezifikation m ssen wie folgt ausgedr ckt wer den hhmm Zum Beispiel 0700 1945 Die optionale Zeitzone ist standardm ig lokal Anmerkung utc GMT Tivoli SecureWay Policy Director Base Administratorhandbuch 237 umwpepd Iy3J9g AN ZU919j94 Y 238 Kennwort Policies verwalten Mit den folgenden Befehlen pdadmin policy k nnen Sie verschie dene kennwortbezogene Policy Attribute verwalten F r kennwortbezogene Policies definiert Policy Director die relative Zeit wie folgt TTT hh mm ss Dies gilt f r
85. ann ein Replikationsserver zum Master Server hochgestuft werden damit Schreiboperationen f r das Verzeichnis m glich sind Policy Director berbr ckungsfunktion f r LDAP Ser ver Policy Director stellt beim Start eine Verbindung zum LDAP Master Server her Wenn der LDAP Master Server inaktiv ist muss der Policy Director Server in der Lage sein eine Verbindung zu einem verf gbaren LDAP Replikationsserver herzustellen um Leseope rationen ausf hren zu k nnen Bei vielen Operationen insbesondere Operationen regul rer Benut zer handelt es sich um Leseoperationen Hierzu geh ren auch Ope rationen wie Benutzerauthentifizierung und anmeldung an ber eine Junction verbundenen Backend Webservern Nach der entsprechen Version 3 8 den Konfiguration f hrt Policy Director eine berbr ckung zu einem Replikationsserver durch wenn keine Verbindung zum Master Server hergestellt werden kann Die Konfigurationsparameter f r LDAP berbr ckung finden Sie in der Zeilengruppe ldap der Konfigurationsdatei Idap conf UNIX opt PolicyDirector etc 1dap conf Windows lt Installationspfad gt etc ldap conf Master Serverkonfiguration IBM SecureWay Directory LDAP unterst tzt die Existenz eines einzelnen LDAP Master Servers f r Lese Schreiboperationen iPlanet Directory Server unterst tzt mehrere LDAP Server f r Lese Schreiboperationen Policy Director behandelt den iPlanet Lieferantenserver als Master Server f r Ko
86. arin dass einem ein zelnen Benutzer oder einer einzelnen Gruppe schnell der Zugriff auf den gesamten Objektbereich verweigert werden kann Beispiel Die Stamm ACL enth lt den folgenden Eintrag Benutzer john Tivoli SecureWay Policy Director Base Administratorhandbuch 101 U9PUSOMAOA SOIIIOA 1OV E Dieser Eintrag keine Berechtigungen bewirkt dass Benutzer john das Stammcontainerobjekt nicht einmal durchqueren kann Dieser Benutzer erh lt berhaupt keinen Zugriff auf den gesch tzten Objektbereich unabh ngig von den Berechtigungen die an einer untergeordneten Position in der Baumstruktur angegeben sind Dieses Verfahren k nnen Sie auch auf den Objektbereich WebSEAL bertragen Wenn Sie beispielsweise einem bestimmten Benutzer die Berechtigung traverse f r Containerobjekte WebSEAL entziehen kann dieser Benutzer nicht auf den Objektbereich WebSEAL zugrei fen unabh ngig von den Berechtigungen die f r Objekte in die sen Bereichen erteilt wurden Standard WebSEAL ACL Policy Zu den Kerneintr gen der WebSEAL ACL default webseal geh ren Gruppe iv admin Temdbsvarx Gruppe webseal servers Tgmdbsrx Benutzer sec_master Temdbsvarx Beliebige andere Trx Nicht authentifiziert T Bei der Installation wird diese Standardzugriffssteuerungsliste dem Containerobjekt WebSEAL im Objektbereich zugeordnet Die Gruppe webseal servers enth lt einen Eintrag f r jeden WebSE AL Server in der gesich
87. arten 142 Einzelne Server manuell starten 2 2 2222 none eeeeennnn nen 142 Serverstatus mit Dienstprogramm pd_start anzeigen 142 Windows Policy Director Server stoppen starten 222222 143 Server ber Systemsteuerung Dienste stoppen starten 143 Serverstart beim Systemstart automatisieren 2 222222 eeeennnnen 144 Management Server 2 2 22 con 144 Authorization Server sesa sss wede css see en en seen nn 144 Verwaltung des Management Servers pdmgrd 2 222222 145 Replikation der Berechtigungsdatenbank 200 145 Anzahl der Aktualisierungsbenachrichtigungs Threads definieren 147 Benachrichtigungsverz gerungszeit definieren 222 200 148 Kapitel 7 LDAP Registrierungsdatenbank verwen denese errean i IEIEEEERSE ENEN E a 151 LDAP bersicht 4 2204 00er 152 LDAP Ein Protokoll f r Verzeichnisservices 2 222222200 152 LDAP Verzeichnisse 2 22222222 oeee rasara EES EEAS SEES 154 Das LDAP Informationsmodell 2222222 cneeeeeeen 155 viii Version 3 8 LDAP Merkmale 2 2 2222 oc mon 156 LDAP berbr ckungskonfiguration a an anaana anaua uurna 157 Das Master Slave Replikationsmodell 222222200 158 Policy Director berbr ckungsfunktion f r LDAP Server 158 Master Serverkonfiguration 222222 2nneeeeeenee nennen 159 Replikationsserverkonfiguration 2 222222 seeeeeeeenen 160 Priorit
88. as neu erstellte Suffix im Teilfenster Baumstruktur anzeigen auf der rechten Seite hervor Klicken Sie auf ACL im rechten Teilfenster Die aktuellen Ein stellungen der Zugriffssteuerungsliste ACL f r das Suffix wer den im Fenster LDAP Zugriffssteuerungsliste bearbeiten ange zeigt Geben Sie im Subjektbereich des Fensters LDAP Zugriffs steuerungsliste bearbeiten folgenden registrierten Namen ein cn SecurityGroup secAuthority Default W hlen Sie die Gruppenart aus und klicken Sie auf Hinzuf gen Wenn das Fenster angezeigt wird w hlen Sie folgendes aus m W hlen Sie Untergeordnete Eintr ge der Verzeichnis struktur erben vom Eintrag im Feld DN Eintrag aus m W hlen Sie im Feld Berechtigungen f r Untergeordneten Eintrag hinzuf gen und Eintrag l schen Erteilen aus m W hlen Sie im Feld Sicherheitsklasse f r jede Sicherheits klasse Normal Sensibel und Kritisch Erteilen f r jede Berechtigung Lesen Schreiben Suchen und Vergleichen aus Klicken Sie auf OK Heben Sie das neu erstellte Suffix im Teilfenster Baumstruktur anzeigen auf der rechten Seite hervor Klicken Sie auf ACL im rechten Teilfenster berpr fen Sie ob die Gruppe en SecurityGroup secAuthority Default aufge f hrt ist und die Einstellungen der Gruppe korrekt sind Bei Gruppennamen muss die Gro Kleinschreibung nicht beachtet werden Tivoli SecureWay Policy Director Base Administratorhandbuch 167 USPUSMIOA Yuequaj
89. ations verzeichnis von iPlanet Directory Server ein startconsole m Klicken Sie auf Windows Systemen auf Start gt Pro gramme gt iPlanet Server Produkte gt iPlanet Console 5 0 2 Geben Sie die Benutzer ID des LDAP Administrators ein Dies ist normalerweise cn Directory Manager Geben Sie das Kennwort und die Verwaltungs URL ein Klicken Sie auf OK 3 W hlen Sie die Dom ne aus die Policy Director verwenden soll 4 Erweitern Sie den Servernamen und Servergruppe 5 W hlen Sie den Eintrag Directory Server aus Konfigurations daten zum iPlanet Directory Server werden angezeigt 6 Klicken Sie auf ffnen Es wird auf den iPlanet Directory Ser ver zugegriffen 7 Klicken Sie auf die Registerkarte Directory Wird das neu erstellte Suffix im linken Teilfenster angezeigt fahren Sie mit Schritt Rauf Seite 171 fort Wird das neu erstellte Suffix nicht im linken Teilfenster ange zeigt m ssen Sie einen Eintrag f r das neue Suffix erstellen bevor Sie Zugriffssteuerungen auf das Suffix anwenden Gehen Sie wie folgt vor um den Eintrag zu erstellen 170 Version 3 8 a Heben Sie den Namen des Servers am Anfang der Ver zeichnisbaumstruktur hervor Klicken Sie auf Object gt New Root Object Ein Liste der Root Suffixe wird ange zeigt b W hlen Sie o neworg c us aus der Liste der Root Suffixe aus Das Auswahlfenster New Object wird angezeigt c Bl ttern Sie im Auswahlfenster New Object vorw r
90. benen erweiterten Attributs das der ACL Policy zugeordnet ist an Tivoli SecureWay Policy Director Base Administratorhandbuch 203 umwpepd Iy3J9g AN ZU919J94 Y Aktionsbefehle 204 Mit den folgenden Befehlen pdadmin action werden zus tzliche Berechtigungsaktionen ACL Berechtigungen und Aktionsgruppen definiert Angepasste ACL Aktionen erstellen Befehl Beschreibung action create lt Aktionsname gt lt Aktionsbezeichnung gt lt Aktionsart gt Definiert eine neue Policy Director Berechtigungs aktion Berechtigung Erstellt ein neues Berechtigungszeichen das diese Aktion auf der Management Console darstellt Das Argument Aktionsname gibt den Namen der neuen aus einem Zeichen bestehenden Berechtigung an Das Argument Aktionsbezeichnung gibt die Bezeichnung f r das neue Markierungsfeld an das in der Management Console angezeigt wird Das Argument Aktionsart gibt eine organisatorische Kategorie Art an wo diese Berechtigung in der Management Console An zeige ACL Indexzunge erscheint Beispiel pdadmin gt action create k time Ext Authzn action delete lt Aktionsname gt L scht eine vorhandene durch den Befehl action create erstellte Berechtigungsaktion Beispiel pdadmin gt action delete k action list Listet alle vorhandenen ACL Aktionen Berechtigun gen in folgendem Format auf Aktionsname Aktionsbezeichnung Aktionsart Beispiel r read WebSEAL
91. blattobjekt 7 nicht verwendet 16 Verwaltungsobjekt 8 nicht verwendet 17 nicht verwendet Zum Beispiel pdadmin gt object create Management Groups Travel Containerobjekt Travel 10 ispolicyattachable yes Management Management Groups Management Groups Travel Abbildung 26 Gruppencontainerobjekt Ein Gruppencontainerobjekt k nnen Sie auch mit dem Befehl dadmin group create erstellen Siehe nnen erstellen a e Tivoli SecureWay Policy Director Base Administratorhandbuch 123 us1a ajap syseL sBunyemuaN S Gruppen erstellen Verwenden Sie den Befehl pdadmin group create um eine neue Gruppe zu erstellen und diese wahlweise in ein Gruppencontainer objekt einzuf gen Wenn das Containerobjekt noch nicht vorhanden ist wird es automatisch erstellt pdadmin gt group create lt Gruppenname gt lt dn gt lt cn gt Gruppencontainer Argument Beschreibung Gruppenname Name des neuen Gruppenobjekts dn Registrierter Name f r die neue Gruppe en Allgemeiner Name f r die neue Gruppe Gruppen Relativer Pfadname f r das Gruppencontainerobjekt container in dem sich diese neue Gruppe befinden soll Wird kein Gruppencontainerobjekt angegeben wird die Gruppe in Management Groups aufgenommen m Alle neuen Gruppencontainerobjekte die Sie erstellen erschei nen unter dem Standardcontainer Management Groups Soll ein Container auf einer anderen unter
92. ch in seinen Pr fprozess auf Anwendungen die den Berechtigungsservice nutzen z B WebSEAL und alle Anwendungen die die Berechtigungs API ver wenden haben Vorteile von der zus tzlichen aber nahtlosen Auf nahme eines konfigurierten externen Berechtigungsservice Alle Erweiterungen der Sicherheits Policy die durch einen externen Berechtigungsservice erfolgen sind f r diese Anwendungen trans parent und erfordern keine nderung der Anwendungen Der externe Berechtigungsservice gestattet die vollst ndige Integra tion des vorhandenen Sicherheitsservice eines Unternehmens Ein externer Berechtigungsservice bewahrt die Anfangsinvestitionen eines Unternehmens in Datenschutzmethoden indem herk mmliche Server in den Prozess der Berechtigungsentscheidungsfindung von Policy Director integriert werden k nnen Bedingungen mit Ressourcenanforderungen verkn p fen Mit Hilfe eines externen Berechtigungsservice k nnen spezifischere Bedingungen oder systemspezifische Nebeneffekte mit einem erfolg reichen oder nicht erfolgreichen Zugriffsversuch verkn pft werden Beispiele f r m gliche Bedingungen m Die Aufzeichnung des erfolgreichen oder nicht erfolgreichen Zugriffsversuchs durch einen externen Pr fungsmechanismus ausl sen m Aktive berwachung des Zugriffsversuchs und Ausl sen eines Alerts oder Alarmsignals sobald unzul ssige Vorgehensweise festgestellt wird m Rechnungsstellungs und Mikrozahlungstransaktionen m Zugrif
93. cherimplementierung LDAP Verzeichnisse In den meisten Verzeichnissen werden Informationen mit einer hnli chen Struktur wie in einem gedruckten Telefonbuch gespeichert Die Eintr ge sind in der Regel hierarchisch angeordnet was effizientes und flexibles Verwalten und Suchen gestattet LDAP Verzeichnisse sind sehr viel leistungsf higer sie sind nicht auf Namen Rufnummer und Adresseintr ge beschr nkt In einem LDAP Verzeichnis k nnen fast alle Datenarten gespeichert und folg lich auch abgerufen werden Der Datentyp der in einem LDAP Verzeichnis gespeichert werden kann wird durch das Verzeichnis schema definiert das Ihren Anforderungen entsprechend erweitert und angepasst werden kann Das Definieren eines Verzeichnisschemas und der hierarchischen Ver zeichnisinformationsbaumstruktur kann mit dem Aufbau einer relati onalen Datenbank verglichen werden F r den Entwurf eines Verzeichnisschemas und einer Verzeichnisinformationsbaumstruktur Directory Information Tree DIT ist gr ndliche Analyse der Anwendungsvoraussetzungen der Unternehmensstandards und der Datendefinitionen erforderlich LDAP Serverprodukte z B IBM SecureWay Directory stellen ein umfassendes Schema zur Verf gung das verwendet werden kann sofern keine spezifischen nderungen durch Anforderungen erforder lich sind IBM unterst tzt aktuelle und in der Entwicklung befindliche Stan dards und Vorschl ge f r Datendefinitionen durch aktive Teilnahme
94. chnittstelle zwischen dem Ressour cenmanager der die Berechtigungspr fung anfordert und dem Be rechtigungsservice Die Berechtigungs APl gestattet der Anwen dung die die Policy umsetzt eine Berechtigungsentscheidung anzu fordern schirmt die Anwendung jedoch von der Komplexit t der eigentlichen Entscheidungsfindung ab Die Berechtigungs APl stellt ein Standardprogrammierungsmodell f r die Codierung von Berechtigungsanforderungen und entschei dungen zur Verf gung Die Berechtigungs API erm glicht Ihnen Standardaufrufe an den zentral verwalteten Berechtigungsservice von einer beliebigen herk mmlichen oder neu entwickelten Anwendung aus durchzuf hren Tivoli SecureWay Policy Director Base Administratorhandbuch 35 10 3911q IlOd 13qN 1491S19QN L Die Berechtigungs API kann in zwei Modusarten verwendet werden 36 m Ferner Cache Modus In diesem Modus wird die API so initialisiert dass der ferne Authorization Server pdacld aufgerufen wird um Berechti gungsentscheidungen f r die Anwendung zu treffen Der Autho rization Server verwaltet einen eigenen Cache mit der Replika tion Kopie der Berechtigungs Policy Datenbank Dieser Modus wird f r die Bearbeitung von Berechtigungsanforderungen von Anwendungs Clients empfohlen Lokaler Cache Modus In diesem Modus wird die API so initialisiert dass eine lokale Replikation Kopie der Berechtigungsdatenbank f r die Anwen dung heruntergeladen und verwaltet wir
95. chreibung db file cache refresh interval Position der Datenbank Cache Datei pdacld Das Aktualisierungspr fintervall f r den Master Authorization Server permission info returned max handle groups Maximale Anzahl zuzuordnender Kennungsgruppen listen flags Den Empfang von Policy Cache Aktualisierungsbenachrichtigungen aktivieren bzw inaktivieren Zeilengruppe aznapi entitlement services Definiert Berechtigungs API Services Zeilengruppe aznapi pac services AZN_V37CRED_SVC Ein Service f r die Konvertierung zwi schen Policy Director 3 7 Berechtigun gen und Policy Director 3 8 Berechtigungen Gestattet die Unterst tzung ferner Berechtigungs anforderungen von Policy Director 3 7 Berechtigungs API Anwendungen Zeilengruppe aznapi cred modification services AZN_MOD_SVC_RAD_2AB Ein Berechtigungs nderungsservice mit dem Gruppen einer vorhandenen Berechtigung dynamisch hinzugef gt werden k nnen Mit dieser Aktion kann der Eigner der Berechtigung zus tzliche Berechtigungs m glichkeiten erhalten Zeilengruppe aznapi admin services AZN_ADMIN_SVC_TRACE Trace Verwaltung f r eine Berechtigungs API Anwendung akti vieren bzw inaktivieren mit Hilfe von pdadmin Tivoli SecureWay Policy Director Base Administratorhandbuch 249 Juo9 pjeni 4N ZU919j94 I 250 Version 3 8 Referenz f r Idap conf Konfigurationsdatei Idap conf
96. ctor Kerntechnologien nnana aanne 7i Authentifizierung secs eisose casei 008 boar t a sense san 7 Berechtigungserteilung irer aeea e a e a a a E een 7 Sicherungsstufe Dat ss scrani e a e a a E E a a nenn 7 Skalierbarkeit 2 4 msn 82 een 9 Nachpr fbarkeit sies asr sure net 10 Zentrale Verwaltung ss sororerias rnaner ds beraiei o Dhikiiris 10 Policy Director Komponenten lt se siri csrsacsricorirird errit ragi s 10 Web Portal Manager u mea e sen ern 11 Befehlszeilendienstprogramm pdadmin ossaa erraren 12 Securty SEEVE ceren 2 ra aaa 12 Management Seryef o scrios iicrtincut cerien usinu dniu t iani 12 Tivoli SecureWay Policy Director Base Administratorhandbuch WEDSEA TE oaa ee Bene 13 Berechtigungs APl veiru corursnri corn rit iwar neia ea nenn 13 Verw ltungs API socorrir iesapd iust eret tuet anni NEE ups 14 Policy Director Authorization Server sssassaaaauaa nunun 14 IBM Global Security Kit GSKit essnaaaa aaau 14 Erl uterungen zur Berechtigung Konzeptionelles Modell 14 Vorteile eines Standardberechtigungsservice 2222222200 17 Einf hrung in den Policy Director Berechtigungsservice 18 Policy Director Berechtigungsservice 222222 eeeeeeeeeeeene nen 20 Komponenten 2 ne en een 20 Berechtigungsserviceschnittstellen 2222222200 eeeeeee en 22 Replikation f r Skalierbarkeit und Leistung 2 22 222220 24 Implementieren einer Netzsicher
97. cuser 4807ws0l rsrcpwd newrsrpw user dlucas rsrccred delete lt Ressourcenname gt rsrctype weblgroup user lt Benutzername gt L scht nur die Ressourcenberechtigungsinformationen f r einen vorhandenen Benutzer Die Ressourcenart muss der Ressourcenart entsprechen die bei der Erster stellung der Ressource zugeordnet wurde z B web oder group Beispiel in einer Zeile eingegeben pdadmin gt rsrccred delete engwebs0l rsrctype group user dlucas rsrccred list user lt Benutzername gt Zeigt die Namen aller definierten Ressourcen und ihre Art f r den angegebenen Benutzer an Beispiel pdadmin gt rsrccred list user dlucas Dieser Befehl hat etwa folgende Ausgabe Ressourcenname engwebs0l Ressourcenart group Ressourcenname engwebs02 Ressourcenart web Tivoli SecureWay Policy Director Base Administratorhandbuch 233 uw pepd Iy3J9g AN ZU919j94 Y Befehl Beschreibung rsrecred show lt Ressourcenname gt rsretype weblgroup user lt Benutzername gt Zeigt die Ressourcenberechtigungsinformationen f r einen angegebenen Benutzer an Ressourcen berechtigung und Benutzer m ssen vorhanden sein ansonsten wird eine Fehlernachricht angezeigt Beispiel in einer Zeile eingegeben pdadmin gt rsrecred show webs4807 rsrctype group user dlucas Dieser Befehl hat etwa folgende Ausgabe Ressourcenname engwebs0l Ressourcenart group Ressourcenbenutzer ID dlucas
98. d Der lokale Cache Mo dus bewirkt einen besseren Durchsatz weil die Anwendung alle Berechtigungsentscheidungen lokal und nicht ber ein Netz trifft Der Systemaufwand f r die Datenbankreplikation und die erfor derlichen Sicherheitsvorkehrungen f r diesen Modus machen ihn jedoch zur optimalen Auswahl f r gesicherte Anwendungsserver wie z B WebSEAL Einer der Hauptvorteile der Berechtigungs API liegt darin dass dem Benutzer die Komplexit t des Berechtigungsservicemechanismus an sich erspart bleibt Verwaltung Zwischenspeicherung Replikation Berechtigungsformate und Authentifizierungsmethoden bleiben hinter der Berechtigungs API verdeckt Die Berechtigungs API arbeitet au erdem unabh ngig von der zugrundeliegenden Sicherheitsinfrastruktur dem Berechtigungsformat und dem Pr fmechanismus Die Berechtigungs API macht es m g lich eine Berechtigungspr fung anzufordern und eine einfache Emp fehlung Ja oder Nein zu erhalten Die Details der Berechtigungs pr fung bleiben dem Benutzer verborgen Version 3 8 Verwendung der Berechtigungs APl Zwei Beispiele Anwendungen eines anderen Herstellers k nnen mit Hilfe der Berechtigungs API Zugriffssteuerung f r sehr spezifische und spezielle Prozesse ausf hren Beispiel 1 Eine grafische Benutzerschnittstelle kann entworfen werden die Kn pfe gem den Ergebnissen der Berechtigungspr fung dynamisch als aktiv oder inaktiv anzeigt Beispiel 2 Eine weiter
99. d f r die Aktualisierungsbenachrichtigung der Benachrichtigungs Thread Pool verwendet wie auch im automa tischen Modus Daher wirkt sich die Einstellung des Parameters max notifier threads auf den manuellen Modus aus Siehe Anzahl Version 3 8 Befehl pdadmin server replicate Wenn Sie eine manuelle Aktualisierungsbenachrichtigung konfigurie ren wird dieses Ereignis durch eine manuelle Anwendung des Befehls pdadmin server replicate gesteuert Der Befehl hat fol gende Syntax pdadmin gt server replicate server lt Servername gt Wird das optionale Argument Servername angegeben wird nur die ser Server ber nderungen der Hauptberechtigungsdatenbank infor miert In einer Antwort wird der Erfolg bzw Misserfolg der Benach richtigung und der Replikation angezeigt Wird das Argument Servername nicht angegeben empfangen alle konfigurierten Authorization Server Aktualisierungsbenachrichti gungen Eine positive Antwort zeigt lediglich an dass der Manage ment Server mit dem Senden von Aktualisierungsbenachrichtigungen begonnen hat Die Antwort gibt keine Auskunft dar ber ob die eigentlichen Benachrichtigungs und Replikationsprozesse erfolgreich waren oder nicht F r die Ausf hrung dieses Befehls ist die Berechtigung s f r das Objekt Management Server erforderlich Anzahl der Aktualisierungsbenachrichtigungs Threads definieren Der Verwaltungsserver ist f r das Synchronisieren aller Datenbank replikationen i
100. d zu entziehen Tivoli SecureWay Policy Director Base Administratorhandbuch 91 U9PUSOMAOA SOIIIOA 1IV E 92 Der Administrator der diese Zugriffssteuerungsliste ACL aus der Liste der ACL Policies l schen will muss ber einen Eintrag in die ser ACL verf gen und die Berechtigung control muss f r den Admi nistrator in diesem Eintrag definiert sein Die Berechtigung control gestattet einem anderen Benutzer Verwaltungsberechtigungen zu erteilen wie z B diese ACL Objek ten zuzuordnen Berechtigung attach a Sie m ssen die Berechti gung control aufgrund der starken Eigentumsrechteigenschaften mit gro er Vorsicht verwenden Die Berechtigung control ist nur im Bereich Management ACL von Bedeutung Management Action Berechtigungen Mit diesem Objekt k nnen Verwaltungsbenutzer angepasste Aktionen und Aktionsgruppen verwalten Aktions Tasks und zugeh rige Berechtigungen Operation Beschreibung d delete Vorhandene Aktion oder Aktionsgruppe l schen action delete action group delete m modify Neue Aktion oder Aktionsgruppe erstellen action create action group create action list action group list Erfordern keine speziellen Berechtigungen Policy Director stellt Berechtigungsservices f r Anwendungen zur Verf gung Die zu der Policy Director Produktfamilie geh renden Anwendungen sind z B WebSEAL f r Webanwendungen und PDMQ f r Nachrichtenanwendungen Anwendungen
101. dardeinstellungen pdadmin gt pop show test Policy f r gesch tztes Objekt test Beschreibung Warnung nein Pr fungsstufe keine Sicherungsstufe keine Zugriffszeit Son Mon Die Mit Don Fre Sam anytime local Policy f r IP Endpunkt Authentifizierungsmethode Anderes Netz 0 POP Policy l schen pdadmin gt pop delete lt POP Name gt Zum Beispiel pdadmin gt pop delete test pdadmin gt pop list pdadmin gt POP Beschreibung ndern und anzeigen pdadmin gt pop modify lt POP Name gt set description lt Beschreibung gt Anmerkung Die Beschreibung muss in doppelte Anf hrungszei chen eingeschlossen werden wenn sie aus mehreren W rtern besteht Zum Beispiel pdadmin gt pop modify test set description Test POP pdadmin gt pop show test Policy f r gesch tztes Objekt test Beschreibung Test POP Warnung nein Pr fungsstufe keine Sicherungsstufe keine 108 Version 3 8 Zugriffszeit Son Mon Die Mit Don Fre Sam anytime local Policy f r IP Endpunkt Authentifizierungsmethode Anderes Netz 0 POP Attribute auf gesch tzte Objekte anwenden POP Policies werden wie ACL Policies auf Objekte angewendet POP Policy einem Objekt zuordnen Die Syntax f r das Zuordnen einer POP Policy zu einem Objekt lau tet pdadmin gt pop attach lt Objektname gt lt POP Name gt Zum Beispiel pdadmin gt pop attach WebSEAL serverA index html test Herausfinden wo eine POP Policy zugeordnet ist pdadm
102. darstellung f r Res sourcen der gesicherten Dom ne die als gesch tzter Objektbereich bezeichnet wird Ein Policy Director Sicherheitsadministrator ordnet mit Hilfe des Web Portal Manager oder des Dienstprogramms pdadmin den logi schen Objekten in dem Objektbereich ACL und POP Policies zu Elemente des gesch tzten Objektbereichs Der gesch tzte Objektbereich von Policy Director ist eine logische und hierarchische Darstellung von Ressourcen die zu einer gesicher ten Dom ne geh ren Objekte in dem hierarchischen Objektbereich stellen tats chliche physische Netzressourcen dar m Systemressource Die tats chliche physische Datei der tats ch liche Netzservice oder die tats chliche Anwendung Gesch tztes Objekt Die logische Darstellung einer tats chli chen Systemressource die der Berechtigungsservice Web Portal Manager und andere Policy Director Verwaltungsdienstpro gramme verwenden Version 3 8 Der gesch tzte Objektbereich enth lt zwei Objektarten m Containerobjekte Containerobjekte sind Strukturelemente mit denen Sie eine aus begrenzten funktionalen Bereichen bestehende Hierarchie f r den Objektbereich aufbauen k nnen Containerobjekte enthalten Ressourcenobjekte m Ressourcenobjekte Ressourcenobjekte sind die Darstellungen tats chlicher Netz ressourcen z B Services Dateien und Programme in Ihrer gesicherten Dom ne 4 Containerobjekte ION Ressourcenobjekte
103. de und einen Ergebniswert G ltige Ergebniswerte sind 0 SUCCESS 1 FAILURE 2 PENDING 3 UNKNOWN Sie k nnen mit dem Befehl pdadmin errtext eine Interpretation f r den Policy Director Statuscode 412668954 im folgenden Beispiel zur Verf gung stellen lt outcome status 412668954 gt 1 lt outcome gt Ressourcenattribut des Felds Target Das Ressourcenattribut des Felds target stellt eine grobe Kategori sierung des Zielobjekts dar AUTHORISATION 1 PROCESS 2 TCB 3 CREDENTIAL 5 GENERAL Inhalt der Pr fprotokolldatei 186 Berechtigungspr fs tze Berechtigungserteilung ist die Hauptfunktion der Policy Director Server Berechtigungspr fs tze k nnen erfasst werden wenn einem Zielobjekt in der Policy Director Berechtigungs Policy Datenbank gesch tzter Objektbereich eine POP Policy zugeordnet ist die Pr f funktionen aktiviert Sie k nnen die Pr fung f r einen bestimmten Server konfigurieren indem Sie azn der Pr fkonfigurationsliste in der Zeilengruppe aznapi configuration der Serverkonfigurationsdatei hinzuf gen Version 3 8 aznapi configuration auditcfg azn Das folgende Beispiel zeigt einen Pr fsatz f r das folgende Ereignis pdadmin gt pop modify popl set audit level all lt event rev 1 1 gt lt date gt 2001 08 05 16 25 08 341 00 00I lt date gt lt outcome status 0 gt 0 lt outcome gt lt originator blade pdmgrd gt lt component rev 1 1
104. dem Containerobjekt Mana gement Groups zuordnen wirkt sich die ACL auf alle anderen unter geordneten Gruppencontainer im Objektbereich aus Die ACL die einer dieser Positionen zugeordnet wird oder ber nommen wird legt folgendes fest m Wer das Gruppenobjekt und die Benutzer in der Gruppe steuert m Welche Aktionen f r die Gruppe und ihre Benutzer ausgef hrt werden k nnen Beispielsweise definiert in Abb 27 auf Seite 123 eine ACL f r Management Groups Travel Berechtigungen zur Steuerung von groupl und group2 Die folgenden Operationen und ACL Berechtigungen sind f r die Gruppenverwaltung geeignet Operation Berechtigung erstellen neue Gruppe importieren Gruppendaten N create aus der Benutzerregistrierungsdatenbank l schen eine Gruppe d delete anzeigen Gruppendetails v view 126 Version 3 8 Operation Berechtigung ndern Gruppenbeschreibung m modify hinzuf gen vorhandenen Benutzer einer Gruppe A add entfernen Benutzer aus der Gruppe A add Diese Operationen k nnen Sie mit den entsprechenden Befehlen des Dienstprogramms pdadmin ausf hren Anmerkungen m Die Berechtigung create N muss sich in einer Zugriffssteue rungsliste ACL befinden die Management Groups zugeordnet ist oder in einem Gruppencontainerobjekt m Alle anderen aufgef hrten Berechtigungen k nnen sich in einer ACL die Management Groups zugeordnet i
105. die Verwendung der einzelnen Parameter erl utern Wenn Sie Konfigurationseinstellungen ndern m ssen gehen Sie beim Editieren der Dateien mit Vorsicht vor um ihre Integrit t sicherzustellen Version 3 8 UNIX Policy Director Server stoppen starten Serverprozesse werden normalerweise durch automatisierte Scripts die beim Systemstart und beim Systemabschluss ausgef hrt werden aktiviert bzw inaktiviert In einer UNIX Umgebung k nnen Sie mit dem Script pd_start die Serverprozesse auch manuell starten und stoppen Dieses Verfah ren ist n tzlich wenn Sie eine Installation anpassen oder Fehlerbe hebungs Tasks ausf hren m ssen Scripts k nnen Sie nur auf der lokalen Maschine ausf hren F r das ferne Stoppen und Starten von Servern verwenden Sie Web Portal Manager Die allgemeine Syntax f r pd_start lautet pd_start start restart stop status Sie k nnen das Dienstprogramm pd_start aus jedem Verzeichnis ausf hren Das Script befindet sich in folgendem Verzeichnis opt PolicyDirector bin Policy Director Server mit Dienstprogramm pd_start stoppen Verwenden Sie das Dienstprogramm pd_start um alle Policy Direc tor Server auf einer bestimmten Maschine in der korrekten Reihen folge zu stoppen pd_start stop Dieses Script wartet bis alle Server gestoppt wurden bevor die Ein gabeaufforderung wieder erscheint Policy Director Server mit Dienstprogramm pd_start starten Verwenden Sie das Dienstprogra
106. dmin user steuern Benutzereintr ge in der LDAP Registrierungsdatenbank Ein Benutzer ist ein registriertes Mitglied der gesicherten Dom ne von Policy Director Ein GSO Benutzer ist ein Policy Director Be nutzer der die zus tzliche Berechtigung f r die Arbeit mit Webres sourcen z B ein Webserver besitzt Tivoli SecureWay Policy Director Base Administratorhandbuch 215 umwpepd Iy3J9g AN ZU919j94 Y Befehl Beschreibung user create gsouser no password policy lt Benutzername gt lt DN gt lt CN gt lt SN gt lt Kennwort gt Gruppenname Erstellt ein neues Policy Director Benutzerkonto secUser in der LDAP Benutzerregistrierungs datenbank Der registrierte Name Distinguished Name DN muss bekannt sein damit Sie ein neues Benutzer konto erstellen k nnen Wenn das optionale Argument gsouser angegeben wird wird der Benutzer au erdem zu einem GSO Benutzer gsoUser Das Argument Benutzername ist der Name des erstell ten Benutzers Dieser Name muss eindeutig sein Das Argument DN ist der registrierte LDAP Name der dem erstellten Benutzer zugeordnet wird Beispiel en Diana Lucas ou Austin o Wesley Inc c US Der DN muss eindeutig sein Das Argument CN ist der allgemeine Name common name der dem erstellten Benutzer zugeordnet wird Beispiel Diana Lucas Das Argument SN ist der Familienname surname des erstellten Benutzers Beispiel Lucas Das Argument Kennwort ist das Kennwo
107. e Verf gt dieser Benutzer diese Gruppe ber die Berechti gung r zum Beispiel zum Anzeigen des angeforderten Objekts Der Berechtigungsservice wei hierbei nichts von der Operation f r die die Berechtigung r ben tigt wird F r den Berechtigungsservice Version 3 8 736 1 ist nur die Tatsache von Bedeutung ob die Berechtigung r im ACL Eintrag des anfordernden Benutzers oder der anfordernden Gruppe vorhanden ist oder nicht Dies ist eine sehr wirksame Funktion des Berechtigungsservice Der Service ist vollkommen unabh ngig von den angeforderten Operatio nen Aus diesem Grund ist es einfach die Vorteile des Berechti gungsservice auf Anwendungen anderer Hersteller auszuweiten Voraussetzungen f r angepasste Berechtigungen Das gesamte Repertoire der 18 Policy Director Standardberechti gungen Aktionen steht Anwendungen anderer Hersteller zur Verf gung Wenn eine Anwendung eines anderen Herstellers eine der Policy Director Standardberechtigungen nutzt sollte die zugeordnete Operation sehr genau der Operation entsprechen die normalerweise von Policy Director ausgef hrt wird Die Berechtigung r sollte bei spielsweise nur von einer Operation verwendet werden bei der Lesezugriff f r ein gesch tztes Objekt ben tigt wird Anmerkung Eine Anwendung eines anderen Herstellers kann selbstverst ndlich eine Policy Director Standard berechtigung f r eine vollkommen andere Operation v
108. e Administratorhandbuch 165 USPUSMIOA Yuequajep sBun1a11s1 9y dVA1 Z 7 W hlen Sie in der Baumstruktur auf der linken Seite Verzeichnisstruktur gt Baumstruktur anzeigen aus M glicherweise wird folgende Warnung angezeigt Warnung Eintrag o neworg c us enth lt keine Daten 8 Wenn Sie die folgende Nachricht nicht gesehen haben fahren Sie mit Schritt B fort Warnung Eintrag o neworg c us enth lt keine Daten Wenn Sie diese Nachricht gesehen haben m ssen Sie einen Eintrag f r das Suffix erstellen Auf das Suffix kann erst dann eine Zugriffssteuerung angewendet werden wenn ein Eintrag vorhanden ist Gehen Sie wie folgt vor um einen Eintrag zu erstellen a Klicken Sie auf Hinzuf gen im rechten Teilfenster Das Dialogfenster zum Hinzuf gen eines LDAP Eintrags wird angezeigt b Geben Sie Organisation als Eintragsart an Definieren Sie c us als bergeordneten registrierten Namen Geben Sie o neworg als registrierten Eintragsnamen an Klicken Sie auf OK Die Eintragsseite f r Organisation wird im Dialogfenster zum Hinzuf gen eines LDAP Eintrags ange zeigt c Geben Sie den Organisationsnamen neworg im Abschnitt Attribute bei o ein d Klicken Sie auf Hinzuf gen Die Seite Verzeichnisbaum struktur anzeigen wird angezeigt 9 Klicken Sie auf Verzeichnisstruktur gt Baumstruktur aktua lisieren im linken Teilfenster 166 Version 3 8 10 11 12 13 14 15 Heben Sie d
109. e Bereiche des gesch tzten Objekt bereichs dar und dienen zwei wichtigen Sicherheitsfunktionen 1 Sie k nnen mit Hilfe der Zugriffssteuerungsliste eines Container objekts Policy auf hoher Ebene f r alle untergeordneten Objekte in dem Bereich definieren wenn keine anderen expliziten Zugriffssteuerungslisten angewendet werden 2 Sie k nnen die Zugriffsberechtigung f r alle Objekte in einem Bereich verweigern indem Sie die Berechtigung zum Durchque ren traverse aus der Zugriffssteuerungsliste des Containerobjekts entfernen Stammcontainerobjekt Die folgenden Sicherheitshinweise betreffen das Stammobjekt Root m Das Stammobjekt ist der Ausgangspunkt der ACL bernahme kette f r den gesamten gesch tzten Objektbereich m Wenn Sie keine anderen expliziten ACLs anwenden definiert das Stammobjekt durch bernahme die Sicherheits Policy f r den gesamten Objektbereich F r den Zugriff auf die Objekte die sich unterhalb des Stamm objekts befinden ist die Berechtigung traverse erforderlich Berechtigung Traverse Die Berechtigung traverse Durchqueren ist eine generische Berech tigung die im gesamten gesch tzten Objektbereich gilt Operation Beschreibung T Traverse Erlaubt bei Anwendung auf ein Containerobjekt dem Requester das Containerobjekt auf dem Weg zum angeforderten Ressourcenobjekt hierar chisch zu durchqueren Es wird keine andere Art des Zugriffs f r das Containerobjekt erteilt Die Be
110. e Name der Policy Dies wird der lt POP Name gt in den pdadmin pop Befehlen Beschreibung Beschreibender Text f r die Policy Erscheint im pop show Befehl Warnungsmodus Methode zum Testen von ACL und POP Policies f r Administratoren Pr fungsstufe Gibt die Art der Pr fung an Alle Keine Zulassen Ver weigern Fehler Zugriffszeit Tages und Zeitangaben f r einen erfolgreichen Zugriff auf ein gesch tztes Objekt Erzwungen durch Ressourcenmanager z B WebSEAL POP Attribut Beschreibung Sicherungsstufe Gibt den Grad des Datenschutzes an Keine Integrit t Zugriffscode Policy f r IP Endpunkt Authentifizierungsmethode Gibt Authentifizierungsanforderungen f r den Zugriff von externen Netzen an 32 Version 3 8 Policy Verwaltung Web Portal Manager Web Portal Manager ist eine webbasierte Grafikanwendung mit der die Sicherheits Policy in einer gesicherten Dom ne von Policy Direc tor verwaltet wird Das Befehlszeilendienstprogramm pdadmin ver f gt ber dieselben Verwaltungsf higkeiten wie Web Portal Manager Hinzu kommen viele Befehle die Web Portal Manager nicht unter st tzt ber Web Portal Manager oder pdadmin k nnen Sie die Benutzer registrierungsdatenbank die Hauptberechtigungs Policy Datenbank und die Policy Director Server verwalten Au erdem k nnen Sie Benutzer Gruppen hinzuf gen und l schen und ACL und POP Poli cies auf Netzobjekte anwenden
111. e Verwendungsm glichkeit der Berechtigungs API wird in der folgenden Abbildung dargestellt die eine Anforderung einer CGI Transaktion durch eine Webanwendung zeigt Die Berechtigung der niedrigsten Stufe in Abb A dargestellt bein haltet eine Zugriffssteuerung der Art alles oder nichts f r die URL Adresse Diese grobk rnige Berechtigungsstufe bestimmt lediglich ob der Client das CGI Programm ausf hren kann Wenn der Zugriff f r die CGI Anwendung zul ssig ist steht den Ressourcen die von der CGI Anwendung bearbeitet werden keine weitere Steuerung zur Verf gung In Abb B wurden Zugriffssteuerungen f r Ressourcen definiert die das CGI Programm bearbeitet Die Webanwendung ist so konfigu riert dass sie die Berechtigungs API verwendet Jetzt kann das CGI Programm den Berechtigungsservice aufrufen um Berechtigungs entscheidungen f r die bearbeiteten Ressourcen zu treffen Grundlage hierf r ist die Identit t des anfordernden Clients Tivoli SecureWay Policy Director Base Administratorhandbuch 37 10 3911q IlOd 13qN 1491S19QN L 38 Abbildung A Berechtigungs service i Grob E k rniger Von CGI Anforderung jai i E gt Web SEAL 4 PN le gt bearbeitete Antwort i Client 0O Objekte B Sa e Van a l Abbildung B e E
112. e f r Operationen f r Objekte in diesem Bereich geeignet sind enthalten Der Administrator kann mit Hilfe der Management Console ACLs Objekten in dem angegebenen Namensbereich zuordnen Berechtigung attach a und dabei die vorhandene Gruppe der ACL Schablonen verwenden Dieser Administrator hat keine Berechtigung zum Erstellen ndern oder L schen von ACL Schablonen m ACL Policy Zust ndigkeiten Der ACL Policy Administrator sollte f r die Steuerung der Erstellung und nderung aller ACL Schablonen die in der gesi cherten Dom ne verwendet werden verantwortlich sein Dem ACL Policy Administrator sollten die Berechtigungen d b m und v f r das Objekt Management oder Management ACL erteilt werden Tivoli SecureWay Policy Director Base Administratorhandbuch 117 us1a ajap syseL sBunyemian S Dieser ACL Policy Administrator kann neue ACL Schablonen erstellen m Als Ersteller einer neuen Schablone wird der Administrator standardm ig zum ersten Eintrag in der neuen ACL Schablone und er erh lt die Berechtigungen abcT Die Berechtigung control c gibt dem Administrator effektiv das Eigentumsrecht f r die Zugriffssteuerungsliste ACL und folg lich die M glichkeit die ACL zu ndern Als Eigner der ACL kann der Administrator die Berechtigung delete d die in der Verwaltungs ACL erteilt wird verwenden um die ACL aus der Schablonenliste zu entfernen Sie k nnen eine ACL Schablone nur l schen wenn Sie der Ei
113. echtigungsservice zur ck an den Ressourcenmanager z B WebSEAL gesendet werden Der Ressourcenmanager ist f r die Durchsetzung der POP Bedingungen zust ndig Die folgende Tabelle enth lt die verf gbaren Attribute f r eine Policy Director POP Policy Erzwungen durch Policy Director Base POP Attribut Beschreibung pdadmin pop Befehle Name Name der Policy Dies wird create der lt POP Name gt in den delete pdadmin pop Befehlen Beschreibung Beschreibender Text f r die modify set description Policy Erscheint im pop show Befehl Warnungsmodus Methode zum Testen von modify set warning ACL und POP Policies f r Administratoren Pr fungsstufe Gibt die Art der Pr fung an modify set audit level Alle Keine Zulassen Verwei gern Fehler Zugriffszeit Tages und Zeitangaben f r modify set tod access einen erfolgreichen Zugriff auf ein gesch tztes Objekt Erweiterte Attri Gibt erg nzende Datenfelder modify set attribute bute an modify delete attribute list attribute show attribute 106 Version 3 8 Erzwungen durch Ressourcenmanager z B WebSEAL POP Attribut Beschreibung pdadmin pop Befehle Sicherungsstufe Gibt den Grad des Datenschut zes an Keine Integrit t Zugriffscode modify set qop Policy f r IP End punkt Authentifi zierungsmethode Gibt Authentifizierungsan forderungen f r den Zugriff von externen Netzen an modify set i
114. edingungen an die f r die Ausf hrung einer Operation mit einem gesch tzten Objekt erforderlich sind Wenn einem Objekt eine ACL Policy zugeordnet wird geben die Eintr ge in der ACL Policy an welche Operationen f r dieses Objekt zul ssig sind und wer diese Operationen ausf hren darf Policy Director verwendet eine Standardberechtigungsgruppe die einen breiten Operationsbereich abdeckt Berechtigungen werden durch einzelne druckbare ASCH Zeichen a z A Z dargestellt Jede Berechtigung wird durch pdadmin oder Web Portal Manager mit einer Bezeichnung die die betreffende Operation beschreibt ange zeigt Au erdem gruppiert Web Portal Manager die ACL Policies nach ihrer Verwendung in einem bestimmten Abschnitt des Objekt bereichs z B WebSEAL oder nach ihrer Verwendung im gesamten Objektbereich Basis Generisch Operationen f r ein Objekt ausf hren 68 Anwendungssoftware enth lt normalerweise mindestens eine Opera tion die f r gesch tzte Objekte ausgef hrt wird Policy Director macht es erforderlich dass diese Anwendungen den Berechtigungs service aufrufen m ssen bevor die angeforderte Operation fortge setzt werden darf Dieser Aufruf erfolgt ber die Berechtigungs API sowohl f r Policy Director Services z B WebSEAL als auch f r Anwendungen anderer Hersteller Der Berechtigungsservice trifft mit Hilfe der Informationen in der ACL Policy eine einfache Entscheidung Ja oder Nein f r die Frag
115. edit ou Austin o Wesley Inc c US Beschreibung Kredit Abt HCUS LDAP CN credit Ist SecGroup true group show members lt Gruppenname gt Zeigt die Mitglieder der angegebenen Gruppe nach registrierten Namen an Beispiel pdadmin gt group show members credit Dieser Befehl hat etwa folgende Ausgabe dlucas mlucaser Tivoli SecureWay Policy Director Base Administratorhandbuch 225 umwpepd Iy3J9g AN ZU919J94 Y 226 Befehl Beschreibung group list lt Must er gt lt max Zur ckgabe gt Generiert eine Liste nach Gruppennamen aller konfi gurierten Gruppen deren Namen dem angegebenen Muster entsprechen Mit dem Argument Muster k nnen Sie ein Muster f r den Gruppennamen angeben Das Muster kann eine Mischung aus Platzhalterzeichen und Zeichenfolgekonstanten enthalten und die Gro Kleinschreibung muss beachtet werden z B austin Das Argument max Zur ckgabe begrenzt die Anzahl der gesuchten und zur ckgegebenen Eintr ge f r eine einzelne Anforderung z B 2 Beachten Sie dass die zur ckgegebene Anzahl auch durch die LDAP Server konfiguration bestimmt wird in der die maximale Anzahl der Ergebnisse die bei einer Suchoperation zur ckgegeben werden kann festgelegt ist Die tats ch lich zur ckgegebene Anzahl an Eintr gen ist das Mini mum von lt max Zur ckgabe gt und dem konfigurierten Wert im LDAP Server Beispiel pdadmin gt group list a 2 Dieser Befe
116. einzelne ACL Die neue Sicherheitsdefinition wird sofort f r alle Objekte die dieser ACL zugeordnet sind implementiert Version 3 8 Syntax der ACL Eintr ge Ein ACL Eintrag enth lt entweder zwei oder drei Attribute je nach ACL Eintragsart und hat folgendes Format ACL Benutzer dam er Eintrag f i j Art ID Berechtigungen Abbildung 18 Attribute f r ACL Eintr ge Art Die Definitionseinheitenkategorie Benutzer oder Grup pe f r die die ACL erstellt wurde m ID Identit t die eindeutige Kennung Name der Definitionseinheit Das Attribut ID ist f r die ACL Eintragsarten Beliebige andere und Nicht authentifiziert nicht erforderlich m Berechtigungen oder Aktionen die Operationen die dieser Benutzer bzw diese Gruppe f r das Objekt ausf hren kann Die meisten Berechtigungen legen fest ob ein Client eine spezifische Operation auf der Ressource ausf hren kann In dem Beispiel oben hat der Benutzer adam Art Benutzer ID adam die Berechtigung das Objekt das durch diese ACL Policy gesch tzt wird zu lesen anzuzeigen Die Berechtigung r gestattet Leseoperationen Die Berechtigung T erzwingt die Traverse Regel Tivoli SecureWay Policy Director Base Administratorhandbuch 63 U9PUSOMAOA SOIIIOA 19V E Attribut Art Ein ACL Eintrag Art gibt den Benutzer die Gruppe oder die spezi elle Definitionseinheit f r einen bestimmten ACL Eintrag an Es gibt vier ACL Eint
117. elle ist komplex und setzt detaillierte Kenntnisse des Objektbereichs der Policy Schablonen und der Berechtigun gen voraus Version 3 8 m Berechtigungs API Die Berechtigungs APl bergibt Anfor derungen nach Berechtigungsentscheidungen vom Ressourcen manager an das Berechtigungsauswertungsprogramm das dann eine Empfehlung zur cksendet Das Handbuch Tivoli Secure Way Policy Director Authorization ADK Developer Reference enth lt Einzelheiten zu dieser API Berechtigungsservice 1 i l I i Management Web Portal g i Manager gt Server i nak erechtigungs pdmgra Policy 2 f o T wj i i Fi I H l Si I ji Verwaltungs I B i erechtigungs l schnittstelle i gung 5 auswertungs Replikations g I programm berechti N A gungs Policy Fersssse AuthAPl v Ressourcen manager Abbildung 4 Berechtigungsservice Schnittstellen Tivoli SecureWay Policy Director Base Administratorhandbuch 23 10 3911q IlOd 13qN 1491S19QN L Replikation f r Skalierbarkeit und Leistung Die Berechtigungsservicekomponenten k nnen repliziert werden um die Verf gbarkeit in einer Umgebung mit hohen Anforderungen zu verbessern Sie k nnen die Hauptberechtigungs Policy Datenbank die Policy Regeln und Berechtigungsinformationen enth lt so konfigurieren dass sie automatisch repliziert
118. ement Config Berechtigungen 94 Management Groups Berechtigungen 98 Management GSO Berechtigungen 99 Management Policy Berechtigungen 95 Management POP Berechtigungen 93 Management Replica Berechtigungen 95 Management Server 12 20 135 Management Server Berechtigungen 94 Management Users Berechtigungen 96 max notifier threads 146 148 N Nachpr fbarkeit 10 Nicht authentifiziert 65 Nicht authentifizierte 72 notifier wait time 146 149 O Objektarten 56 123 Objektberechtigungen 100 Objektbereich benutzerdefiniert 54 neuen erstellen 55 Objektbereichsberechtigungen 100 Objekte erstellen und l schen 57 P pd_start 138 141 pdacld 136 pdacld log 177 pdadmin 12 138 pdadmin server replicate Befehl 147 pdmgrd 20 136 pdmgrd log 177 Policy Director Authorization Server 14 Berechtigungs API 13 Berechtigungsservice 18 20 Einf hrung 5 IBM Global Security Kit GSKit 14 Kerntechnologien 7 Komponenten 10 Management Server 12 pdadmin 12 Security Server 12 Sicherheitsmethoden und definitionen 3 Unternehmensnetze sichern 2 Verwaltungs API 14 Web Portal Manager 11 WebSEAL 13 POP 3 32 106 Attribute konfigurieren 109 auf Objekte anwenden 109 erstellen 107 POP Attribut IP Endpunktauthentifizierung 112 Pr fungsstufe 110 Sicherungsstufe 112 Warnungsmodus 110 Zugriffszeit 111 POP Policies 32 POP Policies definieren 29 POP Policy 3 106 Attribute konfigurieren 109 auf Objekte anwenden 109 erstellen 107 Priorit tswerte
119. en fest Die Routing Datei enth lt fol gende Standardeintr ge UNIX FATAL STDOUT FILE var PolicyDirector log fatal log ERROR STDOUT FILE var PolicyDirector log error log WARNING STDOUT FILE var PolicyDirector log warning log NOTICE FILE 10 100 var PolicyDirector log notice log Windows FATAL STDERR FILE PDDIR log fatal log ERROR STDERR FILE PDDIR log error log WARNING STDERR FILE PDDIR log warning log NOTICE FILE 10 100 PDDIR log notice log Nachrichten an Standardausgabe bertragen Warnungen und Fehlernachrichten einschlie lich NOTICE Nachrich ten werden normalerweise an die entsprechenden Protokolldateien umgeleitet Sollen diese Nachrichten an die Standardausgabe Terminal bertra gen werden verwenden Sie den Befehl foreground beim Starten eines Servers Hierdurch wird der Server im Vordergrund ausgef hrt das hei t der Server d monisiert sich nicht selbst und Warnungen und Fehlernachrichten werden an die Standardausgabe gesendet Soll der Management Server z B im Debug Modus gestartet wer den geben Sie folgenden Befehl ein opt PolicyDirector bin pdmgrd foreground Sie k nnen die Serverausgabe auch mit dem UNIX Befehl tee in einer einzelnen Datei erfassen Das folgende Beispiel zeigt wie der Management Server in diesem Modus gestartet wird pdmgrd foreground 2 gt amp 1 tee tmp ivmgrd log Tivoli SecureWay Policy Director Base Administratorhandbuch 179 uajn
120. en Administratoren und vielleicht auch berhaupt nicht in Verbindung mit der Berechtigung m oder W erteilt werden Wenn ein Administrator ber die Berechtigungen A und W ver f gt Kann er der Gruppe f r die er ber die genannten Berechtigun gen verf gt einen beliebigen Benutzer hinzuf gen und dann das Kennwort dieses Benutzers ndern Ein beliebiger Benutzer kann ausgew hlt werden selbst ein bergeordneter Administrator oder sogar sec_master Auf diese Weise k nnte ein Administrator unein geschr nkten Zugriff auf das System erhalten indem er sich als die ser bergeordnete Benutzer anmeldet Eine Kombination der Berech tigungen A und m hat hnliche Konsequenzen Allerdings kann ein Administrator mit diesen beiden Berechtigungen nur beliebige Konten inaktivieren Bei der Definition einer vollst ndigen Stellvertreterverwaltungs Po licy implizieren diese Einschr nkungen eine bestimmte Struktur und Verwendung f r Ihre Benutzergruppen Sie m ssen Gruppen erstellen mit denen Sie Benutzerverwaltungs Tasks delegieren z B das Erstellen neuer Benutzer das L schen von Benutzern und das Zur cksetzen von Benutzerkennw rtern Administratoren die Benutzerverwaltungs Tasks ausf hren sollten ber die Berechtigungen N d m W und v verf gen um erstellen l schen ndern inaktivieren oder Beschreibung ndern zu k nnnen Kennw rter zur cksetzen oder
121. en Priorit tswert Der Lastausgleich bestimmt welcher Server f r die jeweilige Zugriffsoperation ausge w hlt wird 5 6 6 6 Die drei Replikationsserver haben densel ben Priorit tswert Dieser Wert ist h her als der des Master Servers Der Lastausgleich bestimmt die Serverauswahl unter den drei Replikationsservern Der Master Server wird nur verwendet wenn alle drei Replikationsserver nicht verf gbar sind 5 6 7 8 Server 3 mit dem h chsten Priorit tswert wird zum prim ren Server Wenn Server 3 ausf llt wird Server 2 zum prim ren Ser ver weil dieser den n chsth heren Priorit tswert hat Die Priorit tswerte wirken sich nur auf den Lesezugriff f r die LDAP Datenbank aus Policy Director verwendet immer den Master Server Lesen Schreiben wenn Sie eine nderung in der LDAP Da tenbank vornehmen m ssen Beachten Sie au erdem dass einige Policy Director D monen z B der Management Server die Priorit tseinstellungen in ihren Konfi gurationsdateien berschreiben um anzuzeigen dass der Server f r Lese Schreiboperationen bevorzugt wird Der Grund hierf r ist dass diese D monen in der Regel Aktualisierungsoperationen durchf hren die an den LDAP Master Server gehen sollten Serversendeaufruf Wenn ein LDAP Server ausf llt ruft Policy Director den Server ununterbrochen auf um festzustellen ob er wieder aktiv ist Die Aufrufzeit betr gt 10 Sekunden 162 Version 3 8
122. en gesch tzten Objektbereich und alle zugeordneten gesch tzten Objekte objectspace list Listet alle gesch tzten Objektbereiche auf Version 3 8 Gesch tzte Objekte verwalten Befehl Beschreibung yesino object create lt Objektname gt lt Beschreibung gt lt Art gt ispolicyattachable Erstellt ein neues gesch tztes Objekt Das Argument Objektname ist der Name f r das erstellte Objekt Die ser Name muss eindeutig sein Das Argument Beschrei bung ist eine beliebige Zeichenfolge die das Objekt beschreibt Diese Informationen erscheinen im Befehl object show Das Argument Art gibt das Grafiksymbol an das diesem Objekt zugeordnet ist und von der Management Console angezeigt wird Die Arten liegen im Bereich von 0 13 Die Arten 10 und 13 sind bei spielsweise f r Containerobjekte geeignet Das Argu ment ispolicyattachable legt fest ob Sie diesem Objekt eine ACL Policy zuordnen k nnen Ein Beispiel finden object delete lt Objektname gt L scht ein gesch tztes Objekt object list lt Objektname gt Neu Listet alle Kindobjekte auf die unter dem angege benen gesch tzten Objekt gruppiert sind Alt Listet die Objekte auf die unter dem angegebenen Verzeichnis gruppiert sind und zeigt die Namen aller ACLs an die den einzelnen Objekten zugeordnet sind Beachten Sie dass dieser Befehl die Baumstruktur nicht ber dieses Verzeichnis hinaus erweitert object l
123. enachrichtigungen direkt vom Verwaltungsserver pr fen die Anwendungsserver au erdem regelm ig die Version der Hauptberechtigungs Policy Daten bank um sicherzustellen dass keine Aktualisierungsbenach richtigung bersehen wird Erreicht eine Aktualisierungsbenachrichtigung keinen Server wird ein Protokolleintrag erstellt In beiden F llen wird durch einen Wiederholungsmechanismus sichergestellt dass die Aktua lisierung in Zukunft erfolgt m Die zwischengespeicherten Policy Informationen bewirken eine hohe Systemleistung Wenn beispielsweise WebSEAL eine Berechtigungspr fung durchf hrt wird die Policy Schablone in der eigenen zwischengespeicherten Version der Datenbank ber pr ft WebSEAL muss nicht auf das Netz zugreifen um diese Tivoli SecureWay Policy Director Base Administratorhandbuch 25 10 3911q IlOd 13qN 1491S19QN L Informationen aus der Hauptdatenbank abzurufen Das Ergebnis sind sehr schnelle Antwortzeiten Leistung bei Berechtigungs pr fungen m Einzelne Berechtigungsergebnisse werden vom aufrufenden Anwendungsserver nicht zwischengespeichert Implemenitieren einer Netzsicherheits Policy 26 Die Sicherheits Policy f r eine gesicherte Dom ne wird durch die Steuerung der Benutzer und Gruppenmitgliedschaft in der Dom ne und durch Anwenden von Regeln so genannte ACL Policies ACL Access Control List Zugriffssteuerungsliste und POP Policies POP Protected Object Policies Policies f r gesc
124. encia daui nennen 184 Tivoli SecureWay Policy Director Base Administratorhandbuch Statusattribut des Felds Outcome 2 22 cc mon 186 Ressourcenattribut des Felds Target 22 2 2222 186 Inhalt der Pr fprotokolldatei 2 22 oooeneeeeeeennnn nen 186 Berechtigungspr fs tze 22 oia e ia e nenn 186 Authentifizierungspr fs tze lt scos acoc niia amea ia a a aa 187 WebSEAL Pr fs tze rersrecst t Cerra EIEEE SERER EEE NEEE ET E 188 Verwaltu gspr fs t ssi eie aea aaeain eia i ai a aiaia e a a ia is iih 189 Anhang A Referenz f r Befehl pdadmin 197 Einf hrung in das Dienstprogramm pdadmin 2 222 198 Dienstprogramm pdadmin starten Befehl login 198 Hilfetext vu 250 000 00 00a na a re een 199 Dienstprogramm pdadmin beenden 22222200 200 Unzul ssige Sonderzeichen f r GSO Befehle 200 Benennungseinschr nkungen f r GSO Ressourcen 22 2 2 200 ACE Beichlers s 2 8 0 0222 re ea 200 ACL Poliey verwalten 22222 cirer do capri kada nenn 201 Erweiterte Attribute f r ACLs verwalten 22222222 ceeecen 203 Aktionsbefehle u4 4 u 0004004 su 2a eek 204 Angepasste ACL Aktionen erstellen 22222220 eeeenen 204 Erweiterte ACL Aktionen und Aktionsgruppen erstellen 205 Objektbeiehle 0H sse er ea re ec 206 Angepassten Objektbereich verwalten 2 222222 206 Gesch tzte Objekte verwalten
125. entiert und verwaltet werden kann Policy Director stellt die drei Hauptanforderungen f r ausgeglichene Sicherheitsl sungen zur Verf gung m Fine Reihe von L sungen f r den Aufbau einer Netzumgebung mit hoher Sicherheit m Praktische und intuitive Verwaltungs Tools f r eine sichere zen trale Verwaltung m Sicherheitsmechanismen die berechtigte Client Aktivit ten auf dem Netz nicht behindern Version 3 8 Methoden und Definitionen der Netzsicherheit Folgende Netzsicherheitsservices und begriffe sind f r die Beschrei bung von Policy Director in diesem Dokument von Bedeutung Gesicherte Dom ne Eine Gruppe von Benutzern Systemen und Ressourcen die allgemeine Services gemeinsam benutzen und in der Regel einem gemeinsamen Zweck dienen ACL Policies ACL Access Control List Zugriffs steuerungsliste Der Sicherheitsmechanismus von Policy Director der Benutzern und Gruppen die Berechtigungen f r bestimmte Operationen Aktionen f r gesch tzte Ressourcen zur Verf gung stellt Authentifizierung Die Identifikation jedes Benutzers der sich an einer gesicherten Dom ne anmelden will Berechtigungserteilung Die Feststellung durch den Berechtigungsservice ob ein Benutzer ber die Berechtigung verf gt eine Operation f r eine gesch tzte Ressource auszuf h ren Berechtigung W hrend der Authentifizierung zugeordnete detaillierte Informationen die den Benutzer die Gruppen beziehungen falls
126. ep sBun1a11s1 93y dVA1 Z 16 Geben Sie im Subjektbereich des Fensters LDAP Zugriffs steuerungsliste bearbeiten folgenden registrierten Namen ein cn ivacld servers cn SecurityGroups secAuthority Default W hlen Sie die Gruppe Typ aus und klicken Sie auf Hinzuf gen 17 Wenn das Fenster angezeigt wird w hlen Sie folgendes aus m W hlen Sie Untergeordnete Eintr ge der Verzeichnis struktur erben vom Eintrag im Feld DN Eintrag aus m W hlen Sie im Feld Berechtigungen f r Untergeordneten Eintrag hinzuf gen und Eintrag l schen Nicht spezifi ziert aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klasse Normal Erteilen f r die Berechtigungen Lesen Suchen und Vergleichen aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klasse Normal Nicht spezifiziert f r die Berechtigung Schreiben aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klassen Sensibel und Kritisch Nicht spezifiziert f r alle Berechtigungen aus Klicken Sie auf OK 18 Heben Sie das neu erstellte Suffix im Teilfenster Baumstruktur anzeigen auf der rechten Seite hervor Klicken Sie auf ACL im rechten Teilfenster berpr fen Sie ob die Gruppe en ivacld servers cn SecurityGroups secAuthority Default aufgef hrt ist und die Einstellungen der Gruppe korrekt sind Bei Gruppen namen muss die Gro Kleinschreibung nicht beachtet werden 168 Version 3 8 19 Geben Sie im Subjektbereich des Fenst
127. er 2 Art Anwendungscontainerobjekt 14 Kann Policy zugeordnet werden no pdadmin gt object delete Test Space folderl pdadmin gt object list Test Space folder2 Verwaltungshinweise m Kindobjekte werden nicht verschoben wenn Sie den Namen des Elternobjekts ndern Kindobjekte k nnen daher ohne Eltern objekte gelassen werden Wenn Sie den Namen eines Eltern objekts ndern m ssen Sie alle Kindobjekte verschieben m Wenn das Feld ispolicyattachable im Befehl pdadmin object create ausgelassen wird geht das Dienstprogramm davon aus dass Sie den Befehl objectspace create verwenden wollen Es wird kein Objekt sondern ein Objektbereich erstellt Version 3 8 ACL Policies verwenden Policy Director verwendet eine virtuelle Darstellung der Ressourcen in der gesicherten Dom ne den so genannten gesch tzten Objekt bereich Ressourcen k nnen durch Definieren von speziellen Sicher heitsstrategien Policy und durch Verkn pfen dieser Strategien mit der Objektdarstellung dieser Ressourcen im gesch tzten Objekt bereich gesch tzt werden Die Policy Art die festlegt wer auf ein Objekt zugreifen kann und welche Operationen f r das Objekt ausgef hrt werden k nnen wird als ACL Policy ACL Access Control List Zugriffssteuerungsliste bezeichnet Die ACL Policies unterst tzen die Implementierung der Sicherheits Policies eines Unternehmens f r die Ressourcen der gesi cherten Dom ne Stichwortindex Tivoli Sec
128. erechtigung traverse f r das Verzeichnis Technik verf gt kann Kate nicht auf die Releasebeschreibungsdatei zugreifen auch wenn sie ber Lesezu griff f r die Datei verf gt Zugriffsanforderungen aufl sen Die bernahme beginnt mit der Stamm ACL Policy und betrifft alle Objekte in dem Objektbereich bis ein Objekt mit einer expliziten ACL Policy erreicht wird An diesem Punkt beginnt eine neue bernahmekette Objekte unter einer explizit definierten ACL Policy bernehmen die neuen Zugriffssteuerungseinstellungen Wenn Sie eine explizite ACL Policy l schen kehrt die Zugriffssteuerung zum n chsten Verzeichnis oder Containerobjekt mit einer explizit definierten ACL Policy zur ck Wenn ein Benutzer versucht auf ein gesichertes Objekt z B ein Webdokument zuzugreifen berpr ft Policy Director ob der Benut zer ber die Berechtigungen f r den Zugriff auf das Objekt verf gt Dies erfolgt durch berpr fen jedes Objekts entlang der Objekt hierarchie auf die richtigen bernommenen oder explizit definierten Berechtigungen Einem Benutzer wird der Zugriff auf ein Objekt verweigert wenn ein Verzeichnis oder Containerobjekt in der bergeordneten Hierar chie nicht die Berechtigung traverse f r diesen Benutzer enth lt Der Zugriff wird au erdem verweigert wenn das Zielobjekt keine ausrei chenden Berechtigungen zum Ausf hren der angeforderten Operation enth lt Tivoli SecureWay Policy Director Base Administratorhandb
129. erisch und WebSEAL Aktionsgruppen Die Aktionsgruppe zu der diese neue Aktion name geh rt Wird dieses Argument nicht angegeben wird die Aktion der Aktionsgruppe primary zugeordnet Tivoli SecureWay Policy Director Base Administratorhandbuch 83 U9PUSOMAOA SOIIIOA 19V E Zum Beispiel 84 pdadmin gt action create P Test Action Special test group pdadmin gt action list test group P Test Action Special pdadmin gt action delete P test group pdadmin gt action list test group pdadmin gt Angepasste Aktionen in ir an Wie im Abschnitt eite 63 beschrie ben enthalten ACL Eintr ge eine a eine Art ID f r Benut zer und Gruppenarten und die Gruppe der zul ssigen Aktionsbits Sie m ssen f r angepasste Aktionsbits die nicht zur Aktionsgruppe primary geh ren eine spezielle Syntax verwenden Aktions zeichenfolgen die die Aktionsbits aus mehreren Aktionsgruppen dar stellen werden im folgenden Format angegeben lt Aktion gt lt Aktion gt lt Aktionsgruppe gt lt Aktion gt lt Aktion gt Zum Beispiel abgTr groupA Pq groupB Rsy groupC ab m Die erste Aktionsbitgruppe abgTr stellt Berechtigungen aus der Aktionsgruppe primary Policy Director Standard dar Aktionsgruppe A enth lt die Aktionen P und q Aktionsgruppe B enth lt die Aktionen R s und y Aktionsgruppe C enth lt die Aktionen a und b Beachten Sie dass die Aktionsgruppe C Aktionsbits enth lt d
130. erlich sind Diese Tasks k nnen mit Web Portal Manager oder mit dem Dienstprogramm pdadmin ausge f hrt werden Der Bereich Management ist wie folgt unterteilt e Benutzerverwaltung Users e Gruppenverwaltung Groups e GSO Verwaltung GSO e Serververwaltung Server e ACL Policy ACL e POP Policy POP Version 3 8 e Konfigurationsberechtigungssteuerung Config e Berechtigungssteuerung Dritter Action e Replikationssteuerung f r Berechtigungsdatenbank Replica Policy Director unterst tzt das Delegieren bestimmter Verwal tungsaktivit ten und kann die M glichkeit eines Administrators eine Sicherheits Policy zu definieren auf einen Teilbereich des Objektbereichs beschr nken m Benutzerdefinierte Objekte Diese Objekte stellen benutzerdefinierte Tasks oder Netz ressourcen dar die durch Anwendungen eines anderen Herstel lers die ber die Berechtigungs API Aufrufe an den Policy Director Berechtigungsservice durchf hren gesch tzt werden Stamm WebSEAL Management Benutzer definiert Server1 Server2 Action so j Server Config 7 Replica Webobjekte Verwaltungs Benutzerdefinierte objekte Objekte Abbildung 16 Bereiche des gesch tzten Objektbereichs von Policy Director Tivoli SecureWay Policy Director Base Administratorhandbuch 53 uoyemian y9 s aqpyalqo u z ny s 9 Z Benutzerdefinierter Objektbereich f r Anwendungen eines anderen He
131. ers LDAP Zugriffs steuerungsliste bearbeiten folgenden registrierten Namen ein cn remote acl users cn SecurityGroups secAuthority Default W hlen Sie die Gruppe Typ aus und klicken Sie auf Hinzuf gen 20 Wenn das Fenster angezeigt wird w hlen Sie folgendes aus m W hlen Sie Untergeordnete Eintr ge der Verzeichnis struktur erben vom Eintrag im Feld DN Eintrag aus m W hlen Sie im Feld Berechtigungen f r Untergeordneten Eintrag hinzuf gen und Eintrag l schen Nicht spezifi ziert aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klasse Normal Erteilen f r die Berechtigungen Lesen Suchen und Vergleichen aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klasse Normal Nicht spezifiziert f r die Berechtigung Schreiben aus m W hlen Sie im Feld Sicherheitsklasse f r die Sicherheits klassen Sensibel und Kritisch Nicht spezifiziert f r alle Berechtigungen Lesen Schreiben Suchen und Versglei chen aus Klicken Sie auf OK 21 Klicken Sie auf Beenden um das Directory Management Tool zu schlie en Tivoli SecureWay Policy Director Base Administratorhandbuch 169 USPUSMIOA Yuequajep sBun1a11s1 3y dVA1 Z Prozeduren f r iPlanet Directory Server Diese Prozeduren beschreiben die Erstellung von ACLs f r Suffixe mit Hilfe von iPlanet Console 5 0 1 Starten Sie iPlanet Console 5 0 mit einem der folgenden Befehle m Geben Sie auf UNIX Systemen folgendes im Install
132. ert auf einem Lieferan ten Konsumentenmodell Policy Director geht weiterhin von einer Master Slave Beziehung aus Tivoli SecureWay Policy Director Base Administratorhandbuch 157 USPUSMIOA Yuequajep sBun1a11s1 3y dVA1 Z 158 Die Kombination aus einem Hauptserver Master und mehreren Replikationsservern unterst tzt die Gew hrleistung dass Verzeichnis daten bei Bedarf immer verf gbar sind Wenn ein Server ausf llt ist der Verzeichnisservice weiterhin ber einen anderen Replikations server verf gbar Policy Director unterst tzt diese Replikations f higkeit Das Master Slave Replikationsmodell Bei der Replikation gibt es zwei Verzeichnisarten Master und Repli kation Kopie LDAP bezeichnet den Master als Master Server Hauptserver und die Replikation als Replikationsserver F r eine bestimmte Verzeichnisstruktur gibt es einen Master Server den Lese Schreibserver Alle Aktualisierungen werden auf dem Master Ser ver durchgef hrt und diese Aktualisierungen werden dann an die Replikationsserver weitergegeben Jede Replikationsserverdatenbank enth lt eine exakte Kopie der Verzeichnisdaten des Master Servers nderungen im Verzeichnis k nnen nur auf dem Master Server durchgef hrt werden der immer f r Schreiboperationen f r das Ver zeichnis verwendet wird F r Leseoperationen kann der Master Ser ver oder die Replikationsserver verwendet werden Wenn der Master Server f r l ngere Zeit au er Betrieb ist k
133. ert werden Unter Windows k nnen Sie den lt Installationspfad gt w hrend der Installation der Policy Director Software definieren Policy Director Serverprotokolldateien Jeder Policy Director Server generiert Warnungen und Fehlernach richten dynamisch Diese Nachrichten werden an Standardfehler bertragen und dann an spezifische Protokolldateien umgeleitet Server Protokolldateiposition Management Server Parameter in Konfigurationsdatei pdmgrd ivmgrd conf UNIX log file var PolicyDirector log pdmgrd log Windows log file lt nstallationspfad gt log pdmgrd log Authorization Server Parameter in Konfigurationsdatei pdacld ivacld conf UNIX log file var PolicyDirector log pdacld log Windows log file lt nstallationspfad gt log pdacld log WebSEAL Parameter in Konfigurationsdatei webseald webseald conf UNIX log file var PolicyDirector log webseald log Windows log file lt nstallationspfad gt log webseald log Policy Director Serverprotokolldateien aktivieren und inaktivieren Das Protokollieren ist aktiviert wenn in der Konfigurationsdatei f r den betreffenden Server eine Protokolldatei definiert ist Tivoli SecureWay Policy Director Base Administratorhandbuch uajn d pun u 1 040 01d IRHANYLIIM S B Beispiel ivmgrd log 2001 08 18 20 03 26 231 00 00I 0x1354A0AQ pdmgrd NOTICE ivc general ivmgrd cpp 720 0x00000001 Datenbank ffnen 2001 08 18
134. erten Dom ne Mit den Standardberechti gungen k nnen die Server auf Browser Anforderungen reagieren Die Berechtigung traverse gestattet die Erweiterung des Webbereichs wie im Web Portal Manager dargestellt Die Berechtigung list erm glicht dem Web Portal Manager den Inhalt des Webbereichs anzuzeigen 102 Version 3 8 Standard Management ACL Policy Zu den Kerneintr gen der Management ACL default management geh ren Gruppe iv admin TcmdbsvatNWA Gruppe ivmgrd servers Ts Beliebige andere Tv Bei der Installation wird diese Zugriffssteuerungsliste ACL dem Containerobjekt Management im Objektbereich zugeordnet Standard Replica ACL Policy Zu den Kerneintr gen der Replica ACL default replica geh ren Gruppe iv admin Tcbva Gruppe ivmgrd servers m Gruppe secmgrd servers mdv Gruppe ivacld servers mdv Standard Config ACL Policy Zu den Kerneintr gen der Config Management ACL default con fig geh ren Gruppe iv admin TcmdbsvaN Beliebige andere Tv Nicht authentifiziert Tv Standard GSO ACL Policy Zu den Kerneintr gen der GSO Management ACL default gso geh ren Gruppe iv admin TcmdbvaN Beliebige andere Tv Nicht authentifiziert Tv Standard Policy ACL Policy Zu den Kerneintr gen der Policy Management ACL default policy geh ren Gruppe iv admin TcmdbvaN Beliebige andere Tv Nicht authentifiziert Tv Tivoli SecureWay Policy Director Base Administratorhandbuch 103 U9PUSOMAOA SOIIIOA
135. ertreterverwaltungsservices mit der die Benutzer verwaltung Gruppen und Berechtigungsklassenverwaltung die Sicherheitsverwaltung sowie die Bereitstellung des Anwendungszu griffs f r Teilnehmer Subdom nen im Gesch ftssystem delegiert werden kann Diese Subdom nen k nnen die Verwaltung weiter an sichere Subdom nen unter ihrer Steuerung delegieren wodurch mehrstufiges Delegieren und eine Verwaltungshierarchie auf der Grundlage von Berechtigungsklassen unterst tzt wird Tivoli SecureWay Policy Director Base Administratorhandbuch 11 J0Pa1lq A9lod 13qN Iys s aan L Befehlszeilendienstprogramm pdadmin Das Befehlszeilendienstprogramm pdadmin bietet die M glichkeit alle Policy Director Verwaltungs Tasks auszuf hren Web Portal Manager stellt eine begrenzte Anzahl dieser Verwaltungs Tasks zur Verf gung Security Server Der Security Server ist der LDAP Server der Authentifizierungsser vices zur Verf gung stellt und eine zentrale Registrierungsdatenbank verwaltet die Kontoeintr ge f r alle g ltigen Benutzer der gesicher ten Dom ne enth lt Der Security Server f hrt zwei wichtige Aufgaben aus m Definiert die Gruppen und Organisationen zu denen der Benut zer geh rt sowie die Berechtigungsklassen die der Benutzer bernehmen kann Diese Informationen werden in einer zentralen Registrierungsdatenbank gespeichert Der Berechtigungsservice ber cksichtigt diese Informationen bei Berechtigungsentschei dungen
136. erwenden weil der Berechtigungsservice keine R ck sicht auf die Operation nimmt Diese Situation w rde jedoch einem Administrator Schwierigkeiten berei ten der dann zwischen zwei unterschiedlichen Ver wendungen derselben Berechtigung unterscheiden m sste Bei einer Operation einer Anwendung eines anderen Herstellers die durch keine der Standardberechtigungen richtig dargestellt wird gestattet Policy Director die Definition einer neuen Berechtigung Aktion die diese Anwendung verwenden kann und vom Berechtigungsservice erkannt wird Tivoli SecureWay Policy Director Base Administratorhandbuch 69 U9PUSOMAOA SOIIIOA 1OV E Beispiel f r angepasste Berechtigung In diesem Beispiel muss eine Druckereinheit vor unberechtigter Ver wendung gesch tzt werden Ein Spool Service f r Drucker eines anderen Herstellers wird mit der Berechtigungs APl erstellt so dass er den Berechtigungsservice f r die Ausf hrung von ACL Pr fungen f r Anforderungen an den Drucker aufrufen kann Zu den Policy Director Standardberechtigungen geh rt keine eindeu tige Berechtigung f r den Schutz von Druckern Der Drucker kann jedoch durch eine neu erstellte Berechtigung p in diesem Beispiel gesch tzt werden Dem Druckerobjekt wird eine ACL Policy zugeordnet Wenn ein Benutzer die Verwendung des gesch tzten Druckers anfordert muss er ber einen ACL Eintrag verf gen der die Berechtigung p ent h lt Der Berechtigungsservice gibt
137. f Ressourcen in der gesicherten Dom ne zugreifen zu bearbeiten Policy Director stellt die Skalierbarkeit mit folgenden Methoden zur Verf gung Servicereplikation Authentifizierungsservices Berechtigungsservices Sicherheits Policies Datenverschl sselungsservices Pr fungsservices Front End Replikationsserver WebSEAL Gespiegelte Ressourcen f r hohe Verf gbarkeit Lastausgleich f r Client Anforderungen Back End Replikationsserver WebSEAL Back End Server k nnen WebSEAL Server oder Anwendungsserver eines anderen Herstellers sein Gespiegelte Ressourcen gemeinsamer Objektbereich f r hohe Verf gbarkeit Zus tzlicher Inhalt und Ressourcen Lastausgleich eingehender Anforderungen durch Junctions Optimierte Leistung durch Auslagern von Authentifizierungs und Berechtigungsservices auf separate Server Skalierter Einsatz von Services ohne Zunahme des Verwaltungs aufwands Tivoli SecureWay Policy Director Base Administratorhandbuch 10 3911q IlOd 13qN 1491S19QN L Nachpr fbarkeit Policy Director stellt eine Reihe von Protokoll und Pr ffunktionen zur Verf gung Es gibt Protokolldateien in denen alle Fehlernach richten und Warnungen die Policy Director Server generieren erfasst werden Au erdem wird die Aktivit t der Policy Director Server in Pr fprotokolldateien berwacht Protokolldateien m Policy Director Serverprotokolldateien Servicenachrichten m Standard HTTP Protokolldateien
138. finierten Objektbereich Dritter geh ren F r die Integration eines Objektbereichs Dritter in Policy Director sind zwei Schritte erforderlich m Den Objektbereich f r die Anwendung eines anderen Herstellers in Policy Director beschreiben m ACL und POP Policies f r alle Objekte die gesch tzt werden m ssen anwenden Der Befehl pdadmin objectspace gestattet eine einfache Erstellung von Bereichen im benutzerdefinierten Objektbereich und die Verwal tung der Objekte in diesen Bereichen Mit diesem Befehl erstellte benutzerdefinierte Objektbereiche sind dynamisch weil sie aktuali siert werden k nnen w hrend Policy Director aktiv ist Neues benutzerdefiniertes Containerobjekt erstellen Mit den Befehlen pdadmin objectspace und object verwalten Sie benutzerdefinierte Objektbereiche Der Befehl objectspace erstellt ein Containerartobjekt Anmerkung Die Standardobjektbereiche von Policy Director WebSEAL und Management k nnen nicht mit dem Befehl pdadmin objectspace gesteuert werden Syntax pdadmin gt objectspace create lt Name gt lt Beschreibung gt lt Art gt Der Objektbereich Name muss mit einem Schr gstrich beginnen Die Beschreibung wird im Web Portal Manager angezeigt Tivoli SecureWay Policy Director Base Administratorhandbuch 55 uoyemian y9 s aqpyalqo us z ny9seH Z 56 Die Art kann eine der folgenden Kategorien sein Objektarten unbekannt gesicherte Dom ne Datei
139. fsquoten f r eine gesch tzte Ressource festlegen Version 3 8 Berechtigungsauswertungsprozess Eine Berechtigungsentscheidung an der ein externer Berechtigungs server beteiligt ist wird wie folgt getroffen 1 Wird im Laufe einer Zugriffsentscheidung eine Ausl serbedin gung erf llt werden die f r diese Bedingung konfigurierten externen Berechtigungsservices nacheinander aufgerufen um ihre eigenen externen Berechtigungsbedingungen zu pr fen Der Aufruf des externen Berechtigungsservice erfolgt unabh ngig davon ob der Policy Director Berechtigungsservice dem Benut zer die erforderliche Berechtigung erteilt oder nicht 2 Jeder externe Berechtigungsservice gibt eine der folgenden Ent scheidungen zur ck Zul ssig verweigert oder neutral Bei einer neutralen Entscheidung hat der externe Berechtigungs service festgestellt dass er f r den Entscheidungsprozess nicht erforderlich ist so dass er nicht daran teilnimmt 3 Jede Entscheidung des externen Berechtigungsservice wird gem ihrer Bedeutung in dem Prozess gewichtet Die Gewichtung einzelner externer Berechtigungsservices wird beim Laden des Service Plug Ins konfiguriert 4 Alle Ergebnisse der Berechtigungsentscheidung werden summiert und mit der Entscheidung des Policy Director Berechtigungs service kombiniert Die resultierende Entscheidung wird an den Aufrufenden zur ckgegeben Beispiel Die folgende Abbildung illustriert eine Berechtigungsentscheidung a
140. g mit Fremdprodukten und Fremddienstleistungen liegt beim Kunden soweit solche Verbindun gen nicht ausdr cklich von Tivoli Systems oder IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es Tivoli Systems oder IBM Patente oder Patentan meldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbun den Lizenzanfragen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf Englisch formuliert werden Inhaltsverzeichnis VOIWON una een xiii Zieletuppe zur 5420 2 ee ae ee ee xiii Inhalt dieses Handbuchs 2 apean ra iire cana aia a xiii Schriftbildkonventionen sesi ssi crecca sse cicci us beseni bereti XV Zugeh rige Policy Director Dokumente oonu an auauuauaua uaaa XV Auf Onlinedokumentation zugreifen gt csesrsseccesecesernseneso xvi Dokumentation bestellen ss coco cenz enucaenri careieni enap Raia xvii R ckmeldung ber Produktdokumentation nnana xviii Kundenunterst tzung benachrichtigen s usasa auaa a rar xviii Kapitel 1 bersicht ber Policy Director 1 Unternehmensnetz sichern 2 e nennen ernennen nenn 2 Methoden und Definitionen der Netzsicherheit 200 3 Netzsicherheit Allgemeine Hinweise 2222222 oeeeeeeen 4 Einf hrung in Policy Director sese 2 2 222220 nennen 5 Policy Dire
141. gabe des Befehls pdadmin server list angezeigt wird Das Argument Servername ist der vollst ndige Ausdruck des tats ch lichen Maschinennamens und der von diesem Befehl verwendeten Policy Director Komponente z B WebSEAL lt Policy Director Komponente gt lt Maschinenname gt Wenn der Maschinenname beispielsweise cruz lautet und die Policy Director Komponente WebSEAL ist lautet der Servername webseald cruz Pr fen Sie mit dem Befehl server list die Servernamenausdr cke pdadmin gt server list webseald cruz Sollen die Merkmale des WebSEAL Servers auf der Maschine cruz angezeigt werden geben Sie folgendes ein pdadmin gt server show webseald cruz webseald cruz Beschreibung webseald cruz Host Name cruz Principal webseald cruz Port 7234 F r Hinweise zur Aktualisierung der Berechtigungsdatenbank empfangsbereit ja AZN Verwaltungsservice webseal admin svc azn _admin_svc_trace 214 Version 3 8 Verwaltungsinformationsbefehl Der folgende Verwaltungsbefehl zeigt Informationen zum Server an Befehl Beschreibung admin show configuration Zeigt aktuelle Serverkonfigurationsdaten an z B m ob die Benutzerregistrierungsdatenbank in LDAP enthalten ist m ob GSO aktiviert ist oder nicht Beispiel pdadmin gt admin show configuration Dieser Befehl hat etwa folgende Ausgabe LDAP TRUE SECAUTHORITY Default GSO TRUE Benutzerverwaltungsbefehle Die folgenden Befehle pda
142. gen und ablehnungen f r Zugriffsanforderungen f r native Policy Director Server und f r Anwendungen anderer Hersteller zur Verf gung Mit Policy Director k nnen Unternehmen jetzt den Zugriff auf pri vate interne netzbasierte Ressourcen sicher verwalten und die breite Konnektivit t und Benutzerfreundlichkeit des ffentlichen Internets nutzen Policy Director kann in Verbindung mit einem unterneh mensinternen Firewall System das Unternehmens Intranet vor unbe fugtem Zugriff und Eindringen vollst ndig sch tzen Standard API des Berechtigungsservice Der Berechtigungsservice ist eine kritische Komponente der Sicher heitsarchitektur einer Anwendung Nachdem ein Benutzer den Authentifizierungsprozess abgeschlossen hat stellt der Berechti gungsservice fest auf welche Services und Informationen der Benut zer zugreifen kann um so die Unternehmenspolitik weiter umzuset zen Ein Benutzer der auf ein webbasiertes Konto zugreift k nnte z B pers nliche Kontodaten anzeigen nachdem ein Server die Identit t Berechtigung und Berechtigungsattribute dieses Benutzer gepr ft hat Die standardisierte Berechtigungs API gestattet Anwendungen Auf rufe an den zentralen Berechtigungsservice zu senden wodurch es f r Entwickler nicht mehr erforderlich ist Berechtigungscode f r jede neue Anwendung zu schreiben Mit Hilfe der Berechtigungs API k nnen Unternehmen f r alle Anwendungen ein standardisiertes gesichertes Berechtigungs Fra
143. geordneten Ebene erstellt wer den m ssen Sie f r das Argument Gruppencontainer einen relativen Pfadnamen angeben m Bei Verwendung des Befehls group create ist es nicht m glich ein Gruppencontainerobjekt ohne eine Gruppe zu erstellen Um dem Objektbereich eine neue Gruppe hinzuf gen zu K nnen muss der Administrator ber die Berechtigung create N in der Zugriffssteuerungsliste ACL die f r das zugeordnete Gruppen containerobjekt gilt verf gen Wird kein Gruppencontainerobjekt angegeben muss der ACL Eintrag des Administrators mit der Berechtigung create in der ACL angegeben werden die f r den Container Management Groups gilt Bei der Installation definiert eine einzelne Standard ACL default management die Management zugeordnet ist die Berechtigungen f r alle Gruppen und Gruppencontainer Diese Steuerung m ssen Sie durch Hinzuf gen entsprechender explizi ter ACLs anpassen 124 Version 3 8 m Sie k nnen mehrere Gruppen einem einzelnen Gruppencontainer hinzuf gen Die Zugriffssteuerungsliste ACL f r das Gruppencontainer objekt steuert durch bernahme alle Gruppen die sich unter dem Containerobjekt befinden Das Containerobjekt und seine Gruppen sind jetzt die Dom ne des Administrators mit den Stellvertreterzust ndigkeiten m Die Position einer neuen Gruppe im Objektbereich wird bei der Erstellung festgelegt Nach der Erstellung einer Gruppe kann ihre Position nur ge n dert werden indem
144. gner dieser ACL sind Serververwaltungszust ndigkeiten Diesem Administrator werden die Berechtigungen d m s und v f r das Objekt Management Server erteilt Dieser Administrator kann Operationen ausf hren die die Policy Director Server betreffen m Berechtigungsaktionszust ndigkeiten Diesem Administrator werden die Berechtigungen d und m f r das Objekt Management Action erteilt Dieser Administrator kann alle Berechtigungen die f r Anwendungen anderer Herstel ler erstellt wurden erstellen oder l schen Beispielverwaltungs ACL Schablonen Das folgende Beispiel zeigt wie ein Benutzer Verwaltungs berechtigungen erlangt m Die folgende Zugriffssteuerungsliste ACL f r WebSEAL erteilt Benutzer adam Verwaltungsberechtigungen Benutzer sec_master abcTdmirx Gruppe iv admin abcTdmirx Gruppe webseal servers gTdmlrx Gruppe ivmgrd servers Tl Benutzer adam abcTdmlrx Beliebige andere Trx Nicht authentifiziert Trx Version 3 8 Beispiel Stellvertreterverwaltung F r einen gro en Objektbereich ist es unter Umst nden erforderlich dass viele Verwaltungsbenutzer verschiedene Unterbereiche verwal ten In diesem Szenario m ssen die Zugriffssteuerungslisten ACLs f r die Verzeichnisse in dem Pfad zu jedem dieser Bereiche Eintr ge f r jedes Konto mit der Berechtigung traverse enthalten Bei einem Standort mit vielen Verwaltungsbenutzern k nnten diese ACLs eine lange Liste mit Eintr gen die all diese Verwaltungskon
145. gt mgmt lt component gt lt action gt 13702 lt action gt lt location gt phaedrus lt location gt lt originator gt lt accessor name gt lt principal auth IV_LDAP_V3 0 gt sec_master lt principal gt lt accessor gt lt target resource 5 gt lt object gt lt object gt lt target gt lt data gt 13702 popl u popl false Li 15 g Q Q g u 127 BD Q og og lt data gt lt event gt Authentifizierungspr fs tze Die Authentifizierung eines Principals erfolgt au erhalb von Policy Director w hrend der Berechtigungsanforderung Policy Director kann Pr fs tze erfassen in denen der Erfolg oder Misserfolg dieser Authentifizierungsversuche aufgezeichnet wird Sie k nnen die Pr fung von Authentifizierungsversuchen konfigurie ren indem Sie authn der Pr fkonfigurationsliste in der Zeilen gruppe aznapi configuration der Serverkonfigurationsdatei hinzu f gen Tivoli SecureWay Policy Director Base Administratorhandbuch 187 uajn d pun u 1 1 040 01d IRHANJLIIM S B 188 aznapi configuration auditcfg authn Das folgende Beispiel zeigt ein Authentifizierungsereignis das von WebSEAL aus f r einen nicht authentifizierten Benutzer protokolliert wurde lt event rev 1 1 gt lt date gt 2001 08 05 23 04 26 630 00 001 lt date gt lt outcome status 0 gt 0 lt outcome gt lt originator blade webseald gt lt component gt authn lt c
146. h tzte Objekte auf Ressourcen die gesch tzt werden m ssen festgelegt Der Berechtigungsservice f hrt diese Policies durch indem die Berechti gungen eines Benutzers mit den Berechtigungen in der Policy die der angeforderten Ressource zugeordnet ist verglichen werden Die resultierende Empfehlung wird an den Ressourcenmanager bermit telt der die Antwort auf die urspr ngliche Anforderung abschlie t Definieren der Netzsicherheits Policy Der Berechtigungsservice verwendet eine zentrale Datenbank die alle Ressourcen in der gesicherten Dom ne und die ACL und POP Policies die den einzelnen Ressourcen zugeordnet sind enth lt Diese Hauptberechtigungs Policy Datenbank und die Benutzer registrierungsdatenbank mit Benutzer und Gruppenkonten sind die Hauptkomponenten f r die Definition einer Netzsicherheits Policy Zusammenfassend ausgedr ckt steuert eine Netzsicherheits Policy folgendes 1 Welche Benutzer und Gruppen Mitglied in der gesicherten Dom ne sein k nnen Diese Informationen werden in der Benutzerregistrierungs datenbank verwaltet 2 Die Sicherungsstufe f r alle Objekte in der gesicherten Dom ne Diese Informationen werden in der Hauptberechtigungs Policy Datenbank verwaltet Version 3 8 Gesch tzter Objektbereich Der gesch tzte Objektbereich ist eine hierarchische Darstellung von Ressourcen die zu einer gesicherten Dom ne geh ren Die Objekte in dem hierarchischen Objektbereich stellen die tat
147. h tzten Objektbereich verwalten Dieses Kapitel beschreibt wie Policy Director eine virtuelle Dar stellung von Ressourcen in einem gesch tzten Objektbereich ver wendet Zwei Arten von Objektbereichen werden unterst tzt Flachdatei und Datenbank Kapitel 3 ACL Policies verwenden Dieses Kapitel dient als vollst ndige Referenz f r ACL Policies ACL Access Control List Zugriffssteuerungsliste Kapitel 4 Policies f r gesch tzte Objekte verwenden Dieses Kapitel dient als vollst ndige Referenz f r Policies f r gesch tzte Objekte POP Policies Kapitel 5 Verwaltungs Tasks delegieren Dieses Kapitel erl utert wie Policy Director die delegierte Ver waltung des Objektbereichs und Gruppenverwaltung unterst tzt Kapitel 6 Policy Director Server verwalten Dieses Kapitel dient als technische Referenz f r die Verwaltung und Anpassung des Policy Director Serverbetriebs Kapitel 7 LDAP Registrierungsdatenbank verwenden Dieses Kapitel enth lt eine Einf hrung in das LDAP Protokoll Verzeichnis und ausf hrliche Informationen zur LDAP berbr ckungskonfiguration Kapitel 8 Serveraktivit t protokollieren und pr fen Dieses Kapitel enth lt eine vollst ndige Referenz f r die Proto koll und Pr ffunktionen von Policy Director Anhang A Referenz f r Befehl pdadmin Anhang B Referenz f r ivmgrd conf Anhang C Referenz f r ivacld conf Anhang D Referenz f r Idap conf Anhang E Referenz f r pd conf Version 3 8
148. h reduzieren Ein zentrales Netzsicherheitsverwaltungssystem muss folgende Anforderungen erf llen m Koexistenz mit vorhandenen Firewall und Authentifizierungs architekturen und oder Verbesserung dieser Architekturen m Integration oder Koexistenz mit Netz und Anwendungs verwaltungs Frameworks Anwendungsunabh ngiskeit Einf hrung in Policy Director Policy Director ist eine vollst ndige Verwaltungsl sung f r Berechti gungs und Netzsicherheits Policies die un bertroffenen Endpunkt zu Endpunkt Schutz f r Ressourcen in geographisch voneinander getrennten Intranets und Extranets zur Verf gung stellt Zus tzlich zur Verwaltungsfunktion f r Sicherheits Policies unter st tzt Policy Director Authentifizierungs Berechtigungs Daten sicherheits und Ressourcenverwaltungsfunktionen Sie setzen Policy Director in Verbindung mit internetbasierten Standardanwendungen ein um gut verwaltete netzbasierte Intranets mit hoher Sicherheit zu erstellen Die Kernkomponenten von Policy Director m Authentifizierungs Framework Policy Director stellt eine Vielzahl von integrierten Authentifizie rungsfunktionen zur Verf gung und unterst tzt externe Authenti fizierungsfunktionen Tivoli SecureWay Policy Director Base Administratorhandbuch J0Pa1lq A9lod Asqn Iys s aqa L m Berechtigungs Framework Der Policy Berechtigungsservice auf den ber eine Standardbe rechtigungs API zugegriffen wird stellt Berechtigungserteilun
149. heits Policy 22222222200 26 Definieren der Netzsicherheits Policy 22222 2er een 26 Gesch tzter Objektbereich 22222 eeeeeeeeeeeeen en 27 ACL und POP Policies definieren und anwenden 29 Policy Verwaltung Web Portal Manager 22222222000 33 Die Schritte des Berechtigungsprozesses 222222 eeeeeeeeeen 34 Policy Director Berechtigungs API 2222 eeeeeeeeeen 35 Verwendung der Berechtigungs API Zwei Beispiele 37 Berechtigungs API Ferner Cache Modus 2 22222 cceeeeen 38 Berechtigungs API Lokaler Cache Modus 22222222000 40 Externe Berechtigungsf higkeit scorse ccris etsii de ei ee a nn 41 Berechtigungsservice erweitern cscri ccrtcsrerseeciass ereat as 42 Bedingungen mit Ressourcenanforderungen verkn pfen 42 Berechtigungsauswertungsprozess s src raunen 43 Externen Berechtigungsservice implementieren 22222200 46 Implementierungsstrategien 222222 eeeeeeeeeeeeeeeeenn 47 Kapitel 2 Gesch tzten Objektbereich verwalten 49 Version 3 8 Erl uterungen zum gesch tzten Objektbereich 2 222200 49 Elemente des gesch tzten Objektbereichs 22222200 50 Hierarchie des gesch tzten Objektbereichs 22220 52 Benutzerdefinierter Objektbereich f r Anwendungen eines anderen Herstel serade 3 22 ana ee een sera ge dee 54 Datenbankobjektbereich definieren
150. hl hat etwa folgende Ausgabe Verkauf Marketing group list dn lt Muster gt lt max Zur ckgabe gt Wenn der registrierte Name DN teilweise bekannt ist wird eine Liste aller konfigurierten Gruppen nach regist rierten Namen f r das angegebene Muster generiert Einzelheiten zu den Befehlsargumenten finden Sie beim Befehl group list oben Mit dem Argument Muster k nnen Sie ein Muster f r den Abschnitt mit dem allge meinen Namen Common Name CN des registrierten Namens der Gruppe ohne Komponente cn angeben pdadmin gt group list dn t 2 Dieser Befehl hat etwa folgende Ausgabe cen credit ou Austin o Wesley Inc c US sales cn marketing ou Boston o Austin Sale c US marketing Version 3 8 Ressourcenverwaltungsbefehle Die folgenden Befehle pdadmin steuern ressourcenbezogene Infor mationen Zu den ressourcenbezogenen Informationen geh ren Ressourcen verwalten Mit den folgenden Befehlen pdadmin rsre k nnen Sie verschiedene Ressourcen verwalten z B Webserver f r GSO Benutzer Eine Ressource ist ein Webserver Die Kennung T in einer WebSE AL Junction Definition identifiziert den Webserver Ein Befehl pdadmin rsre identifiziert den Namen der Webressource Befehl Beschreibung rsrc create lt Ressourcenname gt desc lt Beschreibung gt Erstellt und benennt einen Webserver als Ressource Das Argument Ressourcenname ist der Name den die Webressource zum Identifiziere
151. htigungsservice m Der gesicherten Dom ne kann eine beliebige Anzahl externer Berechtigungsserver hinzugef gt werden um verschiedene Berechtigungsauswertungen durchzuf hren Jeder externe Berechtigungsservice wird in die einzelne Berechtigungs API Client Anwendung im Lokalmodus geladen Zu den Anwendun gen die externe Berechtigungsservices laden k nnen geh ren WebSEAL webseald der Authorization Server PDAcld andere Policy Director Server sowie alle vom Kunden erstellten Berechtigungsanwendungen m Berechtigungs API Clients im Fernmodus die Berechtigungs entscheidungen vom Authorization Server anfordern verwenden automatisch alle externen Berechtigungsservices die der Authori zation Server l dt m F r eine einzelne Ausl serbedingung k nnen mehrere externe Berechtigungsservices aufgerufen werden In diesem Fall werden die Ergebnisse jedes externen Berechtigungsservice entsprechend gewichtet dann werden die Ergebnisse mit dem Ergebnis des Policy Director Berechtigungsservice kombiniert m Ausl serbedingungen k nnen f r Objekte definiert werden mit Hilfe eines POP Policy Ausl sers so dass jede Anforderung eines Objekts unabh ngig von der angeforderten Operation einen Aufruf der externen Berechtigungsservices die f r den Ausl ser konfiguriert sind ausl st Tivoli SecureWay Policy Director Base Administratorhandbuch 47 J0Pa1lq A9lod 13qN Iys s aqan L 48 m Ausl serbedingungen k nnen auch f r
152. i SecureWay Policy Director Base Administratorhandbuch Policy Director ist eine vollst ndige Berechtigungsl sung f r Web Client Server MQ und vorhandene traditionelle Anwendungen eines Unternehmens Mit Hilfe der Policy Director Berechtigung ist ein Unternehmen in der Lage den Benutzerzugriff auf gesch tzte Daten und Ressourcen sicher zu steuern Sie setzen Policy Director in Verbindung mit internetbasierten Standardanwendungen ein um gut verwaltete netzbasierte Anwendungen mit hoher Sicherheit zu erstellen Dieses Administratorhandbuch enth lt umfassende Prozedurinforma tionen sowie Referenzinformationen f r die Verwaltung von Policy Director Servern und Ressourcen Dieses Handbuch enth lt au er dem wertvolle Hintergrund und Konzeptinformationen f r die breit gef cherte Funktionalit t von Policy Director Zielgruppe Zu der Zielgruppe f r dieses Handbuch geh ren m Sicherheitsadministratoren Administratoren f r Systeminstallation und einsatz Netzsystemadministratoren IT Architekten Anwendungsentwickler Inhalt dieses Handbuchs m Kapitel 1 bersicht ber Policy Director Dieses Kapitel enth lt eine Einf hrung in wichtige Konzepte und Funktionen von Policy Director wie z B Policy Director Kern technologien und Komponenten das Berechtigungsservice modell sowie die Implementierung einer Sicherheits Policy Tivoli SecureWay Policy Director Base Administratorhandbuch xiii xiv Kapitel 2 Gesc
153. i ivmgrd conf Zum Beispiel ivmgrd notifier wait time 20 Der Standardwert ist 15 Sekunden 149 uoyemion 1 M1 10 9 11q DIOd 9 150 Version 3 8 LDAP Registrierungsdatenbank verwenden LDAP ist ein Protokoll das ber TCP IP ausgef hrt wird Der LDAP Protokollstandard beinhaltet einfache Netzprotokolldefi nitionen sowie Datendarstellungs und bearbeitungsfunktionen Ein Verzeichnis auf das ber LDAP zugegriffen werden kann wird blicherweise als LDAP Verzeichnis bezeichnet Die Standardinstallation von Policy Director verwendet ein LDAP Verzeichnis zum Speichern von Benutzerinformationen Die IBM Implementierung von LDAP wird als IBM SecureWay Directory bezeichnet Die iPlanet Implementierung von LDAP wird als iPlanet Directory Server bezeichnet Dieses Kapitel erl utert Konfigurations merkmale der Policy Director LDAP Registrierungsdatenbank Stichwortindex u Tivoli SecureWay Policy Director Base Administratorhandbuch 151 USPUSMIOA Yuequajep sBun1a11s1 ay dVAT Z LDAP bersicht Im Jahr 1988 entwickelte das CCITT Comite Consultatif Internatio nal Telephonique et Telegraphique das jetzt ITU T International Telecommunications Union Telecommunication Standardization Sec tor hei t einen Standard f r Verzeichnisservices mit dem Namen X 500 Der X 500 Verzeichnisservice wurde im Jahr 1990 zu ISO Standard 9594 Data Communications Network Directory Recom mendations X 500 X 521 D
154. icy definiert die legitimen Mitglieder der gesicherten Dom ne sowie die Schutzstufe die jede Ressource die Schutz ben tigt umgibt Der Berechtigungsprozess besteht aus folgenden Basiskomponenten m Fin Ressourcenmanager der f r die Implementierung der ange forderten Operation verantwortlich ist wenn Berechtigung erteilt wird Eine Komponente des Ressourcenmanagers ist eine Kom ponente zur zwingenden Anwendung der definierten Policy die die Anforderung zur Verarbeitung an den Berechtigungs service weiterleitet Tivoli SecureWay Policy Director Base Administratorhandbuch 15 J0Pa1lq A9lod 13qN Iys s aqan L m Ein Berechtigungsservice der die Entscheidungsfindung f r die Anforderung ausf hrt Berechtigungs service Anwendungs server A Berechtigungs Ja Nein pr fung E Ressourcen y anforderung Komponente zur gt zwingenden Anwendung der Authentifizierter definierten Policy Ressourcen Client Ressourcen manager Abbildung 2 Allgemeines Berechtigungsmodell In herk mmlichen Anwendungen sind die Komponente zur zwin genden Anwendung der definierten Policy und der Ressourcen manager in einem Prozess zusammengefasst Beispiele dieser Struk tur sind Policy Director WebSEAL und Anwendungen anderer Hersteller Die unabh ngige Funktionalit t dieser Berechtigungskomponenten gestattet viel Flexibilit t f r den Entwu
155. icy zuordnen m Dem Objekt das bernehmen seiner ACL Policy von einem vorhergehenden Containerobjekt in der Hierarchie erm glichen Das bernehmen eines ACL Schemas kann die Verwaltungs Tasks f r eine gesicherte Dom ne betr chtlich reduzieren In diesem Abschnitt wird der Begriff der bernommenen oder schlanken ACL Policies erl utert Tivoli SecureWay Policy Director Base Administratorhandbuch 73 U9PUSOMAOA SOIIIOA 19V E Erl uterungen zum schlanken ACL Modell Die bernahme einer ACL Policy beruht auf dem folgenden Prinzip Jedes Objekt ohne explizit zugeordnete ACL Policy bernimmt die Policy seines n chsten Containerobjekts mit einer explizit definierten ACL Policy Das hei t alle Objekte ohne explizit zugeordnete ACL Policies bernehmen ACL Policies von Containerobjekten mit expli zit zugeordneten ACL Policies Eine bernahmekette wird unterbro chen wenn Sie einem Objekt eine explizite ACL Policy zuordnen ACL bernahme vereinfacht das Definieren und Verwalten von Zugriffssteuerungen f r einen gro en gesch tzten Objektbereich In einem typischen Objektbereich m ssen Sie nur ein paar ACL Poli cies an Schl sselpositionen zuordnen um den gesamten Objekt bereich zu sichern daher der Begriff schlankes ACL Modell Ein typischer Objektbereich beginnt mit einer einzelnen expliziten ACL die dem Stammcontainerobjekt Root zugeordnet wird Die Stamm ACL muss immer vorhanden sein und kann nie entfernt wer
156. ie dieselben Buchstaben wie Aktionsbits in der Gruppe primary verwenden Da die Aktionsbits einer bestimmten Aktionsgruppe C zugeord net sind haben die Aktionsbits a und b eindeutige Identit ten und k nnen ganz andere Berechtigungen als die Aktionsbits a und b in der Aktionsgruppe primary darstellen Version 3 8 Beispiel Aktionsgruppen anzeigen pdadmin gt pdadmin gt action group list primary test group Aktionen in Aktionsgruppe test group auflisten pdadmin gt action list test group P Test Action Special S Test Action2 Special ACL Policies auflisten pdadmin gt acl list default webseal default root test default replica default management Details der Zugriffssteuerungsliste test anzeigen pdadmin gt acl show test ACL Name test Beschreibung Eintr ge Benutzer sec_master Tcmdbva Gruppe ivmgrd servers TI Beliebige andere r ACL Eintrag f r Benutzer Kathy mit Aktionen aus den Aktions gruppen primary und test group hinzuf gen pdadmin gt acl modify test set user kathy brT test group PS pdadmin gt acl show test ACL Name test Beschreibung Eintr ge Benutzer sec_master Tcmdbva Gruppe ivmgrd servers TI Beliebige andere r Benutzer kathy Tbr test group PS Tivoli SecureWay Policy Director Base Administratorhandbuch 85 U9PUSOMAOA SOIIIOA 19V E ACL Policies und der gesch tzte Objektbereich Containerobjekte stellen bestimmt
157. ie Ausnahmen dieser Policy m Ordnen Sie Ihren gesch tzten Objektbereich so dass die meisten Objekte durch bernommene und nicht durch explizite ACL Policies gesch tzt werden bernommene ACL Policies vereinfachen die Verwaltung Ihrer Baumstruktur weil hierdurch die Anzahl der zu verwaltenden ACL Policies reduziert wird Dadurch verringert sich auch das Risiko eines Fehlers der Ihr Netz gef hrden k nnte m Platzieren Sie neue Objekte in der Baumstruktur an Positionen an denen sie die entsprechenden Berechtigungen bernehmen k nnen Version 3 8 Teilen Sie Ihre Objektbaumstruktur in untergeordnete Baum strukturen auf wobei jede untergeordnete Baumstruktur durch eine bestimmte Zugriffs Policy gesteuert wird Die Zugriffs Po licy f r eine vollst ndige untergeordnete Baumstruktur legen Sie fest indem Sie eine explizite ACL Policy am Stamm Root der untergeordneten Baumstruktur definieren m Erstellen Sie eine Reihe von ACL Kern Policies und verwenden Sie diese ACL Policies wo immer erforderlich Da eine ACL Policy eine Zentraldefinition ist wirken sich alle nderungen der Policy auf alle Objekte die dieser ACL Policy zugeordnet sind aus m Steuern Sie den Benutzerzugriff mit Hilfe von Gruppen Eine ACL Policy kann ausschlie lich aus Gruppeneintr gen bestehen Der Zugriff auf ein Objekt durch einzelne Benutzer kann durch Hinzuf gen und Entfernen von Benutzern in diesen Gruppen gesteuert werden Erweiterte A
158. ie ISO Standardgruppe wird weiterhin blicherweise als X 500 bezeichnet X 500 definiert ein Verzeichnis das universell f r gro e Datenmengen verwendet werden kann Heute werden X 500 Ver zeichnisse von nationalen Telefongesellschaften f r gro e Onlinetele fonverzeichnisse verwendet F r den Zugriff auf ein X 500 Verzeichnis verwendet ein Client das Directory Access Protocol DAP das in Verbindung mit dem X 500 Standard definiert wurde Leider ist DAP ein sehr komplexes Proto koll das auf kleinen Clients z B Desktop Computer nicht ohne weiteres unterst tzt werden kann X 500 war daher auf leistungsf hige Computer und gro e Implemen tierungen beschr nkt Die Notwendigkeit auf zentrale Verzeichnisse von kleinen Clients aus zuzugreifen wurde jedoch f r die Unterst t zung der offensichtlichen Kostenwirksamkeit zentraler Verzeichnisse wichtig Aufgrund von Arbeiten an der University of Michigan und in der Netscape Communications Corporation wurde eine vereinfachte Ver sion von DAP entwickelt die den Namen Lightweight Directory Access Protocol LDAP tr gt LDAP unterst tzt die meisten Funkti onen von DAP einige der komplexen und selten verwendeten Funk tionen fehlen jedoch Die LDAP Implementierung ist relativ einfach und kann von Desktop Anwendungen verwendet werden LDAP Ein Protokoll f r Verzeichnisservices LDAP ist ein Protokoll das ber TCP IP ausgef hrt wird Der LDAP Protokollstandard beinhaltet einf
159. ie f r jeden Benutzer f r jede Gruppe oder Berechtigung zul ssig sind m Die spezifischen Operationen die f r die Sonderbenutzerkate gorien Beliebige andere und Nicht authentifiziert zul ssig sind Ein Benutzer stellt eine authentifizierte Policy Director Identit t dar Normalerweise stellen Benutzer Netzbenutzer oder Anwendungs server dar Eine Gruppe besteht aus mindestens einem Benutzer Ein Netz administrator kann mit Hilfe von Gruppen ACL Eintr gen auf einfa che Weise mehreren Benutzern dieselben Berechtigungen zuordnen Neue Benutzer in der gesicherten Dom ne erlangen den Zugriff auf Objekte indem Sie Mitglied der entsprechenden Gruppen werden Auf diese Weise ist es nicht erforderlich neue ACL Eintr ge f r jeden neuen Benutzer zu erstellen Gruppen k nnen Unternehmens bereiche oder Abteilungen in einer gesicherten Dom ne darstellen Gruppen sind auch beim Definieren von Berechtigungsklassen oder Funktionszuordnungen von Nutzen Benutzer und Gruppen werden bergreifend als Definitionseinheiten bezeichnet Benutzer und Gruppeneintr ge in ACLs werden mit Hilfe einer UUID Universal Unique Identifier gespeichert Die UUID bietet zus tzliche Sicherheit f r den Fall in dem ein Benutzer oder eine Gruppe aus der Dom ne gel scht und dann unter demselben Dom nennamen erneut erstellt wird Beispiel Auch wenn ein neuer Benutzer denselben Namen wie der gel schte Benutzer hat ordnet Policy Director diesem Benutzer ei
160. ify lt Benutzername gt description lt Beschreibung gt F gt eine Beschreibung hinzu die Informationen zur Verf gung stellt die dem Administrator das Identifizie ren dieses Benutzers erleichtern Beispiel in einer Zeile eingegeben pdadmin gt user modify dlucas description Diana Lucas Kreditabt HCUS user modify lt Benutzername gt password lt Kennwort gt Ersetzt das aktuelle Kennwort des Benutzers durch ein neues Kennwort F r diese Operation gibt es keine Kennwortbest tigung Beispiel pdadmin gt user modify dlucas password newpasswd Tivoli SecureWay Policy Director Base Administratorhandbuch 217 umwpepd Iy3J9g AN ZU919j94 Y 218 Befehl Beschreibung user modify lt Benutzername gt authentication mechanism lt Mechanis mus gt ndert das f r die Authentifizierung verwendete Verfah ren Wenn kein DN angegeben ist ist das erste Auftre ten von Benutzername das Benutzerkonto das ge ndert wird Beispiel in einer Zeile eingegeben pdadmin gt user modify dlucas Berechtigungsmechanismus Standardwert LDAP user modify lt Benutzername gt account valid yesino Gibt an ob ein Konto aktiv oder inaktiv ist Zum Akti vieren des Kontos w hlen Sie yes aus zum Inaktivie ren no Beispiel pdadmin gt user modify dlucas account valid yes user modify lt Benutzername gt password valid yesIno Gibt an ob ein Kennwort aktiv oder in
161. in gt pop find test WebSEAL serverA index htm l POP Policy l schen Die Syntax f r das Freigeben einer POP Policy von einem Objekt lautet pdadmin gt pop detach lt Objektname gt Zum Beispiel pdadmin gt pop detach WebSEAL serverA index htm l POP Attribute konfigurieren Tivoli SecureWay Policy Director Base Administratorhandbuch 109 u pu m a apalqO arz nyasa n sel91Jlod y Warnungsmodusattribut Das Warnungsattribut gestattet einem Sicherheitsadministrator die Richtigkeit der Berechtigungs Policy die f r den gesch tzten Objekt bereich definiert ist zu pr fen Wird f r das Warnungsattribut yes Ja angegeben kann jeder Benutzer jede Aktion f r das Objekt dem die POP Policy zugeord net ist ausf hren F r ein Objekt ist jeder Zugriff zul ssig auch wenn durch die ACL Policy die dem Objekt zugeordnet ist der Zugriff verweigert wird Es werden Protokolleintr ge generiert in denen die Ergebnisse aller ACL Policies f r die der Warnungsmodus definiert ist im gesamten Objektbereich erfasst werden Das Pr fprotokoll zeigt welches Ergebnis eine Berechtigungsentscheidung gehabt h tte wenn f r das Warnungsattribut no Nein definiert worden w re Der Administ rator kann auf diese Weise feststellen ob eine Policy definiert ist und korrekt eingesetzt wird pdadmin gt pop modify lt POP Name gt set warning yes no Zum Beispiel pdadmin gt pop modify test set warning yes
162. indows C Programme Tivoli Policy Director In diesem Handbuch wird dieses Stammverzeichnis durch die Vari able lt Installationspfad gt dargestellt Alle relativen Pfadnamen die in den Policy Director Konfigurationsdateien angegeben sind bezie hen sich auf dieses Stammverzeichnis Konfigurationsdateien sind textbasierte ASCII Dateien die mit Hilfe eines allgemeinen Textedi tors bearbeitet werden k nnen Die Konfigurationsdateien enthalten Parametereintr ge in folgendem Format Parameter Wert Bei der Erstinstallation von Policy Director werden Standardwerte f r die meisten Parameter festgelegt Einige Parameter sind statisch und ndern sich nie Andere k nnen der Serverfunktionalit t und leistung entsprechend ge ndert werden Anmerkung Nach dem Editieren einer Konfigurationsdatei m ssen Sie den Policy Director Server stoppen und erneut starten damit die Anderungen wirksam werden Jede Datei enth lt Abschnitte so genannte Zeilengruppen die min destens einen Parameter f r eine bestimmte Konfigurationskategorie enthalten Die Zeilengruppenbezeichnungen stehen zwischen eckigen Klammern Zeilengruppenname Die Zeilengruppe ssl in ivmgrd conf definiert beispielsweise die SSL Konfigurationseinstellungen f r den Management Server Die Zeilengruppe ldap definiert die vom Management Server ben tigte Konfiguration f r die Kommunikation mit dem LDAP Registrie rungsdatenbankserver Die Dateien enthalten Kommentare die
163. irector Base Administratorhandbuch 253 juo9 pd 1n ZU919J9H 3 254 Parameter Beschreibung boot start ivacld Zeilengruppe ssl Authorization Server pdacld beim Systemstart starten ssl keyfile Position der SSL Schl sseldatei im lokalen System ssl keyfile pwd Kennwort der Schl sseldatei ssl keyfile stash Position der SSL Kennwort Stash Datei ssl keyfile label Zu verwendender Name des Zertifi kats nicht der Standardwert ssl v3 timeout Sitzungs ID Zeitlimit f r SSL v3 Ver bindungen ssl pwd life Lebensdauer des SSL Kennworts in Tagen ssl io inactivity timeout Bei einer SSL Verbindung der Zeit raum in Sekunden bis zur Zeitlimit berschreitung wenn auf eine Antwort gewartet wird ssl auto refresh Zeilengruppe manager Automatische Aktualisierung der Schl sseldatenbankzertifikate und kennw rter aktivieren bzw inaktivie ren master host Host Name des MTS Servers master port Nummer des TCP Ports an dem der Server empfangsbereit f r Anforderun gen ist replica Authorization Server Replikationen Zeilengruppe Idap ext cred tags lt credential field name gt lt ldap inetOrgPerson field gt Mechanismus zum Hinzuf gen erwei terter Attribute zur Policy Director Berechtigung aus vorhandenen Feldern in der LDAP Objektklasse inetOrgPerson Version 3 8 Index Sonderzeichen
164. irector ist von zwei Bedingungen abh ngig 1 Die ACL Zugriffssteuerungsliste die das angeforderte Objekt steuert muss entsprechende Zugriffsberechtigungen f r den anfordernden Benutzer enthalten 2 Der anfordernde Benutzer muss auf das angeforderte Objekt zugreifen k nnen Die Zugriffsm glichkeit f r gesch tzte Objekte wird durch die Berechtigung traverse T gesteuert Die Berechtigung traverse wird nur auf Containerobjekte im gesch tzten Objektbereich angewendet Die Berechtigung traverse legt fest dass ein Benutzer eine Gruppe Beliebige andere oder Nicht authentifizierte die im ACL Eintrag angegeben sind die Berechtigung haben dieses Objekt zu durchqueren um Zugriff auf ein gesch tztes Ressourcenobjekt das sich an einer untergeordneten Position in der Hierarchie befindet zu erhalten Ein Requester kann auf ein gesch tztes Objekt zugreifen wenn er in jeder ACL die Containerobjekten ber der angeforderten Ressource in dem Pfad zum Stamm einschlie lich zugeordnet ist ber die Berechtigung traverse verf gt Tivoli SecureWay Policy Director Base Administratorhandbuch 75 U9PUSOMAOA SOIIIOA 1IV E 76 Das folgende Beispiel zeigt wie die Berechtigung traverse funktio niert In der ACME Corporation gibt es ein Containerobjekt Ver zeichnis Technik das ein Containerobjekt Unterverzeichnis TechPubs enth lt Benutzer kate ein Mitglied der Abteilung Ver kauf ben tigt die Berechtigung traver
165. istandsho w lt Objektname gt Listet alle Kindobjekte auf die unter dem angegebenen gesch tzten Objekt gruppiert sind und zeigt alle Werte an die diesen Objekten zugeordnet sind Tivoli SecureWay Policy Director Base Administratorhandbuch 207 umwpepd IysJ0g 1N ZU919J9H Y Befehl Beschreibung object modify lt Objektname gt set name lt neuer Objektname gt Benennt das gesch tzte Objekt oder den gesch tzten Objektbereich um object modify lt Objektname gt set description lt Beschreibung gt ndert die Beschreibung des gesch tzten Objekts oder des gesch tzten Objektbereichs object modify lt Objektname gt set type lt Art gt ndert die Art des gesch tzten Objekts oder des gesch tzten Objektbereichs object modify lt Objektname gt set ispolicyattachable yesino ndert die Angabe ob dem gesch tzten Objekt eine POP Policy zugeordnet werden darf object show lt Objektname gt Neu Zeigt alle Werte die einem gesch tzten Objekt zugeordnet sind Alt Zeigt den Objektnamen und den Namen jeder ihm zugeordneten Zugriffssteuerungsliste ACL an Ist keine ACL zugeordnet wird Keine ACL angezeigt 208 Version 3 8 Erweiterte Attribute f r gesch tzte Objekte verwalten Befehl Beschreibung object list lt Objektname gt attribute Listet alle erweiterten Attribute auf die dem gesch tzten Objekt zugeordnet sind object
166. ksetzen W password Kennwort g ltig W password Diese Operationen k nnen Sie mit den entsprechenden Befehlen des Dienstprogramms pdadmin ausf hren Anmerkungen m Mit der Berechtigung create N in der Gruppen ACL oder Gruppencontainer ACL k nnen Sie einen Benutzer erstellen oder importieren und diesen Benutzer in die von Ihnen gesteuerte Gruppe einf gen user create userl cn userl c us userl userl adcde groupl user import user2 cn user2 c us groupl m Sie k nnen einen Benutzer auch ohne Angabe einer Gruppe erstellen In diesem Fall muss sich die Berechtigung create N jedoch in einer Zugriffssteuerungsliste ACL im Containerobjekt Management Users befinden Die Management Users zugeordnete ACL definiert die Berechti gungen f r alle Benutzer unabh ngig davon ob sie zu einer Gruppe geh ren oder nicht 128 Version 3 8 m Ein Gruppenadministrator kann eine Operation f r einen Benut zer ausf hren wenn er ber die entsprechende Berechtigung ver f gt die in einer der Gruppen zu denen dieser Benutzer geh rt definiert ist m Geh rt ein Benutzer keiner Gruppe an muss ein Administrator ber entsprechende Berechtigungen in einer ACL f r Manage ment Users verf gen um Operationen f r diesen Benutzer aus f hren zu k nnen m Die Berechtigung password W ist geeignet f r Help Desk Be diener die Benutzer mit verloren gegangenen Kennw rtern unterst tzen m ssen Der Bediener kann das ver
167. l pdadmin gt user list dn luca 2 Dieser Befehl hat etwa folgende Ausgabe en Diana Lucas ou Austin o Wesley Inc c US en Mike Lucaser ou Austin o Wesley Inc c US user list gsouser lt Muster gt lt max Zur ckgabe gt Generiert eine Liste die nur die GSO Benutzer enth lt und nach registrierten Namen angezeigt wird Die Listeneintr ge werden in der Reihenfolge der Erstellung der GSO Benutzer angezeigt Einzelheiten zu den Befehlsargumenten finden Sie beim Befehl user list oben Beispiel pdadmin gt user list gsouser luca 2 Dieser Befehl hat etwa folgende Ausgabe en Diana Lucas ou Austin o Wesley Inc c US cn Mike Lucaser ou Austin o Wesley Inc c US Version 3 8 Gruppenverwaltungsbefehle Die folgenden Befehle pdadmin group steuern Gruppeneintr ge in der LDAP Verzeichnisregistrierungsdatenbank Eine Gruppe ist eine Reihe von Policy Director Benutzerkonten mit hnlichen Attributen Mit Hilfe von Gruppen k nnen Sie einen Gruppennamen in einer Zugriffssteuerungsliste Access Control List ACL angeben so dass Sie nicht alle Benutzer einzeln auflisten m s sen Befehl Beschreibung group create lt Gruppenname gt lt DN gt lt CN gt Gruppencontainerobjekt Erstellt eine neue Policy Director Gruppe 1SSecGroup in der LDAP Benutzerregistrierungsdatenbank Das Argument Gruppenname ist der Name der erstellten Gruppe Dieser Name muss eindeutig sein Das Argu ment DN ist der
168. l user create der die Berechtigung N erfordert erstellen Sie neue Benutzer und f gen Sie wahlweise einer vorhandenen Gruppe hinzu Das Hinzuf gen von vorhandenen Benutzern zu Ihrer Gruppe ist wirkungsvoll da der Eigner einer Gruppe die Steuerung ber alle Benutzer der Gruppe hat Wenn Sie als Eigner der Gruppe auch ber die Berechtigung delete d verf gen k nnen Sie diesen Benutzer aus der gesamten gesicherten Dom ne l schen Version 3 8 Management GSO Berechtigungen Mit dem Containerobjekt Management GSO des gesch tzten Objektbereichs k nnen Administratoren GSO Verwaltungs Tasks ausf hren wenn entsprechende Berechtigungen definiert sind Operation Beschreibung m modify v view rsrcgroup modify rsrccred modify rsrc list rsregroup list rsrecred list rsrc show rsrcegroup show rsrcecred show N create rsrc create rsrcgroup create rsrcecred create alle oben aufgef hrten Befehle erfordern au erdem m d delete rsrc delete rsrcgroup delete rsrccred delete alle oben aufgef hrten Befehle erfordern au erdem m Tivoli SecureWay Policy Director Base Administratorhandbuch 99 U9PUSOMAOA SOIIIOA 1IV E Objekt und Objektbereichsberechtigungen Mit diesen Befehlen k nnen Verwaltungsbenutzer neue Objekte und Objektbereiche verwalten Aktions Tasks und zugeh rige Berechti gungen Operation Beschreibung b browse objectspace list objectspace
169. len Sichere gemeinsame Informationsnutzung Tivoli SecureWay Policy Director Base Administratorhandbuch 17 10 3911q IlOd 13qN 4491S19QN L service Einf hrung in den Policy Director Berechtigungs Policy Director wird in vorhandene traditionelle und in sich ent wickelnde Infrastrukturen integriert und stellt gesicherte zentrale Policy Verwaltungsf higkeit zur Verf gung Der Policy Director Berechtigungsservice bietet in Verbindung mit Ressourcenmanagern z B WebSEAL eine Standardberechtigungsmethode f r Unter nehmensnetzsysteme Vorhandene Anwendungen k nnen den Berechtigungsservice nutzen Die Berechtigungs Policy basiert auf Benutzer oder Gruppenbe rechtigungsklassen und kann auf Netzserver einzelne Transaktionen oder Datenbankanforderungen spezifische webbasierte Informatio nen Verwaltungsaktivit ten und benutzerdefinierte Objekte angewen det werden sungs AP Die Berechtigungs APl siehe gung gestattet vorhandenen Anwendungen Aufrufe an den Berechtigungsservice durchzuf hren der wiederum Entscheidungen gem der Sicherheits Policy des Unternehmens trifft Der Policy Director Berechtigungsservice ist au erdem erweiterbar und kann so konfiguriert werden dass mit Hilfe der Plug In Schnitt stelle des externen Berechtigungsservice andere Berechtigungs services f r zus tzliche Verarbeitung angefordert werden k nnen Version 3 8 Vorteile des Policy Director Berechtigungsservice Der
170. len APIs und Daten definitionen werden entweder durch offizielle Standards oder entsprechende RFCs Request for Comments definiert Lightweight Directory Access Protocol v3 RFC 2251 definiert bei spielsweise das LDAP Basisprotokoll Andere Funktionen die allge mein akzeptiert und implementiert werden sind in Internet Entw r fen definiert Ein Gro teil dieser Arbeit wird durch die IETF Internet Engineering Task Force und die DMTF Distributed Management Task Force erbracht LDAP berbr ckungskonfiguration Das Lightweight Directory Access Protocol LDAP definiert eine Standardmethode f r den Zugriff auf und die Aktualisierung von Informationen in einem Verzeichnis Der Zugriff auf Verzeichnisse erfolgt normalerweise mit Hilfe eines Client Server bertragungs modells Jeder Server der das LDAP Protokoll implementiert ist ein LDAP Verzeichnisserver Policy Director unterst tzt die Verwendung von LDAP f r seine Benutzerregistrierungsdatenbank Die IBM Implementierung von LDAP wird als IBM SecureWay Directory bezeichnet Die iPlanet Implementierung von LDAP wird als iPlanet Directory Server bezeichnet Die verteilte LDAP Architektur unterst tzt skalierbare Verzeichnis services mit Serverreplikationsfunktionen Die Serverreplikation ver bessert die Verf gbarkeit eines Verzeichnisservice Die IBM Secure Way Directory Replikation basiert auf einem Master Slave Modell Die iPlanet Directory Server Replikation basi
171. lorene Kennwort auf einen bekannten Wert zur cksetzen und dann f r user modify password valid pdadmin no definieren Hierdurch ist der Benutzer gezwun gen das Kennwort bei der n chsten Anmeldung zu ndern m Mit der Berechtigung view v wird die Ausgabe der Befehle user list user list dn user show groups group list und group list dn gesteuert Die Berechtigung view filtert die Ausgabe dieser Befehle Verf gt der Benutzer nicht ber die Berechtigung view f r eine Gruppe oder einen Benutzer die bzw den der Befehl zur ckgibt wird diese Gruppe bzw dieser Benutzer aus der Ausgabe herausgefiltert Stellvertreterverwaltungs Policy verwalten In den beiden vorangegangenen Abschnitten wurde das Delegieren der Verwaltung der Sicherheits Policy zum Schutz der Ressourcen in Ihrer gesicherten Dom ne und das Delegieren der Verwaltung der Benutzer die auf diese Ressourcen zugreifen getrennt voneinander beschrieben Diese beiden Einzelaspekte der Stellvertreterverwaltung m ssen h ufig kombiniert werden um eine vollst ndige Sicherheits Policy f r die Stellvertreterverwaltung einzurichten Hierbei m ssen Sie jedoch sehr vorsichtig vorgehen Insbesondere m ssen Sie genau darauf achten welche Berechtigungskombina tionen Sie erteilen Tivoli SecureWay Policy Director Base Administratorhandbuch 129 us1a ajap syseL sBunyemian S 130 Die Berechtigung A sollte beispielsweise nur den m chtigsten und sicherst
172. lphas lt Zahl gt lunset user lt Benutzername gt policy get min password alphas user lt Benutzername gt Verwaltet die Policy die die minimal zul ssige Anzahl alphabetischer Zeichen in einem Kennwort steuert Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der Standardregistrierungsdatenbank anwenden Die Standardeinstellung ist 4 policy set min pas sword length lt Zahl gt lunset user lt Benutzername gt policy get min password length user lt Benutzername gt Verwaltet die Policy die die Mindestl nge eines Kenn worts steuert Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der Standardregistrierungsdatenbank anwenden Die Standardeinstellung ist 8 name gt policy set min password non alphas lt Zahl gt lunset user lt Benutzer policy get min pas Tivoli SecureWay Policy Director Base Administratorhandbuch sword non alphas user lt Benutzername gt Verwaltet die Policy die die minimal zul ssige Anzahl nicht alphabetischer numerischer Zeichen in einem Kennwort steuert Als Administrator k nnen Sie diese Policy f r einen bestimmten Benutzer oder global f r alle Benutzer in der Standardregistrierungsdatenbank anwenden Die Standardeinstellung ist 1 239 umwpepd Iy3J9g AN ZU919J94 Y 240 Befehl Beschreibung
173. ltungs API Die Verwaltungs APl stellt eine vollst ndige Funktionsgruppe f r das Dienstprogramm pdadmin zur Verf gung Mit Hilfe der Funktionen k nnen Anwendungen eines anderen Herstellers Policy Director Ob jekte ACLs Aktionen Objekte POPs Server Benutzer Gruppen Policies programmatisch verwalten Policy Director Authorization Server Im Berechtigungsmodus f r fernen Cache verwenden Anwendungen die Funktionsaufrufe die die Berechtigungs API zur Verf gung stellt um mit dem Authorization Server pdacld zu kommunizieren Der Authorization Server verwaltet eine Replikation Kopie der Berech tigungs Policy Datenbank und fungiert als Auswerter f r die Berech tigungsentscheidungsfindung Die API leitet eine Berechtigungsentscheidungsanforderung an den Authorization Server weiter Der Authorization Server liefert eine Empfehlung gem der Sicherheits Policy Der Server kann auch einen Protokolleintrag schreiben der die Details der Berechtigungs anforderung enth lt IBM Global Security Kit GSKit Policy Director verwendet die GSKit Implementierung des SSL Pro tokolls GSKit IBM Global Security Kit Administratoren verwal ten X 509 Zertifikate mit Hilfe des GSKit Dienstprogramms iKey man Erl uterungen zur Berechtigung Konzeptionelles Modell 14 Wenn Server die Sicherheit in einer gesicherten Dom ne aktivieren muss sich jeder Client identifizieren Die Sicherheits Policy legt wie derum fest ob der be
174. m Objektbereich 222222 114 Objektbereich f r die Stellvertreterverwaltung strukturieren 114 Standardverwaltungsbenutzer und gruppen 2 2222 115 Verwaltungsbenutzer erstellen 222222 eeeeeeeeeeenenn 117 Beispielverwaltungs ACL Schablonen 22222 c een en 118 Beispiel Stellvertreterverwaltung 222222 seeeeeeeeeen 119 Gruppenverwaltung delegieren 22 2onnneeeeenen ern nnn 120 Gruppencontainerobjekte erstellen 2 222222 eneeeenen 122 Gruppen eistellen a serado enrecaga emege a pieh g a ande 124 ACL Policies die die Gruppenverwaltung betreffen 126 Tivoli SecureWay Policy Director Base Administratorhandbuch vii ACL Policies die die Benutzerverwaltung betreffen 127 Stellvertreterverwaltungs Policy verwalten 2222222222 eeeenen 129 Kapitel 6 Policy Director Server verwalten 135 Policy Director Server Einf hrung 2 2222 oeeeeeeennnen 135 Serverabh ngigkeiten 222222 t crr tinrt niur enris 137 Einf hrung in Serververwaltungs Tools 2 222200 138 Serverkonfigurationsdateien 2222222 neeeeeeennnnn nen 139 UNIX Policy Director Server stoppen starten 22222 2oeeenennen 141 Policy Director Server mit Dienstprogramm pd_start stoppen 141 Policy Director Server mit Dienstprogramm pd_start starten 141 Policy Director Server mit Dienstprogramm pd_start erneut st
175. m Schutz privater Schl ssel in der Schl sseldatei ssl keyfile stash Position der SSL Kennwort Stash Datei ssl keyfile label ssl v3 timeout Zu verwendender Kennsatz des Schl ssels nicht der Standardwert Sitzungszeitlimit f r SSL v3 Verbindungen ssl listening port TCP Port f r den Empfang eingehender MTS Anforderungen ssl io inactivity timeout Bei einer SSL Verbindung der Zeitraum in Sekunden bis zur Zeitlimit berschreitung wenn auf eine Antwort gewartet wird ssl maximum worker threads Maximale Anzahl Threads die der Server zur Bearbeitung eingehender Anforderungen erstellt ssl pwd life Lebensdauer des SSL Kennworts in Tagen ssl cert life Lebensdauer des SSL Zertifikats in Tagen ssl auto refresh Automatische Aktualisierung des SSL Zertifi kats und des Kennworts der Schl ssel datenbankdatei aktivieren bzw inaktivieren Bei einer Aktivierung werden das Zertifikat und das Kennwort kurz vor dem Ablauf neu generiert Zeilengruppe authentication mechanisms passwd uraf Bibliothek f r die Authentifizierung cert uraf Bibliothek f r die Authentifizierung passwd Idap Bibliothek f r die Authentifizierung cert Idap Bibliothek f r die Authentifizierung Tivoli SecureWay Policy Director Base Administratorhandbuch 243 uo9 p umn 1n ZU919Jj94 g 244 Parameter Beschreibung Zeilengruppe
176. m Stellt Authentifizierungsservices f r alle Anmeldeversuche zur Verf gung Der Sicherheitsserver kann die Registrierungsdatenbank innerhalb der gesicherten Dom ne replizieren vervielf ltigen um einen Single Point of Failure einzelner Fehlerpunkt zu vermeiden Der Sicher heitsserver ist f r die Aktualisierung aller Replikationsdaten banken verantwortlich sobald eine nderung in der Hauptregistrie rungsdatenbank auftritt Management Server Der Management Server pdmgrd verwaltet die Hauptberechti gungs Policy Datenbank f r die gesicherte Dom ne Er ist au erdem verantwortlich f r die Aktualisierung aller Berechtigungsdatenbankre plikationen innerhalb der gesicherten Dom ne Der Management Ser ver verwaltet au erdem die Positionsinformationen f r die anderen Policy Director Server in der gesicherten Dom ne Version 3 8 WebSEAL WebSEAL webseald ist ein Ressourcenschutzmanager der feink r nige HTTP und HTTPS Zugriffssteuerung zur Verf gung stellt WebSEAL ist ein Webserver mit hoher Leistung und mehreren Threads der HTTP und HTTPS Anforderungen akzeptiert WebSEAL verwaltet die Zugriffssteuerung f r folgende Ressourcen URL Adressen URL basierte regul re Ausdr cke CGI Programme HTML Dateien Java Servlets und Java Klassendateien WebSEAL sichert und verwaltet als Junction Server Webserver ande rer Hersteller mit Hilfe der WebSEAL Junction Methode WebSEAL Junctions erm glichen Ihnen dem Webbe
177. m sicherzustellen dass Sie den Text korrekt eingegeben haben Korrigieren Sie alle Fehler bis die Syntaxanalyse fehlerfrei ist Klicken Sie auf OK Das Fenster Manage Access Control f r o neworg c us wird angezeigt Klicken Sie auf Neu Geben Sie folgenden ACI Namen an PD Servers GROUP ALLOW READ Heben Sie den Namen All Users hervor und klicken Sie auf Remove Klicken Sie auf Edit Manually Das Fenster Edit ACI for o neworg c us wird angezeigt Ersetzen Sie den Standard ACI Text durch den folgenden target 1dap o neworg c us targetattr version 3 0 acl SECURITY GROUP ALLOW READ allow read search compare groupdn Idap cn ivacld servers cn SecurityGroups secAuthority Default Klicken Sie auf Check Syntax um sicherzustellen dass Sie den Text korrekt eingegeben haben Korrigieren Sie alle Fehler bis die Syntaxanalyse fehlerfrei ist Klicken Sie auf OK Das Fenster Manage Access Control f r o neworg c us wird angezeigt Klicken Sie auf Neu Geben Sie den ACI Namen PD Remote ACL Users GROUP ALLOW READ an Heben Sie den Namen All Users hervor und klicken Sie auf Remove Klicken Sie auf Edit Manually Das Fenster Edit ACI for o neworg c us wird angezeigt Version 3 8 23 24 25 26 21 28 29 30 Ersetzen Sie den Standard ACI Text durch den folgenden target 1dap o neworg c us targetattr version 3 0 acl SECU
178. me work verwenden Mit der Berechtigungs API sind Unternehmen in der Lage den Zugriff auf Ressourcen in ihren Netzen besser zu steu ern Version 3 8 Policy Director Kerntechnologien Die Netzsicherheitsverwaltung von Policy Director bietet und unter st tzt folgende Kerntechnologien Authentifizierung Berechtigungserteilung Sicherungsstufe Skalierbarkeit Nachpr fbarkeit m Zentrale Verwaltung Authentifizierung Die Authentifizierung ist der erste Schritt den ein Client ausf hren muss wenn er eine Ressource in einem Netz anfordert das durch Policy Director gesch tzt wird Der Authentifizierungsprozess ist normalerweise von den spezifischen Anforderungen der Servicean wendung abh ngig Policy Director gestattet eine h chst flexible Handhabung der Authentifizierung durch Verwendung der Berechti gungs API Policy Director Base stellt integrierte Unterst tzung der Authentifi zierung von Benutzernamen und Kennw rtern durch die Berechti gungs API zur Verf gung Anwendungsentwickler k nnen beliebige angepasste Authentifizierungsverfahren erstellen die die Berechti gungs API verwenden Berechtigungserteilung m Policy Director Berechtigungsservice m ACL und POP Policies f r feink rnige Zugriffssteuerung m Standardisierte Berechtigungs APl m F higkeit externe Berechtigungsservices zu verwenden Sicherungsstufe Daten Die Sicherungsstufe gibt den Grad des Schutzes an mit dem Policy Director alle Informatio
179. meisten Verwaltungsanforderungen durch die Konsole ber den Verwaltungsserver auf dem Zielserver ausgef hrt werden ben tigt der Verwaltungsserver die Berechtigung die Anforderung auf dem Zielserver auszuf hren Aus diesem Grund wird dieser Gruppe die Berechtigung server administration s in der Standardverwal tungs ACL und die Berechtigung list 1 im gesamten Webbereich erteilt Version 3 8 Gruppe webseal servers Diese Gruppe enth lt alle WebSEAL Server in der gesicherten Dom ne Die WebSEAL Standard ACL erteilt diesen Servern die vollst ndige Gruppe der HTTP spezifischen Berechtigungen und die Stellvertreterberechtigung Diese Policy gestattet allen WebSEAL Servern die Junction zu allen anderen WebSEAL Servern zu ber queren Eine nderung dieser Policy k nnte diese Berechtigungen auf einer Serverbasis erteilen Verwaltungsbenutzer erstellen Sie k nnen Verwaltungskonten mit verschiedenen Zust ndigkeits graden erstellen Die Zust ndigkeit wird durch strategische Positio nierung von Verwaltungs ACLs an Administratoren delegiert Die folgende Liste illustriert m gliche Verwaltungsberechtigungsklassen m ACL Verwaltungszust ndigkeiten Der ACL Administrator kann den Namensbereich eines gesch tzten Objekts ganz oder teilweise steuern je nachdem an welcher Position sich die Verwaltungs ACL befindet Der ACL Eintrag des Administrators k nnte die Berechtigungen b a und T sowie beliebige weitere Berechtigungen di
180. ment Console zur Verf gung stehen ausf hren m Alle Verwaltungs Tasks die nicht ber die Management Console zur Verf gung stehen ausf hren Dienstprogramm pd_start Administratoren k nnen mit Hilfe des Dienstprogramms pd_start Server manuell stoppen starten erneut starten und den Serverstatus anzeigen Systemsteuerung f r Windows NT Dienste ber die Systemsteuerung f r Dienste k nnen Sie folgendes ausf h ren Server stoppen Server starten Server anhalten aussetzen Angehaltenen Server fortsetzen wieder aufnehmen Konfigurierte Server auflisten Serverkonfigurationsdateien Mit Hilfe der Serverkonfigurationsdateien k nnen Sie die Verarbei tung der Policy Director Server anpassen Servername Konfigurations Position der Konfigurationsdatei datei Management ivmgrd conf UNIX lt Installationspfad gt letc ivmgrd conf Server Windows lt Installationspfad gt etc ivmgrd conf pdmgrd Authorization ivacld conf UNIX lt nstallationspfad gt letc ivacld conf Server Windows lt Installationspfad gt ete ivacld conf pdacld WebSEAL webseald conf UNIX opt pdweb etc webseald conf webseald Windows C Programme Tivoli PDWeb etc webseald conf Tivoli SecureWay Policy Director Base Administratorhandbuch 139 uoyemion 1 M1 10 9 11q DI Od 9 140 Die Policy Director Base Programmdateien werden in folgendem Stammverzeichnis installiert UNIX opt PolicyDirector W
181. mit der Standardentschei dungsgewichtung 101 geladen die im Bedarfsfall alle Entscheidun gen des Policy Director Berechtigungsservice au er Kraft setzt Version 3 8 Der WebSEAL Server empf ngt eine Anforderung von einem Client f r den Zugriff auf eine Online Fotodruckerressource Der Client geh rt zur entsprechenden Gruppe GraphicArtists so dass er normalerweise berechtigt ist Jobs an den Drucker zu bergeben Der WebSEAL Server fragt zun chst im Policy Director Berechtigungsservice nach ob der anfordernde Benutzer ber eine Berechtigung f r die bergabe von Jobs an den Drucker verf gt Der Policy Director Berechtigungsservice berpr ft die Zugriffs berechtigungen f r das angeforderte Zielobjekt und vergleicht diese mit den Berechtigungen des anfordernden Benutzers Gruppe GraphicArtists rx ec In der ACL der Druckerressource gestattet die Berechtigung x allen Benutzern der Gruppe GraphicArtists einen Zugriff auf die Ressource Daher erteilt der Policy Director Berechtigungs service dem Benutzer die Berechtigung f r die bergabe des Jobs Da auf die Fotodruckerressource zugegriffen wird und diesem Objekt eine Ausl serbedingung des externen Berechtigungs service zugeordnet ist erfolgt au erdem eine Anforderung an den externen Berechtigungsservice der f r diese Ausl serbedingung konfiguriert ist Der externe Berechtigungsservice empf ngt alle Zugriffsent scheidungsinformationen die
182. mit der urspr nglichen Zugriffs entscheidungspr fung durch WebSEAL bergeben wurden Der externe Berechtigungsservice pr ft die Aufzeichnung der vorherigen Zugriffe durch diesen Benutzer Hat der anfordernde Benutzer seine w chentliche Quote nicht berschritten wird eine neutrale Zugriffsentscheidung zur ckgegeben Daraus folgt dass der externe Berechtigungsservice die Anforde rung nicht beachtet und sich nicht an der Zugriffsentscheidung beteiligt da seine Bedingungen f r eine Zugriffsverweigerung nicht erf llt wurden Tivoli SecureWay Policy Director Base Administratorhandbuch 45 10 3911q IlOd 13qN 1491S19QN L Hat der Benutzer jedoch seine Quote berschritten gibt der externe Berechtigungsservice die Entscheidung Zugriff verwei gert zur ck In diesem Beispiel wird vorausgesetzt dass der anfordernde Benutzer seine Quote berschritten hat und dass der externe Berechtigungsservice dies feststellt und die Entscheidung Zugriff verweigert trifft 6 Der Policy Director Berechtigungsservice empf ngt das Ergebnis Zugriff verweigert vom externen Berechtigungsservice Dann wird diese Entscheidung mit dem Standardgewichtungswert 101 des externen Berechtigungsservice gewichtet Das Ergebnis der Entscheidung des externen Berechtigungs service und das Ergebnis der Entscheidung des Policy Director Berechtigungsservice werden kombiniert Das Endergebnis lautet Zugriff verweigert weil das Ergebni
183. mm pd_start um alle Policy Direc tor Server die auf einer bestimmten Maschine momentan nicht aktiv sind zu starten pd_start start Dieses Script wartet bis alle Server gestartet wurden bevor die Ein gabeaufforderung wieder erscheint Tivoli SecureWay Policy Director Base Administratorhandbuch 141 uoyemion 1 M1 10 9 11q DI Od 9 Policy Director Server mit Dienstprogramm pd_start erneut starten Verwenden Sie das Dienstprogramm pd_start um alle Policy Direc tor Server auf einer bestimmten Maschine zu stoppen und dann erneut zu starten pd_start restart Dieses Script wartet bis alle Server gestartet wurden bevor die Ein gabeaufforderung wieder erscheint Einzelne Server manuell starten Sie k nnen die Server einzeln manuell starten indem Sie die Server direkt ausf hren Der Server initialisiert sich selbst und falls erfolg reich startet die D monen selbst Sie m ssen die Startbefehle als Verwaltungsbenutzer z B root aus f hren Starten Sie die Policy Director Server in folgender Reihenfolge 1 Management Server pdmgrd lt Installationspfad gt bin pdmgrd 2 Authorization Server pdacld lt Installationspfad gt bin pdacld Serverstatus mit Dienstprogramm pd_start anzeigen Mit dem Befehl pd_start k nnen Sie den Serverstatus anzeigen pd_start status Policy Director Server Server Aktiviert Aktiv pdmgrd ja ja webseald nein nein pdacld ja nein 142 Version 3 8 Windo
184. modify lt Objektname gt delete attribute lt Attributname gt Entfernt das angegebene erweiterte Attribut und alle zugeh rigen Werte aus dem angegebenen gesch tzten Objekt object modify lt Objektname gt delete attribute lt Attributname gt lt Attribut wert gt Entfernt den angegebenen Wert aus dem erweiterten Attribut das dem angegebenen gesch tzten Objekt zugeordnet ist object modify lt Objektname gt set attribute lt Attributname gt lt Attribut wert gt F gt das erweiterte Attribut und seinen Wert einem gesch tzten Objekt hinzu object show lt Objektname gt attribute lt Attributname gt Zeigt die Werte des angegebenen erweiterten Attributs das dem gesch tzten Objekt zugeordnet ist an Tivoli SecureWay Policy Director Base Administratorhandbuch 209 umwpepd Iy3J9g AN ZU919J94 Y Befehle f r Policy f r gesch tzte Objekte POP 210 Mit den Befehlen pdadmin pop k nnen Policies f r gesch tzte Objekte Protected Object Policies POP und erweiterte Attribute f r POP Policies erstellt werden m POP Policies verwalten POP Policies verwalten Befehl Beschreibung pop attach lt Objektname gt lt POP Name gt Eine POP Policy einem gesch tzten Objekt zuordnen pop create lt POP Name gt POP Policy erstellen pop delete lt POP Name gt POP Policy l schen pop detach lt Objektname gt POP Policy bei einem gesch tz
185. n Objektbereich zuordnen Die ACL Defi nition besteht aus so vielen Eintr gen dass die Anforderungen aller Version 3 8 Objekte f r die die ACL Policy angewendet wird erf llt werden F r ein einzelnes Objekt k nnen jedoch jeweils nur einige der Ein tr ge von Bedeutung sein Im ACL bernahmemodell bernimmt jedes Objekt ohne explizite ACL Policy die Policy Definitionen der n chsten ACL Policy die f r ein bergeordnetes Objekt in der Hierarchie angewendet wird Zusammenfassung Eine ACL Policy muss die erforderlichen Berech tigungen f r alle Objektarten auf die sie angewendet wird beschrei ben nicht nur f r das Objekt dem sie zugeordnet ist Beispiel einer ACL Policy bernahme Die folgende Abbildung zeigt die Auswirkung einer Mischung aus bernommenen und expliziten ACL Policies in einem Unternehmens objektbereich In einem Unternehmensobjektbereich ist eine allgemeine Sicherheits Policy am Stammobjekt Root definiert Dem Stamm folgt das Containerobjekt WebSEAL und einzeln gesteuerte untergeordnete Baumstrukturen verschiedener Abteilungen In diesem Beispiel hat die Gruppe Verkauf das Eigentumsrecht ihrer untergeordneten Abteilungsbaumstruktur Beachten Sie dass die ACL Policy in dieser untergeordneten Baumstruktur die Eintrags arten Nicht authentifiziert und Beliebige andere nicht mehr ber ck sichtigt Die Datei mit dem Umsatz bis dato ytd htm verf gt ber eine explizite ACL Policy die
186. n der ein WebSEAL Server und ein externer Berechtigungsservice beteiligt sind Tivoli SecureWay Policy Director Base Administratorhandbuch 43 10 3911q IlOd 13qN 1491S19QN L 44 Externer Gesicherte Dom ne Berechtigungs service 4 Externe Berechtigungs pr fung 5 Externes Berechtigungs ergebnis verweigert 101 Berechtigungs Policy Berechtigungs 5 r service 3 Berechtigungs pr fung zul ssig 100 r EEn Ei 6 Kombinierte Berechtigungs Gesch tzter 2 Berechtigungs entscheidung verweigert 1 Kae anforderung g g Objektbereich E 1 Anforderung Ber API pesson reenmanager 7 Zugriff verweigert a eines Ressourcen 8 Antwort anderen Client Verweigert Herstellers Abbildung 14 Externer Berechtigungsservice mit WebSEAL In diesem Beispiel dient der externe Berechtigungsservice dazu eine Einschr nkung bez glich der Verwendungsh ufigkeit der Druckerr ressource mit Fotoqualit t festzulegen Die Serviceimplementierung legt eine Begrenzung der Anzahl Jobs fest die eine Person w chentlich an diesen Drucker bergeben kann Der Fotodruckerressource wurde eine Ausl serbedingung des exter nen Berechtigungsservice zugeordnet so dass der externe Berech tigungsservice bei jedem Zugriff auf den Fotodrucker aufgerufen wird Der externe Berechtigungsservice wurde
187. n der gesicherten Dom ne verantwortlich Wenn in der Hauptdatenbank eine nderung vorgenommen wird bernehmen Benachrichtigungs Threads das Melden dieser nderung an alle Rep likationen Jede Replikation ist dann daf r zust ndig die neuen Informationen aus der Hauptdatenbank herunterzuladen Die Konfigurationsdatei des Verwaltungsservers ivmgrd conf ent h lt einen Parameter mit dem die maximale Anzahl der Aktualisie rungsbenachrichtigungs Threads definiert werden kann Dieser Thread Pool gestattet simultane parallele Benachrichtigung Tivoli SecureWay Policy Director Base Administratorhandbuch 147 uoyemion 1 M1 10 9 11q dI Od 9 Sollen beispielsweise 30 Replikationen ber eine Datenbank nderung informiert werden muss f r den Thread Pool mindestens 30 angege ben werden Sind mehr als 30 Replikationen vorhanden erfolgt die Benachrichtigung der brigen Replikationen in einem neuen Durch gang in diesem Beispiel jeweils 30 gleichzeitig Alle Replikationen werden benachrichtigt unabh ngig von dem Wert dieses Parameters Das Ziel des Aktualisierungsbenachrichtigungs Thread Werts ist die schnellstm gliche Bekanntgabe einer Datenbank nderung Der Wert sollte normalerweise der Anzahl der vorhandenen Replikationen ent sprechen Auf diese Weise ist eine bessere Leistung zu erwarten da ein einzelner Thread Pool die Benachrichtigung aller Replikationen auf einmal schneller durchf hren kann Der Standardwert f r
188. n eine Mischung aus Platzhalterzeichen und Zeichenfolgekonstanten enthal ten und die Gro Kleinschreibung muss beachtet wer den z B luca Das Argument max Zur ckgabe begrenzt die Anzahl der gesuchten und zur ckgegebenen Eintr ge f r eine einzelne Anforderung z B 2 Beach ten Sie dass die zur ckgegebene Anzahl auch durch die LDAP Serverkonfiguration bestimmt wird in der die maximale Anzahl der Ergebnisse die bei einer Suchoperation zur ckgegeben werden kann festgelegt ist Die tats chlich zur ckgegebene Anzahl an Eintr gen ist das Minimum von lt max Zur ckgabe gt und dem konfigurierten Wert im LDAP Server Beispiel pdadmin gt user list lucax 2 Dieser Befehl hat etwa folgende Ausgabe dlucas mlucaser Tivoli SecureWay Policy Director Base Administratorhandbuch 221 umwpepd Iy3J9g AN ZU919j94 Y 222 Befehl Beschreibung user list dn lt Muster gt lt max Zur ckgabe gt Wenn der registrierte Name DN nur teilweise bekannt ist wird eine Liste aller konfigurierten Benutzerkonten nach registrierten Namen generiert Die Listeneintr ge werden in der Reihenfolge der Erstellung der Benutzernamen angezeigt Einzelheiten zu den Befehls argumenten finden Sie beim Befehl user list oben Mit dem Argument Muster k nnen Sie ein Muster f r den Abschnitt mit dem allgemeinen Namen Common Name CN des registrierten Namens des Benutzers ohne Komponente cn angeben Beispie
189. n erh lt Beispiel engwebs01 Das optionale Argument Beschreibung kann hinzuge f gt werden um dem Administrator das Identifizieren dieser Ressource zu erleichtern Allen optionalen Para metern muss ein Bindestrich vorangestellt werden Beschreibungen die Leerzeichen enthalten m ssen zwi schen doppelten Anf hrungszeichen stehen Beispiel in einer Zeile eingegeben pdadmin gt rsrc create engwebs0l desc Technischer Webserver Raum 4807 Tivoli SecureWay Policy Director Base Administratorhandbuch 227 umwpepd Iy3J9g AN ZU919J94 Y 228 Befehl Beschreibung rsrc delete lt Ressourcenname gt L scht die angegebene Ressource einschlie lich der Beschreibung Die Ressource muss vorhanden sein ansonsten wird ein Fehler angezeigt Beispiel pdadmin gt rsrc delete engwebs01l rsre list Zeigt die Namen aller Webressourcen nach Ressourcen namen die im LDAP Verzeichnis definiert sind an Beispiel pdadmin gt rsrc list Dieser Befehl hat etwa folgende Ausgabe engwebs01 engwebs02 engwebs03 rsrc show lt Ressourcenname gt Zeigt die Webressourceninformationen f r die angege bene Ressource an Die Ressource muss vorhanden sein ansonsten wird eine Fehlernachricht angezeigt Beispiel pdadmin gt rsrc show engwebs0l Dieser Befehl hat etwa folgende Ausgabe Web Ressourcenname engwebs01 Beschreibung Technischer Webserver Raum 4807
190. n in der gesicherten Dom ne Der Management Server erfordert normalerweise sehr wenig Verwaltung oder Konfiguration Dieser Abschnitt beschreibt die Konfigurations Tasks die dem Administra tor zur Verf gung stehen Replikation der Berechtigungsdatenbank Ein Policy Director Administrator kann jederzeit nderungen der Sicherheits Policy in der gesicherten Dom ne vornehmen Eine Hauptaufgabe des Management Servers besteht in der erforderlichen diesen nderungen entsprechenden Anpassung der Hauptberechti gungsdatenbank Wenn der Management Server eine nderung in der Haupt berechtigungsdatenbank vornimmt Kann er einen Hinweis auf diese nderung an alle Authorization Server mit Replikations datenbanken senden Die Authorization Server m ssen dann eine Datenbankaktualisierung von der Hauptberechtigungsdatenbank anfordern Anmerkung Au erdem k nnen Client Server Datenbank aktualisierungen durch regelm ige Sendeaufrufe an den Management Server pr fen Die Konfiguration des Sendeaufrufs f r einen WebSEAL Client wird z B im Tivoli SecureWay Policy Director WebSEAL Administratorhandbuch erl utert Mit Hilfe von Policy Director k nnen Sie Aktualisierungsbenachrich tigungen vom Management Server als automatischen Prozess oder als manuell gesteuerte Task konfigurieren Der Parameter auto data base update notify befindet sich in der Zeilengruppe ivmgrd der Tivoli SecureWay Policy Director Base Administratorhandbuch 1
191. n mehrere Gruppeneintr ge berein sind die resultieren den Berechtigungen eine logische Oder Verkn pfung geringste Einschr nkung der Berechtigungen die durch jeden bereinstim menden Eintrag erteilt werden bereinstimmung Die Pr fung stoppt hier Keine bereinstim mung Weiter mit dem n chsten Schritt 3 Erteilen der Berechtigungen des Eintrags Beliebige andere falls vorhanden bereinstimmung Die Pr fung stoppt hier Keine bereinstim mung Weiter mit dem n chsten Schritt 4 Eine implizite Definitionseinheit Beliebige andere ist vorhan den wenn kein ACL Eintrag Beliebige andere vorhanden ist Dieser implizite Eintrag erteilt keine Berechtigungen bereinstimmung Keine Berechtigungen erteilt Ende des Pr f Prozesses Tivoli SecureWay Policy Director Base Administratorhandbuch 71 U9PUSMAOA SOIIIOA 19V E 72 Nicht authentifizierte Anforderungen auswerten Policy Director pr ft einen nicht authentifizierten Benutzer durch Erteilen der Berechtigungen aus dem ACL Eintrag Nicht authentifi ziert Der Eintrag Nicht authentifiziert ist eine Maske eine bitweise UND Operation f r den Eintrag Beliebige andere wenn Berech tigungen bestimmt werden F r Nicht authentifiziert wird nur dann eine Berechtigung erteilt wenn die Berechtigung auch im Eintrag Beliebige andere erscheint Da Nicht authentifiziert von Beliebige andere abh ngig ist hat es wenig Sinn wenn eine Zugriffssteue
192. nager das Gruppenkonto iv admin und alle anderen ACL Eintr ge aus der ACL f r Ver ffentlichungen entfernen um die vollst ndige Steue rung ber diesen Unterbereich des Webbereichs zu erhalten WebSEAL Benutzer sec_master abc Tdm Irx Server Gruppe iv admin b T Benutzer sec_master abc Tdm Irx arka ung Gruppe iv admin he Ta bernommene Ressourcen ACL CD explizite ACL Ver ffent Gruppe iv admin b T lichungen Benutzer pub manager abc Tdm Irx Abbildung 25 Stellvertreterverwaltungsbeispiel Gruppenverwaltung delegieren 120 Policy Director gestattet Systemadministratoren das Delegieren von Zust ndigkeiten f r die Verwaltung der gesicherten Dom ne an untergeordnete Administratoren Diese Funktion ist f r eine erfolgrei che Verwaltung sehr gro er Dom nen die aus zahlreichen Abteilun gen bestehen und folglich zahlreiche Gruppen Benutzer und Res sourcen aufweisen unerl sslich Version 3 8 F r die Verwaltung umfangreicher oder komplexer Benutzergruppen k nnen Sie die Verwaltung bestimmter Benutzergruppen an unterge ordnete Administratoren delegieren Wenn ein Administrator die Poli cy Verwaltungssteuerung f r eine Gruppe erh lt hat dieser Administ rator die Policy Verwaltungssteuerung f r die Benutzer in dieser Gruppe Stellvertretergruppenverwaltung definiert folgendes m Wer die Verwaltungszust ndigkeit
193. namen die Leerzeichen enthalten m ssen zwischen doppelten Anf hrungszeichen stehen ACL Befehle Die folgenden Befehle pdadmin acl gestatten die Erstellung von ACL Policies und erweiterten Attributen 200 Version 3 8 ACL Policy verwalten Befehl Beschreibung acl attach lt Objektname gt lt ACL Name gt acl create lt ACL Name gt Ordnet eine ACL Policy einem Objekt zu Ersetzt die ACL die dem Objekt bereits zugeordnet ist Erstellt eine neue ACL Policy in der ACL Datenbank Beachten Sie dass dieser Befehl nicht die spezifischen ACL Eintr ge erstellt acl delete lt ACL Name gt L scht eine ACL Policy aus der ACL Datenbank acl detach lt Objektname gt Gibt die aktuelle ACL Policy f r das angegebene Objekt frei Beachten Sie dass dieser Befehl nicht die ACL Policy aus der ACL Datenbank l scht acl find lt ACL Name gt Sucht alle Objekte denen die angegebene ACL Policy zugeordnet ist und listet sie auf acl list Listet alle ACL Policies in der ACL Datenbank auf acl modify lt ACL Name gt description lt Beschreibung gt Entspricht dem Befehl acl modify set description acl modify lt ACL Name gt remove any other Gestattet das Entfernen des ACL Eintrags Beliebige andere aus der angegebenen ACL Policy Definition acl modify lt ACL Name gt remove group lt Gruppenname gt Gestattet das Entfernen eines vorhandenen ACL
194. ne neue UUID zu Da die UUID neu ist werden dem neuen Benutzer keine Berechtigungen durch vorhandene ACLs die auf den alten Benutzernamen verweisen erteilt Veraltete UUIDs in ACLs aufgrund gel schter Benutzer und Gruppen werden vom Policy Director Management Server pdm grd entfernt Tivoli SecureWay Policy Director Base Administratorhandbuch 61 U9PUSOMAOA SOIIIOA 1IV E a Benutzer peter _ T rx Benutzer michael Ti ACL i enth lt mehrere Gruppe Technik _ T rx Eintrags Nicht authentifiziert Einzelner ACL Eintrag Benutzer adam nmp Art ID Berechtigungen Abbildung 17 Zugriffssteuerungsliste f r ein Webseitenobjekt Sie verwenden das Dienstprogramm pdadmin oder den Web Por tal Manager zum Erstellen ndern und L schen von ACL Eintr gen ACL Policies erstellen und benennen Sie k nnen mit Hilfe des Web Portal Manager oder mit Hilfe des Befehls pdadmin acl create eine eindeutige ACL Policy erstellen und mit einem Namen sichern Dann k nnen Sie eine Sicherheits Policy anwenden indem die ACL Objekten im gesch tzten Objekt bereich zugeordnet wird Die Zugriffssteuerungsliste ACL wird zu einer ausschlie lichen Policy wie eine Formel oder ein Rezept mit den spezifischen Ein tr gen die die richtige Sicherungsstufe f r alle ihr zugeordneten Objekte zur Verf gung stellen Wenn sich die Anforderungen der Sicherheits Policy ndern editieren Sie nur die
195. nen sch tzt die zwischen Client und Server Tivoli SecureWay Policy Director Base Administratorhandbuch 10 3911q IlOd 13qN 1491S19QN L bertragen werden Die Sicherungsstufe wird aus einer Kombination aus Verschl sselungsstandards und Algorithmen zur Feststellung von nderungen festgelegt M gliche Sicherungsstufen m Standard TCP bertragung kein Schutz m Datenintegrit t Sch tzt Nachrichten Datenstr me vor einer Anderung w hrend der Netz bertragung m Datenschutz sch tzt Nachrichten vor einer nderung oder Pr fung w hrend der Netz bertragung Unterst tzte Verschl sselungsstandards Policy Director unterst tzt folgende Verschl sselungen ber SSL m 40 Bit RC2 128 Bit RC2 40 Bit RC4 128 Bit RC4 40 Bit DES 56 Bit DES 168 Bit Triple DES Gesicherte bertragung Policy Director unterst tzt die Datenintegrit t und den Datenschutz des SSL bertragungsprotokolls SSL Secure Socket Layer Das SSL Handshake Protokoll wurde durch die Netscape Communi cations Corporation entwickelt und stellt Datensicherheit und schutz im Internet zur Verf gung SSL verwendet ffentliche Schl ssel f r die Authentifizierung und geheime Schl ssel f r die Verschl sselung von Daten die ber die SSL Verbindung bertragen werden Policy Director unterst tzt die SSL Versionen 2 und 3 Version 3 8 Skalierbarkeit Die Skalierbarkeit ist die F higkeit eine zunehmende Anzahl an Benutzern die au
196. nes LDAP Replikationsservers mit Lesezugriff der als Konsument bezeichnet wird Sie m ssen der Zeilengruppe Idap Zeilen hinzuf gen die alle Replikationsserver die Policy Director zur Verf gung stehen identi fizieren Verwenden Sie folgende Syntax f r jeden Replikations server replica lt Idap server gt lt port gt lt type gt lt preference gt Parameter Beschreibung Idap server Der Netzname des LDAP Replikationsservers port Der Empfangs Port dieses Servers Verwenden Sie normalerweise 389 oder 636 type Die Funktionalit t des Replikationsservers entweder Lesen oder Lesen Schreiben Verwenden Sie nor malerweise Lesen Lesen Schreiben wird f r einen Master Server verwendet preference Eine Zahl von 1 10 Der Server mit dem h chsten Priorit tswert wird f r LDAP Verbindung w hlt Siehe erte 160 Version 3 8 Beispiel replica replical Idap tivoli com 389 readon1y 5 replica replica2 Idap tivoli com 389 readon1y 5 nderungen in der Datei Idap conf werden erst wirksam wenn Sie Policy Director erneut starten Priorit tswerte f r LDAP Replikationsserver definieren Jeder LDAP Replikationsserver muss ber einen Priorit tswert 1 10 verf gen der seine Rangordnung festlegt bei der Auswahl als m Prim rer Lesezugriffsserver oder m Sicherungslesezugriffsserver f r eine berbr ckung Je h her die Zahl desto h her die Priorit t
197. nfigurationszwecke Die aktiven Konfigurationszeilen in der Datei Idap conf stellen die Parameter und Werte f r diesen LDAP Master Server dar Sie bestimmen diese Werte w hrend der Policy Director Konfiguration Zum Beispiel ldap enabled yes host outback port 389 ss port 636 max search size 2048 Parameter Beschreibung enabled Policy Director verwendet eine LDAP Benutzer registrierungsdatenbank G ltige Werte sind yes und no host Der Netzname der Maschine auf der sich der LDAP Master Server befindet port Der TCP Empfangs Port des LDAP Master Servers ssl port Der SSL Empfangs Port des LDAP Master Servers Tivoli SecureWay Policy Director Base Administratorhandbuch 159 USPUSMIOA Yuequajep sBun1a11s1 3y dVA1 Z Parameter Beschreibung max search size Das Policy Director Limit f r eine LDAP Client Suche nach Datenbankeintr gen z B eine Anforde rung an die Management Console Benutzer aus der LDAP Datenbank aufzulisten Wenn Sie eine nderung an der LDAP Datenbank vornehmen z B ein neues Benutzerkonto ber die Management Console hinzuf gen verwendet Policy Director immer den LDAP Lese Schreibserver Master Replikationsserverkonfiguration IBM SecureWay Directory LDAP unterst tzt die Existenz mindes tens eines LDAP Replikationsservers mit Lesezugriff iPlanet Direc tory Server LDAP unterst tzt die Existenz mindestens ei
198. nix nt unix gt lt ELEMENT pid PCDATA gt lt ELEMENT rid PCDATA gt lt ELEMENT eid PCDATA gt lt ELEMENT uid PCDATA gt lt ELEMENT gid PCDATA gt lt ELEMENT azn perm result qualifier gt lt ELEMENT perm PCDATA gt lt ELEMENT result PCDATA gt lt ELEMENT qualifier PCDATA gt lt ELEMENT data PCDATA gt lt ATTLIST data tag CDATA REQUIRED gt Da bei der Policy Director Pr fung ein Standardsatzformat verwen det wird sind nicht alle Felder f r jedes aufgezeichnete Ereignis relevant Im allgemeinen erfasst jedes Ereignis das Ergebnis einer Aktion die ein Principal f r ein Zielobjekt ausf hrt Informationen zu der Aktion die Berechtigung des Principals das Zielobjekt und das Ergebnis werden in einem Header mit allgemei nem Format des Pr fsatzes erfasst Felder die f r ein bestimmtes Ereignis nicht relevant sind k nnen einen Standardwert enthalten Zus tzliche ereignisspezifische Informationen k nnen auch in einem Datenbereich mit freiem Format am Ende des Satzes aufgezeichnet werden Tivoli SecureWay Policy Director Base Administratorhandbuch 185 uajn d pun u 1 1 040 01d IRHANJLIIM S B F r die Entschl sselung der Bedeutung bestimmter Datenwerte in den S tzen sind unter Umst nden gute Kenntnisse ber den Policy Director Code und die Policy Director Architektur erforderlich Statusattribut des Felds Outcome Das Feld outcome enth lt immer einen Policy Director Statusco
199. nzu gef gt H ufigkeit f r das zwangsweise Schreiben in Pr fpro tokolldateipuffer angeben Pr fprotokolldateien werden in gepufferte Datenstr me geschrieben Wenn Sie die Pr fprotokolldateien in Echtzeit berwachen k nnen Sie die H ufigkeit mit der der Server ein zwangsweises Schreiben in die Pr fprotokolldateipuffer erzwingt ndern Standardm ig erfolgt ein zwangsweises Schreiben der Pr fproto kolldateien alle 20 Sekunden aznapi configuration logflush 20 Wenn Sie einen negativen Wert angeben wird ein zwangsweises Schreiben nach dem Schreiben jedes Satzes erzwungen Version 3 8 Pr fereignisse angeben Pr fereignisse werden nach der Serverfunktionalit t die sie generiert kategorisiert Einige Funktionen sind in allen Policy Director Servern gleich andere sind serverspezifisch Jede Art der Serverfunktionalit t ist einem Pr fbefehl zugeordnet Pr fbefehl Serverfunktionalit t authn Authentifizierungspr fung der Berechtigungs anforderung azn Berechtigungsereignispr fung mgmt Verwaltungsbefehlspr fung http Webseal HTTP Anforderungspr fung Sie k nnen jeden Policy Director Server so konfigurieren dass er Pr fereignisse selektiv auf Kategoriebasis erfasst Bei der folgenden Konfiguration werden beispielsweise nur Authentifizierungsereignisse erfasst und die Erfassung aller anderen Ereignisse wird inaktiviert einschlie lich des berschreibens jeder Berechtigungspr
200. omponent gt lt event rev 1 gt 0 lt event gt lt location gt location not specified lt location gt lt originator gt lt accessor name unknown gt lt principal auth invalid gt lt principal gt lt accessor gt lt target resource 5 gt lt object gt lt object gt lt target gt lt data gt lt data gt lt event gt WebSEAL Pr fs tze Die Webserveraktivit t kann wahlweise in der Pr fprotokolldatei zus tzlich zu den oder anstelle der HHTP Standarddateien im allge meinen Protokollformat die im Tivoli SecureWay Policy Director WebSEAL Administratorhandbuch beschrieben werden aufgezeichnet werden Sie k nnen die Pr fung der WebSEAL Aktivit t konfigurieren indem Sie http der Pr fkonfigurationsliste in der Zeilengruppe aznapi configuration der Konfigurationsdatei des WebSEAL Ser vers webseald conf hinzuf gen aznapi configuration auditcfg http Das folgende Beispiel zeigt einen HTTP Zugriffspr fsatz lt event rev 1 1 gt lt date gt 2001 08 05 23 04 26 931 00 001 lt date gt lt outcome status 412668954 gt 1 lt outcome gt lt originator blade webseald gt lt component gt http lt component gt lt event rev 1 gt 2 lt event gt lt location gt 146 84 251 70 lt location gt lt originator gt lt accessor name user not specified gt Version 3 8 lt principal auth IV_DCE_V3 0 gt cell_admin lt principal gt lt accessor gt lt target resource 5 g
201. ourcenmanager kann WebSEAL f r HTTP HTTPS Zugriff oder eine Anwendung eines anderen Herstellers sein Die Komponente zur zwingenden Anwendung der definier ten Policy verwendet die Berechtigungs API siehe um den Berechti gungsservice f r eine Berechtigungsentscheidung aufzurufen Version 3 8 3 Der Berechtigungsservice f hrt eine Berechtigungspr fung f r die Ressource durch die als Objekt im gesch tzten Objektbereich dargestellt ist Basis POP Policies werden als erstes gepr ft Dann wird die dem Objekt zugeordnete ACL Policy mit der Berechtigung des Clients verglichen Anschlie end werden die durch den Ressourcenmanager erzwungenen POP Policies ber pr ft 4 Die positive oder negative Entscheidung f r die Anforderung wird ber die Komponente zur zwingenden Anwendung der definierten Policy als Empfehlung an den Ressourcenmanager zur ckgesendet 5 Wenn die Anforderung zugelassen wird bergibt der Ressourcen manager die Anforderung weiter an die f r die Ressource zust n dige Anwendung 6 Der Client empf ngt die Ergebnisse der angeforderten Operation Policy Director Berechtigungs API Mit Hilfe der Policy Director Berechtigungs API API Authoriza tion Application Programming Interface Anwendungsprogrammier schnittstelle k nnen Policy Director Anwendungen und Anwendun gen anderer Hersteller Berechtigungsentscheidungen vom Berech tigungsservice anfordern Die Berechtigungs APl ist die S
202. pauth add modify set ipauth remove modify set ipauth anyotherw Hinweise zu POP Policies Zugriffszeit und Policy f r IP Endpunkt Authentifizierungsme thode schr nken den Zugriff auf das Objekt ein Anmerkung Die in fr heren Versionen von Policy Director durch POP Policies funktionieren hnlich wie ACL Policies Sie erstel Pr fungsstufe und Sicherungsstufe informieren den Berech tigungsservice dar ber dass zus tzliche Services erforderlich sind wenn der Zugriff auf das Objekt gestattet wird Warnungsmodus stellt eine M glichkeit ACL und POP Poli cies vor ihrer Aktivierung zu testen zur Verf gung die Berechtigungen P I und A angegebene Sicherungs stufe und die angegebenen Pr fregeln werden jetzt in POP Policies angegeben POP Policies erstellen und l schen len und konfigurieren eine POP Policy und ordnen sie dann Objekten im gesch tzten Objektbereich zu POP Policies werden wie ACL Policies bernommen Sowohl POP Policies als auch ACL Policies werden in der Hauptberechtigungs datenbank gespeichert die durch den Verwaltungsserver gesteuert wird Tivoli SecureWay Policy Director Base Administratorhandbuch 107 u pu m a apjalqO arz nyasa n sel9lJlod y POP Policy erstellen und auflisten pdadmin gt pop create lt POP Name gt Zum Beispiel pdadmin gt pop create test pdadmin gt pop list test Die neue POP Policy enth lt folgende Stan
203. pe muss vorhan den sein Beispiel pdadmin gt rsrcgroup delete webs4807 rsregroup modify lt Ressourcengruppenname gt add rsrename lt Ressourcenname gt F gt einer vorhandenen Ressourcengruppe eine Webressource hinzu Die Ressourcengruppe muss vor handen sein Beispiel in einer Zeile eingegeben pdadmin gt rsrcgroup modify webs4807 add rsrcname engwebs02 229 umwpepd Iy3J9g AN ZU919J94 Y 230 Befehl Beschreibung rsregroup modify lt Ressourcengruppenname gt remove rsrename lt Ressourcenname gt L scht eine Webressource aus einer vorhandenen Ressourcengruppe Beispiel in einer Zeile eingegeben pdadmin gt rsrcgroup modify webs4807 remove rsrcname engwebs02 rsregroup list Zeigt die Namen aller Webressourcengruppen die im LDAP Verzeichnis definiert sind an Informationen hin ter list werden ignoriert Beispiel pdadmin gt rsrcgroup list Dieser Befehl hat etwa folgende Ausgabe webs4807 websb1d3 rsregroup show lt Ressourcengruppenname gt Zeigt die Webressourcengruppeninformationen f r die angegebene Ressourcengruppe an Die Ressourcen gruppe muss vorhanden sein ansonsten wird eine Fehlernachricht angezeigt Beispiel pdadmin gt rsrcgroup show webs4807 Dieser Befehl hat etwa folgende Ausgabe Name der Ressourcengruppe webs4807 Beschreibung Webserver Raum 4807 Ressourcen Member engwebs01 engwebs02 engwebs03 Ver
204. pe super admin Tabc Gruppe group sales TNWdmv Gruppe admin TNWdmv Beachten Sie dass in jeder ACL einer Gruppe super admin die Berechtigung zum Hinzuf gen Durchsuchen und Steuern erteilt wird Die Mitglieder der Gruppe super admin sind verantwortlich f r die Verwaltung dieser ACLs 133 us1a ajap syseL sBunyemian S 134 Version 3 8 Policy Director Server verwalten Dieses Kapitel enth lt ausf hrliche Informationen zur Ausf hrung allgemeiner Verwaltungs und Konfigurations Tasks auf den Policy Director Servern Au erdem enth lt es Erl uterungen zu den Konfigurationsdateien die die einzelnen Server unterst tzen Stichwortindex Policy Director Server Einf hrung Policy Director besteht aus folgenden Serverprozessen D monen m Management Server pdmgrd m Authorization Server pdacld m WebSEAL webseald Diese Server werden w hrend der Produktinstallation automatisch konfiguriert und aktiviert Tivoli SecureWay Policy Director Base Administratorhandbuch 135 uoyemion 1 M1 10 9 11q DIOd 9 136 Der Management Server pdmgrd verwaltet die Hauptberechti gungsdatenbank ACL und Adressinformationen zu anderen Policy Director Servern in einer gesicherten Dom ne Der Management Ser ver erfordert normalerweise sehr wenig Verwaltung oder Konfigura tion Der Authorization Server pdacld gestattet Anwendungen anderer Hersteller Berechtigungsaufrufe ber die Berechtigungs AP an den
205. perationen ausf hren kann Eine ACL Policy besteht aus mindestens einem Eintrag der Benut zer und Gruppenbezeichnungen und ihre spezifischen Berechtigun gen enth lt 9 Benutzer peter T rx Benutzer michael T rX ACL l enth lt mehrere Gruppe Technik T rX Fintr ge Nicht authentifiziertt Einzelner m ACL Eintrag Benutzer adam Tr Art ID Berechtigungen Abbildung 8 ACL Policy Tivoli SecureWay Policy Director Base Administratorhandbuch 31 10 3911q IlOd 13qN 1491S19QN L POP Policies ACL Policies stellen dem Berechtigungsservice Informationen zur Verf gung mit denen eine positive oder eine negative Entscheidung bez glich einer Zugriffsanforderung f r ein gesch tztes Objekt und f r die Ausf hrung von Operationen mit diesem Objekt getroffen werden kann POP Policies POP Protected Object Policies Poli cies f r gesch tzte Objekte enthalten zus tzliche Bedingungen f r die Anforderung die zusammen mit der positiven Entscheidung zur ACL Policy vom Berechtigungsservice zur ck an Policy Director Base und den Ressourcenmanager z B WebSEAL gesendet wer den Policy Director und der Ressourcenmanager sind f r die Durch setzung der POP Bedingungen zust ndig In den folgenden Tabellen sind die verf gbaren Attribute f r eine POP Policy aufgef hrt Erzwungen durch Policy Director Base POP Attribut Beschreibung Nam
206. prozess der die F higkeit eines Clients festlegt gem der Sicherheits Policy auf eine gesch tzte Ressource zuzugreifen Das Auswertungsprogramm gibt seine Empfehlung an den Ressourcen manager weiter der entsprechend reagiert F r jedes Auswertungsprogramm k nnen Replikationsparameter der Registrierungsdatenbank konfiguriert werden Die folgende Abbildung illustriert die Hauptkomponenten des Berechtigungsservice Berechtigungsservice Management Server Haupt berechtigungs pdmgra Policy Berechtigungs auswertungs Replikations berechtigungs programm Policy EITA f ale male Ressourcen manager Abbildung 3 Komponenten des Berechtigungsservice Tivoli SecureWay Policy Director Base Administratorhandbuch 21 10 3911q IlOd 13qN 1491S19QN L 22 Berechtigungsserviceschnittstellen Der Berechtigungsservice verf gt ber zwei Schnittstellen an denen Interaktion stattfindet m Verwaltungsschnittstelle Der Sicherheitsadministrator ver waltet die Sicherheits Policy des Netzes mit Hilfe des Web Por tal Manager und oder mit Hilfe des Dienstprogramms pdad min um Policy Regeln Schablonen auf Netzressourcen anzu wenden und die Berechtigungen der Mitglieder der gesicherten Dom ne zu registrieren Der Web Portal Manager wendet diese Sicherheits Policy Daten ber den Management Server auf die Hauptberechtigungs Policy Datenbank an Diese Schnittst
207. r alle Operationen innerhalb der gesicherten Dom ne erteilt werden Tivoli SecureWay Policy Director Base Administratorhandbuch 115 us1a ajap syseL sBunyemuan S Diese Policy kann mit dem Anwachsen des Objektbereichs durch Delegieren von Verwaltungsberechtigungen auf andere Benutzer und Entziehen bestimmter oder aller Berechtigungen von sec_master ge ndert werden Gruppe iv admin Diese Gruppe stellt die Administratorgruppe dar Wie sec_master betrachtet die Standard Policy alle Mitglieder dieser Gruppe als Administratoren der gesicherten Dom ne Alle Standard ACLs ertei len Benutzer sec_master und Gruppe iv admin exakt dieselben Berechtigungen Sie k nnen Benutzer einfach durch Hinzuf gen zur Gruppe iv admin in eine Verwaltungsberechtigungsklasse einf gen Die Gefahr hierbei besteht darin dass ein Benutzer der Mitglied dieser Gruppe wird mit den Standard ACLs uneingeschr nkte Berechtigungen f r alle Operationen f r alle Objekte im gesamten Namensbereich erh lt Die Standard Policy f r diese Gruppe kann durch Delegieren von Verwaltungsberechtigungen an andere Benutzer und durch Entziehen von Verwaltungsberechtigungen ganz oder teilweise von der Gruppe iv admin ge ndert werden Gruppe ivmgrd servers Diese Gruppe enth lt den Verwaltungsserver Policy Director erfor dert dass exakt ein Verwaltungsserver in der gesicherten Dom ne vorhanden ist Daher enth lt diese Gruppe nur diesen einen Eintrag Da die
208. r angegebenen ACL Policy Definition Beispiel pdadmin gt acl modify docs set unauthenticated r acl modify lt ACL Name gt set user lt Benutzername gt lt Berechtigungen gt Gestattet das Erstellen und oder Editieren des ACL Ein trags Benutzer in der angegebenen ACL Policy Defini tion Beispiel pdadmin gt acl modify pubs set user peter Tr acl show lt ACL Name gt Listet alle Eintr ge aus denen die Definition der ange gebenen ACL Policy besteht vollst ndig auf Version 3 8 Erweiterte Attribute f r ACLs verwalten Befehl Beschreibung acl list lt ACL Name gt attribute Listet alle erweiterten Attribute auf die der ACL Policy zugeordnet sind acl modify lt ACL Name gt delete attribute lt Attributname gt Entfernt das erweiterte Attribut und alle zugeh rigen Werte aus der ACL Policy wert gt acl modify lt ACL Name gt delete attribute lt Attributname gt lt Attribut Entfernt den angegebenen Wert aus dem erweiterten Attribut das der ACL Policy zugeordnet ist acl modify lt ACL Name gt set attribute lt Attributname gt lt Attributwert gt F gt ein erweitertes Attribut und seinen Wert einer vor handenen Zugriffssteuerungsliste ACL hinzu Verwen den Sie diesen Befehl zum Hinzuf gen zus tzlicher Werte zu demselben erweiterten Attribut acl show lt ACL Name gt attribute lt Attributname gt Zeigt die Werte des angege
209. ragsarten Art Beschreibung Benutzer Definiert Berechtigungen f r einen bestimmten Benutzer in der gesi cherten Dom ne Der Benutzer muss ein Mitglied der gesicherten Dom ne mit einem Konto in der Registrierungsdatenbank sein Die Eintragsart Benutzer erfordert einen Benutzernamen ID Das Eintragsformat ist Benutzer ID Berechtigungen Zum Beispiel Benutzer Anthony Den r Gruppe Definiert Berechtigungen f r alle Mitglieder einer bestimmten Gruppe in der gesicherten Dom ne Die Eintragsart Gruppe erfor dert einen Gruppennamen ID Das Eintragsformat ist Gruppen ID Berechtigungen Zum Beispiel Gruppe Technik T 222 r Beliebige andere auch Beliebige authentifizieamdere Berechtigungen Definiert Berechtigungen f r alle authentifizierten Benutzer Es ist keine ID Angabe erforderlich Das Eintragsformat ist Beliebige Zum Beispiel Beliebige andere T r 64 Version 3 8 Art Beschreibung Nicht authentifiziert Definiert Berechtigungen f r die Benutzer die nicht durch den Sicherheitsserver authentifiziert wurden Es ist keine ID Angabe erforderlich Das Eintragsformat ist Nicht authentifiziert Berechtigungen Zum Beispiel Nicht authentifiziert J s r Dieser ACL Eintrag ist eine Maske eine bitweise UND Operation f r den ACL Eintrag Beliebige andere mit der die definierte Berechtigung festgestellt
210. rch Vertriebsmitarbeiter Diese ACLs k nnten wie folgt aussehen ffentliche Zugriffsberechtigung Benutzer sec_master abc Tdm Irx Beliebige andere lrx Nicht authentifiziert T Irx Kundenzugriffsberechtigung Benutzer sec_master abc Tdm Irx Gruppe customers I 2 gt Irx Gruppe sales T Irx Beliebige andere Nicht authentifiziert Vertriebszugriffsberechtigung Benutzer sec_master abc Tdm Irx Gruppe sales T Irx Beliebige andere Nicht authentifiziert Diese ACLs w rden jeweils wie folgt zugeordnet WebSEAL www compan_xyz com WebSEAL www company_xyz com customers WebSEAL www company_xyz com sales Tivoli SecureWay Policy Director Base Administratorhandbuch 131 us1a ajap syseL sBunyemian S Beispiel Sie verf gen ber die folgende Stellvertreterbenutzerver waltungs Policy Vertriebsmitarbeiter Mitglieder der Gruppe sales k nnen neue Konten f r Kunden erstellen und ihnen eine Zugriffs berechtigung f r den Abschnitt customers des Webbereichs erteilen Nur Administratoren Mitglieder der Gruppe sales admin k nnen Konten f r neue Vertriebsmitarbeiter verwalten Diese Policy wird durch folgende Gruppenstruktur implementiert Management Groups sales lt ACL sales admin sales users lt ACL sales users admin customers lt ACL customers admin customers
211. reWay Policy Director Base Administratorhandbuch 137 uoyemion 1 M1 10 9 11q DI OA 9 Einf hrung in Serververwaltungs Tools Folgende Schnittstellen stehen f r bestimmte Verwaltungs Tasks zur Verf gung m Web Portal Manager Dienstprogramm pdadmin m Dienstprogramm pd_start E Windows NT Systemsteuerung Dienste F hren Sie die meisten Serververwaltungs Tasks ber die grafische Benutzerschnittstelle Graphical User Interface GUI der Manage ment Console aus F r spezifische Tasks die die Management Con sole nicht abdeckt verwenden Sie eins der anderen Dienst programme pdadmin und die UNIX Start Scripts stellen Befehlszeilen schnittstellen zur Verf gung Befehlszeilenausdr cke sind n tzlich wenn Serververwaltungs Tasks innerhalb von Shell Scripts automati siert werden Web Portal Manager und pdadmin k nnen sowohl fern als auch lokal verwendet werden Die Start Scripts m ssen lokal verwaltet werden Bei der Fehlerbehebung k nnen die Befehlszeilendienstprogramme Statusinformationen und Steuerung einzelner Server zur Verf gung stellen Web Portal Manager m Siehe Tivoli SecureWay Policy Director Web Portal Manager for Windows Administratorhandbuch Dienstprogramm pdadmin Policy Director stellt das Befehlszeilendienstprogramm pdadmin f r die meisten Server Tasks zur Verf gung Mit pdadmin k nnen Sie folgendes ausf hren 138 Version 3 8 m Alle Verwaltungs Tasks die ber die Manage
212. rechtigung traverse ist f r das angeforderte Ressourcenobjekt selbst nicht erforderlich 86 Version 3 8 WebSEAL Berechtigungen Die folgenden Sicherheitshinweise betreffen den Container WebSEAL im gesch tzten Objektbereich m Das Objekt WebSEAL ist der Ausgangspunkt der ACL ber nahmekette f r den Bereich WebSEAL im Objektbereich m Wenn Sie keine anderen expliziten ACLs anwenden definiert dieses Objekt durch bernahme die Sicherheits Policy f r den gesamten Webbereich m F r den Zugriff auf dieses Objekt und alle Objekte unterhalb dieses Punkts ist die Berechtigung traverse erforderlich WebSEAL lt host gt Diese untergeordnete Baumstruktur enth lt den Webbereich eines bestimmten WebSEAL Servers Die folgenden Sicherheitshinweise betreffen dieses Objekt m F r den Zugriff auf alle Objekte unterhalb dieses Punkts ist die Berechtigung traverse erforderlich m Wenn Sie keine anderen expliziten ACLs anwenden definiert dieses Objekt durch bernahme die Sicherheits Policy f r den gesamten Objektbereich auf dieser Maschine WebSEAL lt host gt lt file gt Dies ist das Ressourcenobjekt das auf HTTP Zugriff berpr ft wird Welche Berechtigungen berpr ft werden ist davon abh ngig wel che Operation angefordert wird Tivoli SecureWay Policy Director Base Administratorhandbuch 87 U9PUSOMAOA SOIIIOA 1IV E 88 WebSEAL Berechtigungen Die folgende Tabelle beschreibt die f r den Be
213. rechtigungs z Policy Berechtigungs auswertungs pdacld programm AuthAPI Replikations berechtigungs Policy AuthAPI Anwendung eines anderen Herstellers j Ressourcen e E 0 Authentifizierter Client Abbildung 12 Berechtigungs API Ferner Cache Modus Tivoli SecureWay Policy Director Base Administratorhandbuch 10 3911q IlOd 13qN 1491S19QN L 40 Berechtigungs API Lokaler Cache Modus Im lokalen Cache Modus l dt die API eine Replikation der Berechti gungs Policy Datenbank auf das lokale Dateisystem der Anwendung herunter und verwaltet sie dort Sie f hrt alle Berechtigungsent scheidungen im Speicher durch was eine verbesserte Leistung und Zuverl ssigkeit bewirkt Sie m ssen alle Anwendungen die die Berechtigungs API im loka len Cache Modus verwenden manuell im Berechtigungsservice registrieren Der Verwaltungsserver muss die Position jeder Berechti gungs API Anwendung im lokalen Cache Modus kennen damit er die Replikation der zugeordneten Berechtigungs Policy Datenbank aktualisieren kann Die lokale Replikation bleibt w hrend der Aufrufe der Anwendung unver ndert Wenn die API im Replikationsmodus startet wird die Hauptberechtigungs Policy Datenbank auf Aktualisierungen ber pr ft die seit der Erstellung der lokalen Replikation Kopie aufge treten sein k nnen Version 3 8 Berechtigungsservice
214. reich WebSEAL des Objektbereichs g ltigen Berechtigungen Operation Beschreibung r read Das Webobjekt anzeigen x execute Das CGI Programm ausf hren d delete Das Webobjekt aus dem Webbereich entfernen m modify Eine PUT Operation f r ein HTTP Objekt aus f hren Ein HTTP Objekt in den Objektbereich WebSEAL stellen ver ffentlichen l list Ben tigt der Verwaltungsserver zum Generieren einer automatischen Liste des Verzeichnisses des Webbereichs g delegation Ordnet einem WebSEAL Server die Berechti gung zu f r einen Client zu agieren und diese Anforderung an einen ber Junction verbunde nen WebSEAL Server zu bergeben Version 3 8 Verwaltungsberechtigungen Der Verwaltungsbereich Management des gesch tzten Objekt bereichs enth lt mehrere Verwaltungscontainersubobjekte die bestimmte Berechtigungsgruppen erfordern Die folgenden Sicherheitshinweise betreffen den Bereich Management im gesch tzten Objektbereich m Das Verwaltungsobjekt Management ist der Ausgangspunkt der ACL bernahmekette f r den gesamten Bereich Management im Objektbereich m Wenn Sie keine anderen expliziten ACLs anwenden definiert dieses Objekt durch bernahme die Sicherheits Policy f r den gesamten Verwaltungsobjektbereich m F r den Zugriff auf Management Verwaltung ist die Berechti gung traverse erforderlich Tivoli SecureWay Policy Director Base Administratorhandbuch 89
215. reich zus tzliche Server dateisysteme zuzuordnen und die Ressourcen als einzelnen Objekt bereich anzuzeigen WebSEAL kann f r die Bereitstellung von Einzelanmeldungs funktionen f r webbasierte Ressourcen verwendet werden Der Benutzer kann sich ber Standard SSL bei WebSEAL authentifizie ren WebSEAL stellt dann den Benutzer dar der HTTP Basis und Hash Wert Authentifizierung verwendet WebSEAL kann die Benutzeridentit t auch als CGI Variable bergeben Berechtigungs API Das Policy Director Application Development Kit ADK verf gt ber eine Berechtigungs API mit deren Hilfe Entwickler Policy Director Sicherheit und Berechtigung direkt in Unternehmensan wendungen eingliedern k nnen Die Berechtigungs APl stellt direk ten Zugriff auf die Berechtigungsservices zur Verf gung was bedeu tet dass Anwendungsentwickler nicht mehr f r jede Anwendung Berechtigungscode schreiben m ssen Die Berechtigungs API reduziert Anwendungsentwicklungszeit und kosten Da die gesamte Netzsicherheit zentral durch Policy Director verwaltet wird werden Anschaffungs und Betriebskosten und die Wahrscheinlichkeit von Sicherheits bertretungen betr chtlich verrin gert Tivoli SecureWay Policy Director Base Administratorhandbuch 13 10 3911q IlOd 13qN 1491S19QN L Die der Berechtigungs API zugrundeliegende Technologie wurde nach einstimmigem Urteil der Security Working Group von Open Group f r die schnelle Normung angenommen Verwa
216. rf der Sicherheitsstrategie Diese Unabh ngigkeit gestattet Sicherheitsadministratoren beispiels weise die Steuerung folgender Punkte m Wo sich die Prozesse befinden m Wer den Code f r die Prozesse schreibt m Wie die Prozesse ihre Tasks ausf hren 16 Version 3 8 Vorteile eines Standardberechtigungsservice Die Berechtigung ist in den meisten Systemen traditionelle und neue fest mit einzelnen Anwendungen verkn pft Unternehmen erstellen normalerweise im Laufe der Zeit ihren Gesch ftsanfor derungen entsprechende Anwendungen Viele dieser Anwendungen erfordern eine bestimmte Art der Berechtigung Daraus ergibt sich h ufig eine Vielzahl von Anwendungen mit ver schiedenen Berechtigungsimplementierungen Diese Berechtigungs implementierungen des Eigent mers erfordern separate Verwaltung lassen sich schwer integrieren und verursachen h here Kosten Ein verteilter Berechtigungsservice kann diesen unabh ngigen Anwendungen eine Standardmethode f r die Berechtigungsentschei dungsfindung zur Verf gung stellen Vorteile eines derartigen Standardberechtigungsservice m Kostenminderung f r Entwicklung und Verwaltung des Zugriffs auf Anwendungen m Minderung der Anschaffungs und Betriebskosten und der Ver waltungskosten separater Berechtigungssysteme Durchsetzung vorhandener Sicherheitsinfrastruktur Sicherere Er ffnung neuer Unternehmen Aktivierung neuerer und unterschiedlicherer Anwendungsarten K rzere Entwicklungszyk
217. riffszeit gestattet bestimmte zeitliche Tag und Uhrzeit Bedingungen f r den Zugriff auf ein gesch tztes Objekt festzulegen Diese Bedingung ist n tzlich um den Zugriff auf Infor mationen die regelm ig zu nderungs und Aktualisierungs zwecken gesperrt werden m ssen einzuschr nken Es gibt ein ACL Policy Berechtigungs Bit B das die zeitlichen Zugriffsbedingungen f r ein Objekt berschreibt Diese Berechtigung sollte nur von einem Systemadministrator verwendet werden der immer uneingeschr nkten Zugriff auf den gesch tzten Objektbereich ben tigt pop modify lt POP Name gt set tod access lt Uhrzeit gt Zu dem Uhrzeitargument geh ren ein Tages und ein Zeitbereich und es hat folgendes Format lt anyday weekday lt Tagesliste gt gt lt anytime lt Zeitspezifikation gt lt Zeitspezifikation gt gt futc local Tivoli SecureWay Policy Director Base Administratorhandbuch 111 u pu m a apjalqO arz nyasa n sel91Jl0od y Die Variable Tagesliste kann eine Kombination aus folgenden Anga ben sein Mon Die Mit Don Fre Sam Son Die Bereichsvariable Zeitspezifikation muss im 24 Stunden Format wie folgt angegeben werden hhmm hhmm Zum Beispiel 0700 1945 Die optionale Zeitzone f r den Server nicht f r den Client ist standardm ig local Zum Beispiel pdadmin gt pop modify test set tod access Mon Die Fre 1315 1730 Sicherungsstufenattribut Das POP Attribut Sicherungs
218. rpr fungen Die Berechtigung modify ist f r zuk nftige Verwendung gedacht wenn es m glich ist den Verwaltungsserver zu replizieren vervielf ltigen Management Users Berechtigungen Mit diesem Objekt k nnen Verwaltungsbenutzer gesch tzte Benutzer konten verwalten Aktions Tasks und zugeh rige Berechtigungen Operation Beschreibung d delete Ein Benutzerkonto l schen user delete m modify Benutzerkontodetails ndern user modify authentication mechanism user modify account valid user modify gsouser user modify description Version 3 8 Operation Beschreibung N create Einen neuen Benutzer erstellen und diesen Benutzer wahlweise einer Gruppe zuordnen Gruppendaten aus der Benutzerregistrierungs datenbank importieren user create user import v view Benutzerkonten auflisten und Benutzerkonto details anzeigen user list user list dn user list gsouser user show user show dn user show groups W password Ein Benutzerkennwort zur cksetzen und berpr fen user modify password user modify password valid Die Berechtigung W gestattet das Zur cksetzen von Kennw rtern und sollte Help Desk Administratoren erteilt werden damit sie Benutzern helfen k nnen die ihr Kennwort vergessen haben Diese Berechtigung gestattet einem Administrator das vergessene Kenn wort zur ckzusetzen und dann mit dem Befehl user modify pass word valid den We
219. rs und des der Sicherheits manager s in der gesicherten Dom ne Steuerelemente f r die Replikationsverwaltung bestimmen welche Prozesse zum Lesen oder Aktualisieren der Hauptberechtigungs Poli cy Datenbank zul ssig sind damit die Replikation ordnungsgem durchgef hrt wird Tivoli SecureWay Policy Director Base Administratorhandbuch 95 u pu MI A S IlIllOd 19V E Zu den Steuerelementen und den zugeordneten Berechtigungen geh ren Operation Beschreibung v view Hauptberechtigungsdatenbank lesen m modify nderung der Replikationsdatenbank en berech tigen Allen Policy Director Servern die eine lokale Replikation Kopie der Berechtigungsdatenbank verwalten hierzu geh ren alle Ressourcenmanager und Authorization Server muss die Berechti gung view v f r das Objekt Managemenf Replica erteilt werden F r den Replikationsprozess ist es erforderlich dass diese Prozesse Eintr ge aus der Hauptberechtigungs Policy Datenbank anzeigen und auf sie zugreifen k nnen Bei der Policy Director Installation wird jedem Server der Zugriff auf die Berechtigungs Policy Datenbank ben tigt automatisch die Berechtigung read lesen erteilt Policy Director verwendet die Berechtigung modify m momentan nicht Die Hauptberechtigungs Policy Datenbank kann nur durch den Web Portal Manager oder das Dienstprogramm pdadmin ge ndert werden Diese Tools unterliegen anderen feink rnigeren be
220. rstellers Policy Director kann Berechtigungsservices f r jedes Objekt einer Anwendung eines anderen Herstellers das durch den gesch tzten Objektbereich definiert ist zur Verf gung stellen F r jede Anwendung die Policy Director verwendet muss ein Bereich des Objektbereichs definiert werden WebSEAL verf gt bei spielsweise ber einen eigenen Objektbereich WebSEAL Policy Director speichert Verwaltungsobjekte im Objektbereich Mana gement Diese Objektbereiche erscheinen in einem Befehl pdadmin objectspace list pdadmin gt objectspace list WebSEAL Management Policy Director und Anwendungen eines anderen Herstellers f hren Aufrufe an den Berechtigungsservice ber die Berechtigungs API durch F r die Integration einer Anwendung eines anderen Herstel lers in den Berechtigungsservice sind zwei Schritte erforderlich m Den Objektbereich f r die Anwendung eines anderen Herstellers beschreiben m Berechtigungen f r alle Objekte die gesch tzt werden m ssen anwenden Optionale Container mit benutzerdefinierten Objekten sind Berei che des gesch tzten Objektbereichs in denen Sie Objekte f r Anwendungen eines anderen Herstellers erstellen k nnen Bevor Sie neue Objekte hinzuf gen k nnen m ssen Sie einen neuen Objekt bereichscontainer definieren Version 3 8 Datenbankobjektbereich definieren Policy Director gestattet die Ausdehnung seiner Berechtigungs services auf Objekte die zu einem benutzerde
221. rt no Nein anzugeben Hierdurch kann sich der Benutzer anmelden und der Benutzer ist dann gezwungen sofort ein neues Kennwort anzuwenden Die durch das Objekt Management Users erteilte Zugriffsberech tigung berschreibt alle Zugriffseinschr nkungen die durch ACLs der Stellvertreterverwaltungs Policy unter Management Groups lt Gruppenname gt auferlegt werden Tivoli SecureWay Policy Director Base Administratorhandbuch 97 U9PUSOMAOA SOIIIOA 1IV E 98 Management Groups Berechtigungen Mit diesem Objekt k nnen Verwaltungsbenutzer Gruppen und Grup penzugeh rigkeiten verwalten Aktions Tasks und zugeh rige Berechtigungen Operation Beschreibung d delete Eine Gruppe l schen group delete m modify Gruppenbeschreibungen ndern Einen Benutzer als Mitglied einer Gruppe entfernen group modify description group modify remove N create Eine neue Gruppe erstellen Gruppendaten aus der Benutzerregistrierungsdatenbank importieren group create group import v view Gruppen auflisten und Gruppendetails anzeigen group list group list dn group show group show dn group show members A add Einen vorhandenen Benutzer einer Gruppe hinzu f gen group modify add Die Berechtigung A ist in Ihrem Eintrag in der Zugriffssteuerungs liste f r eine Gruppe erforderlich damit Sie Ihrer Gruppe vorhan dene Benutzer hinzuf gen k nnen Mit dem Befeh
222. rt das Sie f r diesen neuen Benutzer definieren Kennw rter m ssen den Kennwort Policies entsprechen die der Policy Director Administrator festlegt Beispiel mypasswd Das optionale Argument Gruppenname ordnet den Benutzer einer Anfangsgruppe zu Fortsetzung 216 Version 3 8 Befehl Beschreibung Beispiel in einer Zeile eingegeben pdadmin gt user create gsouser dlucas cn Diana Lucas ou Austin o Wesley Inc c US Diana Lucas Lucas mypasswd Damit dieses Benutzerkonto g ltig wird m ssen Sie diesen Benutzer manuell aktivieren indem Sie die Benutzerinformationen ndern Um die Informationen ndern zu k nnen m ssen Sie f r die Markierung account valid yes angeben Soll eine Beschreibung f r einen Benutzer hinzugef gt werden m ssen Sie mit dem Befehl modify user die Benutzerkonto informationen ndern user import gsouser lt Benutzername gt lt DN gt Gruppenname Kopiert die Informationen zu einem Benutzer aus dem LDAP Verzeichnis Mit diesem Befehl kann ein vorhan dener Benutzer dessen DN in der LDAP Datenbank bereits vorhanden ist durch Policy Director Informatio nen aktualisiert werden so dass der Benutzer Mitglied der gesicherten Dom ne werden kann Das optionale Argument Gruppenname ordnet den Benutzer einer Anfangsgruppe zu Beispiel in einer Zeile eingegeben pdadmin gt user import gsouser mlucaser cn Mike Lucaser ou Austin o Wesley Inc c US user mod
223. rue Kennwort g ltig true Berechtigungsmechanismus Default LDAP Tivoli SecureWay Policy Director Base Administratorhandbuch 219 umwpepd Iy3J9g AN ZU919j94 Y 220 Befehl Beschreibung user show dn lt DN gt Liefert zus tzliche Informationen zu dem Benutzer wenn Sie den registrierten Namen Distinguished Name DN angeben Beispiel in einer Zeile eingegeben pdadmin gt user show dn cn Diana Lucas ou Austin o Wesley Inc c US Dieser Befehl hat etwa folgende Ausgabe Anmelde ID dlucas LDAP DN cn Diana Lucas ou Austin o Wesley Inc c US LDAP CN Diana Lucas LDAP SN Lucas Beschreibung Diana Lucas Kreditabt HCUS Ist Seclser true Ist GSO Benutzer false Konto g ltig true Kennwort g ltig true Berechtigungsmechanismus Default LDAP Version 3 8 Befehl Beschreibung user show groups lt Benutzername gt Zeigt die Gruppen an in denen der angegebene Benut zer ein Mitglied ist Beispiel pdadmin gt user show groups dlucas Dieser Befehl hat etwa folgende Ausgabe Verkauf Kredit Technik user list lt Muster gt lt max Zur ckgabe gt Generiert eine Liste aller konfigurierten Benutzerkonten nach Benutzernamen f r das angegebene Muster Die Listeneintr ge werden in der Reihenfolge der Erstellung der Benutzerkonten angezeigt Mit dem Argument Mus ter k nnen Sie ein Muster f r den Principal Namen angeben Das Muster kan
224. rungs regeln f r das Objekt und alle untergeordneten Objekte zu ndern m Die M glichkeit von Policy Director Benutzerberechtigungen zu delegieren Anmerkung ACL Berechtigungen sind kontextabh ngig die Funktionsweise bestimmter Berechtigungen variiert gem dem gesch tzten Objektbereich in dem sie angewendet werden Die Berechtigung m hat bei spielsweise bei einem WebSEAL Objekt eine andere Bedeutung als bei einem Management Objekt Version 3 8 Policy Director Standardberechtigungen Aktionen Policy Director definiert 17 Standardberechtigungen Aktionen Web Portal Manager unterteilt diese Berechtigungen in drei Kategorien Basis Generisch WebSEAL aAbBcgNtTN dmsv lrx Aktionsbit Beschreibung Kategorie a Attach Basis A Add Basis b Browse Basis B Bypass TOD Basis c Control Basis d Delete Generisch g Delegation Basis l List Directory WebSEAL m Modify Generisch N Create Basis r Read WebSEAL s Server Administration Generisch t Trace Basis T Traverse Basis v View Generisch W Password Basis X Execute WebSEAL Policy Director erm glicht die Definition zahlreicher zus tzlicher Berechtigungen Aktionen f r die Verwendung Tivoli SecureWay Policy Director Base Administratorhandbuch durch Anwendungen 67 U9PUOMAOA S IlIllOd 19V E Wie der Berechtigungsservice ACL Policies verwen det Policy Director gibt mit Hilfe von ACL Policies die B
225. rungsliste Nicht authentifiziert ohne Beliebige andere enth lt Wenn eine Zugriffssteuerungsliste Nicht authentifiziert ohne Beliebige andere enth lt lautet die Standardantwort keine Berechtigungen f r Nicht authentifiziert zu erteilen Version 3 8 Beispiel ACL Eintr ge Berechtigungen f r bestimmte Benutzer und Gruppe definieren Sie durch Angabe der entsprechenden ACL Eintragsart Im folgenden Beispiel hat die Gruppe Dokumentation uneingeschr nkte Zugriffs berechtigungen Gruppe Dokumentation bceg Tdmsv 1Irx Sie k nnen den Zugriff f r andere authentifizierte Benutzer in der gesicherten Dom ne die nicht zur Gruppe Dokumentation geh ren durch Angabe der Eintragsart Beliebige andere einschr nken Beliebige andere T rx Den Zugriff auf die Eintragsart Nicht authentifiziert k nnen Sie f r Benutzer die nicht zur gesicherten Dom ne geh ren weiter ein schr nken Nicht authentifiziert T r Anmerkung Ohne einen ACL Eintrag Nicht authentifiziert k n nen nicht authentifizierte Benutzer auf keine gesicher ten Dokumente in der gesicherten Dom ne zugreifen Schlankes ACL Modell ACL bernahme Damit Netzressourcen in einem gesch tzten Objektbereich gesichert werden muss jedes Objekt durch eine ACL Policy ACL Access Control List Zugriffssteuerungsliste gesch tzt werden Sie k nnen einem Objekt eine ACL Policy auf zwei Arten zuordnen Dem Objekt eine explizite ACL Pol
226. s chlichen Netz ressourcen dar m Systemressource Die tats chliche physische Datei oder Anwendung Gesch tztes Objekt Die logische Darstellung einer tats chli chen Systemressource die der Berechtigungsservice Web Portal Manager und andere Policy Director Verwaltungsdienstpro gramme verwenden Objekten im Objektbereich k nnen Policy Schablonen zugeordnet werden um den Schutz der Ressource zu gew hrleisten Der Berechtigungsservice trifft Berechtigungsentscheidungen anhand dieser Schablonen Policy Director verwendet folgende Objektbereichskategorien m Webobjekte Hierbei handelt es sich um alle Objekte die mit einer HTTP URL Adresse aufgerufen werden k nnen Hierzu geh ren stati sche Webseiten und dynamische URL Adressen die in Daten bankabfragen oder in eine andere Anwendungsart konvertiert werden m Policy Director Verwaltungsobjekte Diese Objekte stellen die Verwaltungsaktivit ten dar die ber Web Portal Manager ausgef hrt werden k nnen Die Objekte stellen die erforderlichen Tasks zum Definieren von Benutzern und Sicherheits Policies dar Policy Director unterst tzt das Delegieren von Verwaltungsaktivit ten und kann die M glichkeit eines Administrators eine Sicherheits Policy zu definieren auf einen Teilbereich des Objektbereichs beschr nken Tivoli SecureWay Policy Director Base Administratorhandbuch 27 10 3911q IlOd 13qN 1491S19QN L 28 m Benutzerdefinierte Objekte Diese
227. s des externen Berechti gungsservice 101 das Ergebnis des Policy Director Berechti gungsservice 100 bertrifft 7 Der WebSEAL Server weist die Job bergabe an die Fotodrucker ressource zur ck 8 Der WebSEAL Server sendet eine Antwort an den anfordernden Benutzer um anzuzeigen dass der Job zur ckgewiesen wurde Externen Berechtigungsservice implementieren F r einen externen Berechtigungsservice sind zwei allgemeine Schritte erforderlich 1 Schreiben eines Plug In Moduls f r externen Berechtigungs service mit einer Berechtigungsschnittstelle auf die bei Berechtigungsentscheidungen verwiesen werden kann 2 Registrieren des externen Berechtigungsservice in Policy Direc tor so dass Policy Director Berechtigungs Clients den Plug In Service w hrend der lnitialisierung laden k nnen Version 3 8 Durch das Registrieren des Service wird eine Ausl serbedingung f r den Aufruf des externen Berechtigungsservice definiert Wenn die Ausl serbedingung w hrend einer Berechtigungspr fung festgestellt wird wird die Schnittstelle des externen Berechtigungsservers aufge rufen um eine zus tzliche Berechtigungsentscheidung zu treffen Weitere Informationen zur Implementierung eines externen Berechtigungsservice finden Sie im Handbuch Tivoli SecureWay Policy Director Authorization API Developer Reference Implementierungsstrategien Policy Director erm glicht verschiedene Implementierungsarten f r einen externen Berec
228. s wird vorausgesetzt dass Sie der Policy Direc tor Administrator sind und ber Erfahrung mit Policy Director und LDAP verf gen Au erdem wird vorausgesetzt dass Sie als Admi nistrator ber die richtige Berechtigung zum Aktualisieren der LDAP Verzeichnisinformationsbaumstruktur verf gen Wenn Policy Director konfiguriert wird versucht es auf jedes LDAP Suffix das zu diesem Zeitpunkt in dem LDAP Server vorhan den ist entsprechende ACLs anzuwenden Mit Hilfe dieser Zugriffs steuerung Kann Policy Director Benutzer und Gruppeninformationen innerhalb dieser LDAP Suffixe erstellen und verwalten Wird ein Suffix jedoch nach der Konfiguration von Policy Director erstellt und muss Policy Director sp ter in der Lage sein Benutzer und Gruppeninformationen in diesem neuen Suffix zu erstellen und zu verwalten m ssen die entsprechenden Zugriffssteuerungen manu ell angewendet werden Ohne diese Zugriffssteuerungen hat Policy Director nicht die richtige LDAP Berechtigung zum Erstellen und Verwalten von Benutzer und Gruppeninformationen die sich in die sem neuen Suffix befinden sollen F hren Sie je nach Art des LDAP Servers IBM SecureWay Direc tory Server oder iPlanet Directory Server folgende Schritte aus um die entsprechenden Zugriffssteuerungen auf das neu erstellte LDAP Suffix anzuwenden Beachten Sie dass bei den Prozeduren davon ausgegangen wird dass das neu erstellte Suffix o neworg c us hei t Sie sollten die sen
229. sch tzt werden indem den Objektdarstel lungen dieser Ressourcen ACL und POP Policies zugeordnet wer den Dieses Kapitel beschreibt den gesch tzten Objektbereich und wie Sie Erweiterungen des Objektbereichs erstellen k nnen um benutzer definierte Anwendungsanforderungen zu unterst tzen Stichwortindex Erl uterungen zum gesch tzten Objektbereich Eine gesicherte Dom ne von Policy Director enth lt physische Res sourcen die einen bestimmten Zugriffsschutz ben tigen Zu den Res sourcen geh ren Dateien Verzeichnisse Netz Ports Anwendungen und Druckerservices Tivoli SecureWay Policy Director Base Administratorhandbuch 49 uoyemian y9 s aqpyalqo u z ny s 9 Z Das Policy Director Sicherheitsmodell beruht auf ACL und POP Policies die einen sicheren Zugriffsschutz f r diese Ressourcen gew hrleisten Eine Unternehmenssicherheits Policy wird durch die angepassten ACL und POP Policies die strategisch angewendet werden f r diese schutzbed rftigen Ressourcen implementiert Der Policy Director Berechtigungsservice trifft die Entscheidung den Zugriff auf Ressourcen zu gestatten oder zu verweigern anhand von Benutzerberechtigungen und anhand der spezifischen Berechtigungen und Bedingungen die in den ACL und POP Policies festgelegt sind Damit ACL und POP Policies angewendet werden und damit der Berechtigungsservice seine Sicherheitspr fungen ausf hren kann verwendet Policy Director eine virtuelle Objekt
230. se f r das Verzeichnis Technik TechPubs um eine Release Informationsdatei zu berpr fen Der Administrator stellt die Berechtigung traverse f r Beliebige andere am Stamm Root zur Verf gung Der Administrator stellt die Berechtigung traverse f r Gruppe Verkauf im Verzeichnis Technik zur Verf gung Das Verzeichnis TechPubs bernimmt die ACL aus dem Verzeichnis Technik Auch wenn Kate keine anderen Berechti gungen in diesen beiden Verzeichnissen hat kann sie diese Verzeich nisse durchqueren traverse um auf die Datei release_note zuzu greifen Da diese Datei ber Lesezugriffsberechtigung f r Benutzer Kate verf gt kann Kate die Datei anzeigen ACME Corporation Stamm Beliebige authentifizierte T Verkauf Technik Gruppe sales Tamm TechPubs ACL bernommen Bean Abbildung 20 Berechtigung traverse Sie k nnen den Zugriff auf die Hierarchie unterhalb eines be stimmten Containerobjekts leicht einschr nken ohne einzelne Berechtigungen f r diese Objekte neu zu definieren Version 3 8 Sie entfernen einfach die Berechtigung traverse aus dem entspre chenden ACL Eintrag Das Entfernen der Berechtigung traverse bei einem Verzeichnisobjekt sch tzt alle Objekte die sich an einer unter geordneten Position in der Hierarchie befinden auch wenn diese Objekte andere weniger restriktive ACLs enthalten Wenn Gruppe Verkauf beispielsweise nicht ber die B
231. sere Produkte und Dokumentation betreffen k nnen Sie uns auf folgende Weise benachrichtigen m Senden Sie eine E Mail an Ppubs tivoli coml m F llen Sie das Formular f r die Kundenr ckmeldung unter Kundenunterst tzung benachrichtigen Das Tivoli Customer Support Handbook auf folgender Website enth lt Informationen zu allen Aspekten der Tivoli Kundenunter st tzung Hierzu geh ren Registrierung und Ausw hlbarkeit m Angaben zum Anfordern von Unterst tzung abh ngig von der Wertigkeit des Problems m Telefonnummern und E Mail Adressen abh ngig von dem jeweiligen Land m Informationen die gesammelt werden m ssen bevor Unterst t zung angefordert wird xviii Version 3 8 bersicht ber Policy Director Policy Director ist eine vollst ndige Berechtigungsl sung f r Web Client Server PDOS Policy Director for Operating Systems PDMQ Policy Director for MQ Series und traditionelle vorhande ne Anwendungen eines Unternehmens Mit Hilfe der Policy Direc tor Berechtigung ist ein Unternehmen in der Lage den Benutzerzu griff auf gesch tzte Daten und Ressourcen sicher zu steuern Durch die Bereitstellung einer zentralen flexiblen und skalierbaren Zugriffssteuerung erm glicht Policy Director den Aufbau einer im h chsten Ma sicheren und optimal verwalteten netzbasierten Anwendungs und e business Infrastruktur Stichwortindex Tivoli SecureWay Policy Director Base Administratorhandbuch
232. sion 3 8 Ressourcenberechtigungen verwalten Mit den folgenden Befehlen pdadmin rsrecred k nnen Sie verschie dene ressourcenberechtigungsbezogene Attribute verwalten Eine Ressourcenberechtigung liefert eine Benutzer ID und ein Kennwort f r eine GSO Benutzerspezifische Ressource z B ein Webserver oder eine Webservergruppe Sie k nnen nur die Ressourcenarten web und group bei Verwen dung des Befehls pdadmin rsrcered angeben Anmerkung Die Ressource oder Ressourcengruppe muss vorhan den sein damit Sie die Ressourcenberechtigungs befehle f r sie anwenden k nnen Tivoli SecureWay Policy Director Base Administratorhandbuch 231 umwpepd Iy3J9g AN ZU919j94 Y 232 Befehl Beschreibung rsrccred create lt Ressourcenname gt rsrcuser lt Ressourcenbenutzer ID gt rsrcepwd lt Ressourcenkennwort gt rsretype weblgroup user lt Benutzer name gt Erstellt und benennt eine Ressourcenberechtigung Sowohl Benutzer als auch Ressource oder Ressourcen gruppe muss bereits vorhanden sein damit die Ressourcenberechtigung erstellt werden kann Ist Benut zer Ressource oder Ressourcengruppe nicht vorhanden oder nicht angegeben wird eine Fehlernachricht ange zeigt Zu den Ressourcenarten geh ren bei den Befehlen f r die Ressourcenberechtigungsverwaltung nur die Res sourcen web und group Das Argument Ressourcenname ist der Name den die Ressource bei ihrer Erstellung erhielt
233. sservice getroffene Berechtigungsentscheidungen resultieren in der Genehmi gung oder in der Ablehnung von Client Anforderungen zur Durch f hrung von Operationen f r gesch tzte Ressourcen in der gesicher ten Dom ne Komponenten Der Berechtigungsservice besteht aus drei Basiskomponenten m Hauptberechtigungs Policy Datenbank m Verwaltungsserver m Auswertungsprogramm f r Berechtigungsentscheidungsfindung Hauptberechtigungs Policy Datenbank Die Hauptberechtigungs Policy Datenbank enth lt die Sicherheits Policy Informationen f r alle Ressourcen in der gesicherten Dom ne Die Datenbank enth lt au erdem alle erforderlichen Berechtigungs informationen die den Mitgliedern der gesicherten Dom ne zugeord net sind Den Inhalt dieser Datenbank erfassen und ndern Sie mit dem Web Portal Manager Management Server pdmgrd Der Management Server verwaltet die Hauptberechtigungs Policy Datenbank repliziert diese Policy Informationen innerhalb der gesi cherten Dom ne und aktualisiert die Datenbankreplikationen sobald die Hauptdatenbank ge ndert wird Der Management Server ver waltet au erdem die Positionsinformationen f r die anderen Policy Director und Nicht Policy Director Server in der gesicherten Dom ne Anmerkung Eine gesicherte Dom ne darf nur ein Exemplar des Management Servers enthalten Version 3 8 Berechtigungsauswertungsprogramm Das Berechtigungsauswertungsprogramm ist der Entscheidungsfin dungs
234. st in einem Grup pencontainerobjekt oder im Gruppenobjekt selbst befinden m Die Berechtigung add A ist sehr m chtig weil Sie mit ihr einen beliebigen vorhandenen Benutzer in Ihrer Gruppe hinzuf gen k nnen Wenn ein au enstehender Benutzer in eine Gruppe aufgenommen wird erh lt der Administrator dieser Gruppe die Steuerung ber diesen Benutzer und kann den Benutzer mit Administratoren anderer Gruppen in denen dieser Benutzer Mitglied ist gemein same steuern Diese Berechtigung sollte nur bergeordneten Systemadmi nistratoren erteilt werden die f r Benutzer und Gruppen organisation sowie Unternehmens Policy verantwortlich sind ACL Policies die die Benutzerverwaltung betreffen Der Gruppenadministrator kann eine Aktion f r einen Benutzer aus f hren wenn er ber die entsprechende Berechtigung verf gt die in einer der Gruppen zu denen dieser Benutzer geh rt definiert ist Tivoli SecureWay Policy Director Base Administratorhandbuch 127 us1a ajap syseL sBunyemuan S Die folgenden Operationen und ACL Berechtigungen sind f r die Benutzerverwaltung geeignet Operation Berechtigung erstellen neuen Benutzer in der angegebenen N create Gruppe importieren Benutzerdaten aus der Benutzerregistrierungsdatenbank l schen einen Benutzer d delete anzeigen Benutzerdetails v view ndern Benutzerbeschreibung m modify Konto g ltig m modify Kennwort zur c
235. strator einen Eintrag enth lt der die Berechtigung control ec enth lt Nur der Eigner einer Zugriffssteuerungsliste kann ihre Ein tr ge ndern Beachten Sie dass der Ersteller einer neuen ACL Policy m in Management ACL der erste Eintrag in dieser Zugriffssteuerungs liste ACL wird die Berechtigungen TemdbsvaBINWA sind hier bei standardm ig definiert Wenn beispielsweise sec_master ein Administratoreintrag in der Zugriffssteuerungsliste default management mit der Berechtigung m ist kann sec_master eine neue ACL Policy erstellen Benutzer sec_master wird zum ersten Eintrag in der neuen ACL und verf gt ber die Berechtigungen TemdbsvaBINWA Die Berechtigung control c verleiht sec_master das Eigentumsrecht f r die Zugriffssteuerungsliste und gestattet sec_master das ndern der Zugriffssteuerungsliste Benutzer sec_master k nnte dann ande ren Benutzereintr gen in dieser Zugriffssteuerungsliste Verwaltungs berechtigungen erteilen Das Eigentumsrecht f r die Zugriffssteuerungsliste default manage ment selbst wird sowohl dem Benutzer sec_master als auch der Gruppe iv admin standardm ig erteilt Berechtigung Control c Die Berechtigung control ist eine hohe Berechtigung die Ihnen das Eigentumsrecht einer ACL Policy verleiht Mit Hilfe von control k nnen Sie die Eintr ge in der ACL Policy ndern Das hei t Sie haben die Berechtigung Eintr ge zu erstellen und zu l schen und Berechtigungen zu erteilen un
236. stufe gestattet die Angabe in WebSEAL welche Datenschutzstufe erforderlich ist wenn eine Operation f r ein Objekt ausgef hrt wird Detaillierte Informationen zu diesem POP Attribut finden Sie im Tivoli SecureWay Policy Director WebSEAL Administratorhandbuch IP Endpunkt Authentifizierungsmethodenattribut Mit dem POP Attribut f r die IP Endpunkt Authentifizierungsme thode k nnen Sie Authentifizierungsstufen Policy Erweiterung und netzbasierte Authentifizierungs Policy konfigurieren Detaillierte Informationen zu diesem POP Attribut finden Sie im Tivoli SecureWay Policy Director WebSEAL Administratorhandbuch Version 3 8 Verwaltungs Tasks delegieren Policy Director gestattet Systemadministratoren das Delegieren von Zust ndigkeiten f r die Verwaltung der gesicherten Dom ne an untergeordnete Administratoren Diese Funktion ist f r eine erfolgrei che Verwaltung sehr gro er Dom nen die aus zahlreichen Abteilun gen bestehen und folglich zahlreiche Gruppen Benutzer und Res sourcen aufweisen unerl sslich Policy Director unterst tzt zwei Arten der Stellvertreterverwaltung m Stellvertreterverwaltung von Ressourcen in Unterbereichen des Objektbereichs Die Verwaltungsberechtigung ist auf einen Abschnitt des Objekt bereichs beschr nkt m Stellvertreterverwaltung von Gruppen und Benutzern Die Verwaltungsberechtigung ist auf einen Teil der Benutzer beschr nkt Stichwortindex E E E Tivoli SecureWay Policy
237. t lt object gt pics pd30 gi f lt object gt lt target gt lt data gt lt data gt lt event gt Verwaltungspr fs tze Zu den Zust ndigkeiten des Management Servers geh rt die Verwal tung der Hauptberechtigungs Policy Datenbank Diese Datenbank enth lt die Beschreibung des gesch tzten Objektbereichs f r die gesi cherte Dom ne ACL und POP Policies sowie die Angabe wo ACLs und POPs Objekten zugeordnet sind Sie k nnen die Pr fung der Management Server Aktivit t konfigurie ren indem Sie mgmt der Pr fkonfigurationsliste in der Zeilen gruppe aznapi configuration der Konfigurationsdatei des Manage ment Servers ivmgrd conf hinzuf gen aznapi configuration auditcfg mgmt Das folgende Beispiel zeigt einen Ereignissatz des folgenden Befehls pdadmin pdadmin gt pop modify popl set audit level all lt event rev 1 1 gt lt date gt 2001 08 05 23 01 37 078 00 001 lt date gt lt outcome status 0 gt 0 lt outcome gt lt originator blade ivmgrd gt lt component gt mgmt lt component gt lt event rev 1 gt 3702 lt event gt lt location gt location not specified lt location gt lt originator gt lt accessor name user not specified gt lt principal auth IV_DCE_V3 0 gt cell_admin lt principal gt lt accessor gt lt target resource 5 gt lt object gt lt object gt lt target gt lt data gt 2019 u 1092 popl u g lt data gt lt event gt Tivoli Sec
238. te lt Name gt lt Beschreibung gt lt Art gt ispolicyattachable yes no Ein Objekt verf gt ber folgende Felder Argument Beschreibung Name Dies ist die vollst ndig qualifizierte Position des Objekts im Objektbereich Am Anfang steht ein vorhandener Objektbereichsname Beschreibung Die Textbeschreibung des Objekts Art Die Art des zu erstellenden Objekts Verwendet Web Portal Manager zum Anzeigen eines entspre chenden Symbols ispolicyattachable Zeigt an ob dem Objekt eine POP Policy zugeord net werden kann Wird no angegeben bernimmt das Objekt die bergeordnete Policy Wird verwen det um zu erzwingen dass Kindobjekte dieselbe Policy wie das Elter bergeordnetes Objekt ver wenden Zum Beispiel pdadmin gt object create Test Space folderl Ordner 1 14 ispolicyattachable yes pdadmin gt object list Test Space folderl pdadmin gt object show Test Space folderl Name Test Space folderl Beschreibung Ordner 1 Art Anwendungscontainerobjekt 14 Kann Policy zugeordnet werden yes pdadmin gt object create Test Space folder2 Ordner 2 14 ispolicyattachable no Tivoli SecureWay Policy Director Base Administratorhandbuch 57 uoyemian ya s aqpyalqo u z ny s 9 Z 58 pdadmin gt object listandshow Test Space Name folderl Beschreibung Ordner 1 Art Anwendungscontainerobjekt 14 Kann Policy zugeordnet werden yes Name folder2 Beschreibung Ordn
239. ten Objekt freigeben pop find lt POP Name gt Alle gesch tzten Objekte denen POP Policies zugeord net sind suchen und auflisten pop list Alle erstellten POP Policies auflisten pop modify lt POP Name gt set audit level alllnonel lt Pr fungsstufenliste gt Pr fungsstufe f r POP Policy ndern Bei der Pr fungs stufenliste kann es sich um eine Liste mit Kommatrennzeichen und folgenden Angaben handeln Zulassen Verweigern Fehler Admin pop modify lt POP Name gt set description lt Beschreibung gt Beschreibung der POP Policy ndern Version 3 8 Befehl Beschreibung pop modify lt POP Name gt set ipauth add lt Netz gt lt Netzmaske gt lt Authentifizierungsstufe gt IP Authentifizierungszugriff der POP Policy ndern pop modify lt POP Name gt set ipauth anyothernw lt Authentifizierungsstufe gt IP Authentifizierungszugriff der POP Policy ndern pop modify lt POP Name gt set ipauth remove lt Netz gt lt Netzmaske gt IP Authentifizierungszugriff der POP Policy ndern pop modify lt POP Name gt set qop nonelintegritylprivacy Sicherungsstufe der POP Policy ndern pop modify lt POP Name gt set tod access lt Zugriffszeit gt Zugriffszeit der POP Policy ndern Das Argument Zugriffszeit hat folgendes Format lt anydaylweekdayl lt Tagesliste gt gt lt anytimel lt Zeitspezifikation gt lt
240. ten darstellen enthalten Das Problem der zahlreichen ACL Eintr ge f r Administratoren kann mit folgendem Verfahren gel st werden 1 2 3 Erstellen Sie ein Verwaltungsgruppenkonto F gen Sie alle neuen Verwaltungsbenutzer dieser Gruppe hinzu F gen Sie diese Gruppe als ACL Eintrag mit Berechtigung tra verse den Verzeichnissen hinzu die zu den einzelnen Unter bereichen f r die Stellvertreterverwaltung erforderlich ist f hren F gen Sie an jeder Stamm ACL eines Bereichs den entsprechen den Verwaltungsbenutzereintrag mit den Berechtigungen b c T sowie anderen angemessenen Berechtigungen hinzu Der Administrator kann jetzt den ACL Eintrag der Verwaltungs gruppe und jeden anderen Eintrag aus dem Stamm Root ent fernen Jetzt hat nur dieser Benutzer die Steuerung ber den Stamm und alle untergeordneten Objekte In dem folgenden Beispiel enth lt die Gruppe iv admin alle Verwal tungsbenutzer Der Benutzer pub manager ist Mitglied dieser Gruppe und verf gt daher ber die erforderliche Berechtigung tra verse um auf das Verzeichnis Ver ffentlichungen zuzugreifen Das Verzeichnis Ver ffentlichungen enth lt den Benutzereintrag pub manager in seiner Zugriffssteuerungsliste ACL Tivoli SecureWay Policy Director Base Administratorhandbuch 119 us1a ajap syseL sBunyemian S Da pub manager der Stellvertreteradministrator dieses Bereichs ist mit den entsprechenden Berechtigungen kann pub ma
241. treffende Client eine Operation f r eine ange forderte Ressource ausf hren darf Version 3 8 Da der Zugriff auf jede Ressource in einer gesicherten Dom ne durch einen Server gesteuert wird k nnen die Authentifizierungs und Berechtigungsanforderungen des Servers umfassende Netz sicherheit zur Verf gung stellen In Sicherheitssystemen wird zwischen Berechtigung und Authentifi zierung unterschieden Die Berechtigung legt fest ob ein authentifi zierter Client das Recht hat eine Operation f r eine bestimmte Res source in einer gesicherten Dom ne auszuf hren Die Authentifizie rung stellt sicher dass der Benutzer tats chlich die angebliche Person ist Sie sagt jedoch nichts ber die Berechtigung f r Operationen mit einer gesch tzten Ressource aus Im Policy Director Berechtigungsmodell wird die Berechtigungs Policy unabh ngig von der Benutzerauthentifizierung implementiert Benutzer k nnen ihre Identit t mit Hilfe von ffentlichen privaten Schl sseln geheimen Schl sseln oder mit Hilfe benutzerdefinierter Mechanismen pr fen lassen Teil des Authentifizierungsprozesses ist der Erwerb einer Berechti gung die die Identit t des Clients beschreibt Durch einen Berechti gungsservice getroffene Berechtigungsentscheidungen beruhen auf Benutzerberechtigungen Die Ressourcen in einer gesicherten Dom ne erhalten eine Siche rungsstufe die durch die Sicherheits Policy der Dom ne vorgeschrie ben ist Die Sicherheits Pol
242. ts und w hlen Sie Organization als neue Objekteintragsart aus d Klicken Sie auf OK Das Merkmaleditierfenster wird ange zeigt e Geben Sie neworg in das Feld Organization ein und kli cken Sie auf OK Anmerkung In diesen Anweisungen wird ein Beispiel suffix verwendet Wenn Sie ein Suffix erstel len m ssen Sie die tats chliche Eintragsart und den tats chlichen Namen angeben f Klicken Sie auf View gt Refresh Der neue Suffixeintrag wird im linken Teilfenster angezeigt 8 Heben Sie den Eintrag neworg im linken Teilfenster hervor Klicken Sie auf Object gt Set Access Permissions Das Fenster Manage Access Control f r o neworg c us wird angezeigt 9 Klicken Sie auf New um das Fenster Edit ACI for o neworg c us anzuzeigen 10 Geben Sie SECURITY GROUP ALLOW ALL als ACI Namen an 11 Heben Sie den Namen All Users hervor und klicken Sie auf Remove 12 Klicken Sie auf Edit Manually Das Fenster Edit ACI for o neworg c us wird angezeigt Tivoli SecureWay Policy Director Base Administratorhandbuch 171 USPUSMIOA Yuequajep sBun1a1s1 ay dVA1 Z 172 13 14 15 16 17 18 19 20 21 22 Ersetzen Sie den Standard ACI Text durch den folgenden target 1dap o neworg c us targetattr version 3 0 acl SECURITY GROUP ALLOW ALL allow all groupdn Idap cn SecurityGroup secAuthority Default Klicken Sie auf Check Syntax u
243. tswerte f r LDAP Replikationsserver definieren 161 Serversendeaumtuf lt s 2 4 na rwa ee aan 162 Policy Director ACLs auf neue LDAP Suffixe anwenden 163 Prozeduren f r IBM SecureWay Directory Server 2 2 2 2 20 165 Prozeduren f r iPlanet Directory Server 2 222222 neeeenen 170 Kapitel 8 Serveraktivit t protokollieren und pr fen 175 Einf hrung in Protokollieren und Pr fen 2 2222 nneeeenen 175 Protokolldateien 4 HB HH een anna 176 Pr fprotokolldateien 2 2 2222222 nnneneeenen een nen 176 Dokumentationskonvention lt Installationspfad gt 176 Policy Director Serverprotokolldateien 2 22 2222 nneeeenen 177 Policy Director Serverprotokolldateien aktivieren und inaktivieren 177 Beispiel ivmgrd log 22 2442er ae 178 Servicenachrichten eteutieanedi nr beiei nennen nen 178 Nachrichten an Standardausgabe bertragen 222 179 Policy Director Pr fprotokolldateien 2 222222 eeeeeenen 180 Pr fung aktivieren und inaktivieren 2 22 oooneeeeenenn 181 Protokolldateiposition angeben 222222 nneeeeeennen 181 berlaufschwellenwerte f r Pr fprotokolldateien angeben 181 H ufigkeit f r das zwangsweise Schreiben in Pr fprotokolldateipuffer ANSEHEN En ee ee 182 Pr fereignisse angeben 2222 cnnnnneeeeenene nennen 183 Pr fprotokolldateiformat s cssrcnrsinrescanssd n
244. tware ein weite rer Skalierbarkeitsfaktor LDAP ist von keinem bestimmten Betriebs system und von keinem Hersteller abh ngig Verf gbarkeit LDAP unterst tzt Replikation und Teilung von Namensbereichen Durch die Replikation k nnen mehrere LDAP Server denselben Verzeichnisinhalt speichern Clients profitieren von diesen zus tzli chen Servern die zur Verf gung stehen wenn einer ausf llt Durch die Teilung k nnen Abschnitte des gesamten Verzeichnisses auf verschiedenen Servern an unterschiedlichen Positionen gespei chert werden Hierdurch wird nicht nur die Verf gbarkeit verbessert kein Single Point of Failure sondern auch die verteilte Verwaltung erleichtert Sicherheit LDAP unterst tzt Sicherheitseinrichtungen die unbefugten Datenzu griff verhindern Sichere bertragungsprotokolle wie z B SSL und Authentifizierungsmethoden sowie ACL Policies ACL Access Control List Zugriffssteuerungsliste f r Dateneingaben garantieren ein H chstma an Sicherheit Leichte Verwaltung Aktuelle Versionen von LDAP z B IBM SecureWay Directory stel len eine grafische Benutzerschnittstelle f r die Systemverwaltung 156 Version 3 8 und die Verzeichnisdatenverwaltung zur Verf gung Dynamisch erweiterbares Schema erm glicht eine Erweiterung des Verzeichnis schemas ohne Unterbrechung des Service Standardisierung Das LDAP Protokoll und viele zugeh rige Client Server Funk tionen Anwendungsprogrammierschnittstel
245. uch 77 U9PUOMAOA SOIIIOA 1IV E 78 Ein anfordernder Benutzer muss ber beide folgende Berechtigungen verf gen um eine Zugriffspr fung zu bestehen 1 Berechtigung zum Durchlaufen Traverse des Pfads zum ange forderten Objekt 2 Geeignete Berechtigungen f r das angeforderte Objekt Das folgende Beispiel zeigt den Prozess bei dem gepr ft wird ob ein Benutzer ein Objekt lesen anzeigen kann acme engineering project_Y current report html Policy Director pr ft 1 Berechtigung traverse in der explizit definierten Stamm ACL Policy 2 Berechtigung traverse in allen expliziten ACL Policies die den folgenden Verzeichnissen zugeordnet sind acme engineering project_Y und current 3 Lesezugriff f r die Datei selbst report htm Dem Benutzer wird der Zugriff verweigert wenn er die Zugriffs pr fung an einem dieser Punkte in der Objekthierarchie nicht besteht ACL Policies f r verschiedene Objektarten anwenden In einer ACL Policy k nnen Berechtigungen f r eine ganze Reihe von Operationen definiert werden F r ein bestimmtes Objekt dem die ACL Policy zugeordnet ist ist aber m glicherweise nur ein Teil dieser m glichen Operationen relevant Der Grund hierf r steht im Zusammenhang mit den beiden Policy Director Funktionen die die Verwaltung vereinfachen sollen m ACL Policies m ACL bernahme Mit Hilfe von ACL Policies k nnen Sie eine ACL Definition mehre ren Objekten im gesch tzte
246. und Pr fen Der Inhalt der Protokoll und Pr fprotokolldateien kann eine n tzli che Informationsquelle f r die berwachung und Fehlerbehebung der Aktivit t von Policy Director Servern darstellen Tivoli SecureWay Policy Director Base Administratorhandbuch 175 uajn d pun u 1 1 040 01d IEHANYLIIA S 8 Protokolldateien In den Protokolldateien speichern Policy Director Server Warnungen und Fehlernachrichten Alle Protokolldateien haben ein ASCH For mat Policy Director stellt folgende Protokolldateien zur Verf gung 1 Policy Director Serverprotokolldateien Pr fprotokolldateien In den Pr fprotokolldateien speichern die Policy Director Server S tze der Serveraktivit t Die Ausgabe eines bestimmten Server ereignisses wird als Satz bezeichnet Ein Pr fprotokoll ist eine Sammlung mehrerer S tze die die Serveraktivit t dokumentieren Alle Policy Director Pr fprotokolldateien haben ein ASCII Format Policy Director Pr fprotokolldateien zeichnen Ereignisse f r folgende Server auf m Management Server pdmgrd m Authorization Server pdacld m WebSEAL webseald Dokumentationskonvention lt Installationspfad gt Die in diesem Kapitel verwendete Variable lt Installationspfad gt wird gem der Betriebssystemplattform wie folgt interpretiert UNIX opt PolicyDirector Windows Program Files Tivoli Policy Director 176 Version 3 8 Dieser Pfadname ist in UNIX fest und kann nicht ge nd
247. ung ltig machen zu k nnen und um Benutzer anzeigen zu k nnen f r deren Verwaltung sie zu st ndig sind Diese Gruppen werden nur zum Delegieren der Benut zerverwaltung verwendet und sollten nicht zum Schutz anderer Res sourcen in der gesicherten Dom ne verwendet werden Au erdem m ssen Sie Gruppen erstellen mit denen Sie die Verwaltung der Sicherheits Policy f r gesch tzte Ressourcen in der gesicherten Dom ne delegieren Administratoren die die Sicherheits Policy f r diese Gruppen steuern sollten ber die Berechtigungen A und v aber nicht ber die Berechtigung N d m oder W verf gen Mit Hilfe dieser Gruppen wird der Zugriff auf die echten Ressour cen die gesch tzt werden m ssen gesteuert Version 3 8 Beispiel Sie haben einen Webbereich auf den ber das Internet zugegriffen werden kann mit Ressourcen die m allgemein zug nglich sein sollten nur f r Kunden und Mitarbeiter zug nglich sein sollten nur f r Mitarbeiter zug nglich sein sollten Der Bereich kann wie folgt strukturiert werden WebSEAL www company_xyz com customers sales Eine Zugriffssteuerungsliste ACL am Stamm Root des Webbe reichs von www company_xyz com gestattet ffentliche Zugriffs berechtigung auf den gesamten Webbereich Eine ACL f r custo mers gestattet den Zugriff durch Kunden und Vertriebsmitarbeiter und eine weitere ACL f r sales gestattet den Zugriff ausschlie lich du
248. ureWay Policy Director Base Administratorhandbuch 189 uajn d pun u 1 1 040 01d YEHAIPJEISAIOS 8 Ereignisfeld ID Codes f r Verwaltungsbefehle Die Pr fs tze f r Verwaltungsbefehle enthalten einen Ereignis ID Code der einen der Policy Director Verwaltungsbefehle pdadmin angibt Befehlsargumente werden im Abschnitt data des Ereignis 190 satzes in ihrem internen Format aufgelistet Beachten Sie dass Befehle die keine effektive nderung des Datenbankstatus bewirken z B list und show nie erfasst werden ACL Verwaltungsbefehle ACL_LIST 13000 ACL_GET 13001 ACL_SET 13002 ACL_DELETE 13003 ACL_FIND 13005 ACTION_LIST 13006 ACTION_SET 13007 ACTION_DELETE 13008 ACTION_GROUPLIST 13009 ACTION_GROUPCREATE 13010 ACTION_GROUPDELETE 13011 ACTION_LISTGROUP 13012 ACTION_CREATEGROUP 13013 ACTION_DELETEGROUP 13014 Objektverwaltungsbefehle OBJSPC_CREATE 13103 OBJSPC_DELETE 13104 OBJSPC_LIST 13105 OBJ_CREATE 13106 OBJ_DELETE 13107 OBJ_MOD_SET_NAME 13110 OBJ_MOD_SET_DESC 13111 OBJ_MOD_SET_TYPE 13112 OBJ_MOD_SET_ISLF 13113 Version 3 8 OBJ_MOD_SET_ISPOL 13114 OBJ_MOD_SET_ATTR 13115 OBJ_MOD_DEL_ATTR 13116 OBJ_MOD_DEL_ATTRVAL 13117 OBJ_SHOW_ATTR 13118 OBJ_LIST_ATTR 13119 ACL_ATTACH 13120 ACL_DETACH 13121 ACL_MOD_SET_ATTR 13123 ACL_MOD_DEL_ATTR 13124 AC
249. ureWay Policy Director Base Administratorhandbuch 59 U9PUSOMAOA SOIIIOA 19V E 60 Einf hrung in die ACL Policy Eine ACL Policy ACL Access Control List Zugriffssteuerungs liste ist eine von Policy Director verwendete Methode die feink r nigen Zugriffsschutz f r Ressourcen in der gesicherten Dom ne zur Verf gung stellt Eine ACL Policy ist eine Gruppe von Regeln oder Berechtigungen die die Bedingungen angeben die f r die Ausf hrung einer Opera tion mit einem gesch tzten Objekt erforderlich sind Eine ACL Po licy legt die Operationen fest die f r ein gesch tztes Objekt zul ssig sind und listet die Personen Benutzer und Gruppen auf die diese Operationen ausf hren k nnen m Benutzer und Gruppenidentit ten sind in der Registrierungs datenbank von Policy Director definiert m Der gesch tzte Objektbereich und ACL Policies sind in der Hauptberechtigungsdatenbank definiert Jede ACL Policy verf gt ber einen eindeutigen Namen oder eine Bezeichnung Jede ACL Policy kann auf mindestens ein Objekt angewendet werden Eine ACL Policy besteht aus mindestens einem Eintrag der Benut zer und Gruppenbezeichnungen und ihre spezifischen Berechtigun gen enth lt ACL Policy Eintr ge Eine ACL Policy besteht aus mindestens einem Eintrag der folgen des beschreibt m Die Namen von Benutzern und Gruppen deren Zugriff auf das Objekt explizit gesteuert wird Version 3 8 m Die spezifischen Operationen d
250. urelemente mit denen Sie eine aus begrenzten funktionalen Bereichen bestehende Hierarchie f r den Objektbereich aufbauen k nnen Gruppencontainerobjekte gestatten Ihnen bestimmte Kategorien der Gruppenarten zu definieren Sie erstellen tats chliche Gruppen innerhalb jedes einzelnen Gruppen containerobjekts Ein neues Gruppencontainerobjekt erstellen Sie mit dem Befehl pdadmin object create pdadmin gt object create lt Objektname gt lt Beschreibung gt lt Art gt ispolicyattachable yes no Argument Beschreibung Objektname Vollst ndiger Pfad und Name des neuen Gruppen containerobjekts Der Pfad muss mit Management Groups beginnen Beschreibung Beliebige Zeichenfolge die das Objekt beschreibt Diese Informationen erscheinen im Befehl object show Art Das Argument Art gibt das Grafiksymbol an das die sem Objekt zugeordnet ist und von der Management Console angezeigt wird Die Arten liegen im Bereich von 0 16 siehe Tabelle unten Die Art 14 ist f r Containerobjekte geeignet ispolicyattachable Legt fest ob Sie diesem Objekt eine ACL Policy zuord nen k nnen 122 Version 3 8 Objektarten 0 unbekannt 9 HTTP Server 1 gesicherte Dom ne 10 nicht vorhandenes Objekt 2 Datei 11 Containerobjekt 3 ausf hrbares Programm 12 Blattobjekt 4 Verzeichnis 13 Port 5 Junction 14 Anwendungscontainerobjekt 6 WebSEAL Server 15 Anwendungs
251. waltungssteuerung Die Steuerung dieser Regionen beginnt mit dem Stamm Root jedes Bereichs und weitet sich auf alle unterge ordneten Objekte aus Version 3 8 WebSEAL Technischer Server a EE EE Marketing Server ni u u un EE Ressourcen E Ver ffentlichungen Objektbereich Abbildung 24 Objektbereich f r die Stellvertreterverwaltung strukturieren Standardverwaltungsbenutzer und gruppen Bei der Installation stellt Policy Director mehrere wichtige Verwaltungsgruppen zur Verf gung Diese Benutzer und Gruppen erhalten standardm ig spezielle Berechtigungen f r die Steuerung und Verwaltung aller Operationen in der gesicherten Dom ne Diese Standardsicherheits Policy wird durch die Zugriffssteuerungslisten ACLs die w hrend der Installation erstellt werden definiert Die folgenden Abschnitte beschreiben ausf hrlich die spezifischen Berechtigungsklassen die den einzelnen Benutzern und Gruppen w hrend der Installation zugeordnet werden Der Administrator kann diese Berechtigungen sp ter anpassen um auf ge nderte Verwal tungs Policies zu reagieren Benutzer sec_master LDAP Dieser Benutzer stellt den Administrator der gesicherten Dom ne dar dem uneingeschr nkte Berechtigungen f
252. wird Anwendungen die den Berech tigungsservice aufrufen haben zwei M glichkeiten auf diese Daten bankinformationen zu verweisen m Die Anwendung verwendet wenn sie f r eine reibungslose Zusammenarbeit mit dem Berechtigungsauswertungsprogramm konfiguriert ist einen lokalen Cache der Datenbank Die Datenbank wird f r jede Anwendung die den Berechti gungsservice im lokalen Cache Modus verwendet repliziert m Die Anwendung verwendet eine gemeinsame Replikation Kopie die die ferne Berechtigungsserverkomponente zwischen speichert Die Datenbank wird f r jedes Exemplar des Berechtigungs servers repliziert Viele Anwendungen k nnen auf einen einzel nen Berechtigungsserver zugreifen Die Aktualisierungsbenachrichtigung vom Verwaltungsserver sobald eine nderung der Hauptberechtigungs Policy Datenbank vorgenom men wurde l st den Cache Prozess zum Aktualisieren aller Replika tionen aus Version 3 8 Berechtigungsservice Pan m Management gt Server pdmgrd Web Portal Manager Haupt berechtigungs Policy 2 Replikations erechtigungs Policy 3 Replikations e Ra berechtigungs a Policy ID t Replikations 5 berechtigungs Policy Berechtigungs auswertungs programm Ressourcen manager Abbildung 5 Replizierte Berechtigungsservicekomponenten Hinweise zur Leistung m Neben den Aktualisierungsb
253. wird F r Nicht authentifiziert wird nur dann eine Berechtigung erteilt wenn die Berechtigung auch im Ein trag Beliebige andere erscheint Beispiel Der folgende ACL Eintrag Nicht authentifiziert Nicht authentifiziert rw der mit dem folgenden ACL Eintrag Beliebige andere verglichen wird Beliebige andere T r resultiert in den folgenden Berechtigungen r Lesezugriff Tivoli SecureWay Policy Director Base Administratorhandbuch 65 u pu u MI A S IlIllOd 19V E Attribut ID Der ACL Eintrag ID ist die eindeutige Kennung Name f r die Eintragsart Benutzer oder Gruppe IDs m ssen g ltige Benutzer und oder Gruppen die f r die gesicherte Dom ne erstellt und in der Registrierungsdatenbank gespeichert werden angeben Beispiele Benutzer Michael Benutzer Anthony Gruppe Technik Gruppe Dokumentation Gruppe Fakturierung Anmerkung Das Attribut ID wird f r die ACL Eintragsarten Belie bige andere und Nicht authentifiziert nicht verwen det Attribut Berechtigungen Aktionen Jeder ACL Eintrag enth lt eine Reihe von Berechtigungen oder Aktionen die die Operationen beschreiben die der Benutzer oder die Gruppe f r das Objekt ausf hren k nnen ACL Policies steuern gesch tzte Ressourcen wie folgt m Die M glichkeit eines Benutzers Operationen f r gesch tzte Objekte auszuf hren m Die M glichkeit eines Administrators die Zugriffssteue
254. ws Policy Director Server stoppen starten ber die Systemsteuerung f r Windows NT Dienste k nnen Sie die Serverprozesse manuell starten und stoppen Dies kann bei der Anpassung einer Installation oder bei der Fehlerbehebung n tzlich sein F r die Verwendung dieses Dienstprogramms sind Verwaltungs berechtigungen erforderlich Sie k nnen alle Policy Director Server auf einmal oder einzeln star ten und stoppen Die Server m ssen in der Regel in der korrekten Reihenfolge gestoppt und gestartet werden Server ber Systemsteuerung Dienste stoppen starten Der Autostart Dienst startet die Policy Director Server wenn in der Konfiguration f r die Startart Automatisch angegeben ist Sobald der Server startet wird der Autostart Dienst beendet Sie k nnen ber Systemsteuerung gt Dienste die einzelnen Server auch manuell starten und stoppen 1 ffnen Sie die Windows Systemsteuerung 2 Klicken Sie das Symbol Dienste doppelt an Das Dialogfenster Dienste wird angezeigt 3 W hlen Sie die Policy Director Server in der Reihenfolge die in Schritt 4 und 5 angegeben ist aus dem Listenfenster aus 4 Stoppen Sie die Policy Director Server in folgender Reihenfolge m Berechtigungsserver m Verwaltungsserver 5 Starten Sie die Policy Director Server in folgender Reihenfolge m Verwaltungsserver m Berechtigungsserver Tivoli SecureWay Policy Director Base Administratorhandbuch 143 uoyemion 1 M1 10 9
255. y Policy Director Authorization ADK Developer Reference Die Parameter f r die Konfiguration der Policy Director Serverpr f protokolldateien befinden sich in der Zeilengruppe aznapi configu ration in jeder der Dateien lt Servername gt conf Version 3 8 Server Servername Konfigurationsdatei Management Server pdmgrd ivmgrd conf Authorization Server pdacld ivacld conf WebSEAL webseald webseald conf Pr fung aktivieren und inaktivieren Die Pr fprotokollaufzeichnung wird auf Serverbasis durch Definieren des Werts logaudit in der Zeilengruppe aznapi configuration der Konfigurationsdatei f r den spezifischen Server aktiviert Die Pr fung ist standardm ig inaktiviert aznapi configuration logaudit no Der Wert yes aktiviert die Pr fung f r diesen Server Zum Bei spiel aznapi configuration logaudit yes Protokolldateiposition angeben Die Pr fprotokolldatei f r jeden Server hat standardm ig den Namen audit log und befindet sich im Protokollverzeichnis des betreffenden Servers Der Parameter auditlog in der Konfigurations datei der einzelnen Server gibt die Position der Pr fprotokolldatei an Server Protokolldateiposition Management Server UNIX auditlog var PolicyDirector audit pdmgrd log pdmgrd Windows auditlog C pd audit pdmgrd log Authorization Server UNIX auditlog var PolicyDirector audit pdacld log pdacld Windows auditlog
256. y Policy Director Base Administratorhandbuch 197 umwpepd Iy3J9g IN ZU919j94 Y Einf hrung in das Dienstprogramm pdadmin 198 Das Dienstprogramm pdadmin ist ein Befehlszeilen Tool mit dem Sie die meisten Policy Director Verwaltungs Tasks ausf hren k nnen Der Web Portal Manager verf gt ber viele der pdadmin Befehle pdadmin bietet jedoch einige erweiterte Verwaltungsfunktionen die ber Web Portal Manager nicht verf gbar sind Sie k nnen bestimmte Verwaltungsfunktionen automatisieren indem Sie Scripts schreiben die pdadmin verwenden Die Kommunikation zwischen dem Dienstprogramm pdadmin und dem Verwaltungs server pdmgrd ist ber SSL gesichert Das Dienstprogramm wird als Komponente des PDRTE Pakets installiert Dienstprogramm pdadmin starten Befehl login Dilosmad d Era Auslihnung mehrerer Befehle Dialogmodus Soll pdadmin im Dialogmodus gestartet werden m ssen Sie den Befehl pdadmin mit einem Befehl login und einem Benutzernamen Administrator sowie Kennwortoptionen und Argumenten eingeben Der Administratorbenutzer muss ein registrierter Benutzer in einer LDAP Registrierungsdatenbank sein UNIX pdadmin login a lt Administratorbenutzer gt p lt Kennwort gt pdadmin gt Windows MSDOS gt pdadmin MSDOS gt login a lt Administratorbenutzer gt p lt Kennwort gt pdadmin gt Geben Sie an der pdadmin Eingabeaufforderung entsprechende Befehle Optionen und Argumente ein Schauen
Download Pdf Manuals
Related Search