SecOVID-Authentifikationssystem Installation, Konfiguration
Contents
1. berspringen auf das Anlegen eines Einmalpasswortgenerators f r den angezeigten Benutzer verzichten und zum n chsten selektierten Benutzer bergehen und durch Anklicken von Abbrechen den gesamten Vorgang des Anlegens von Ein malpasswortgeneratoren abbrechen Vor dem Akzeptieren des Anlegens eines Einmalpasswortgenerators auf einer Karte w hlen Sie unter Passwortgenerator jeweils die Nummer des Passwortgenerators aus der auf der Karte angelegt werden KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 73 soll Auf jeder Karte k nnen bis zu zehn Passwortgeneratoren gleichzeitig existieren Diese haben die Nummern 0 1 2 9 Passwortgeneratoren k nnen einzeln und unabh ngig voneinander angelegt und gel scht werden Durch dieses Feature k nnen z B Doppelrollen realisiert werden und die Daten verschie dener Passwortgeneratoren auf der Karte k nnen in unterschiedlichen SecOVID Servern registriert sein Au erdem k nnen Sie hier auch einstellen ob eine Karte zur Erzeugung 6 stelliger oder 8 stelliger Passw rter erzeugt werden soll Beachten Sie nochmals dass zur ERzeugung 6 stelliger Passw rter spezielle Chipkar tenterminals ben tigt werden Beispiel Der Systemverwalter Klaus Schmidt k nnte eine Karte besitzen auf der die Passwortgeneratoren 0 1 und 2 existieren w hrend Passwortgeneratoren 3 bis 9 nicht auf der Karte vorhanden sind Passwortgenerator 0 produziert dabei Einmalpassw rter d2. 24 Softtoken kann bei der Anmeldung nicht entschl sselt werden 25 Operation aus Sicherheitsgr nden verweigert nur bei generate_softtoken 26 Keine Chipkarte zur Zufallszahlenerzeugung gefunden nur bei generate_softtoken 27 Interner Programmfehler 30 31 40 Ung ltiger Benutzername 35 Ung ltiger Nachname 36 Ung ltiger Vorname 37 Ung ltige PIN 38 KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 90 Speziell beim Datenbank Import oder Export haben einige Fehlercodes derzeit eine andere Bedeutung diese Sonderf lle sind in der folgenden Liste aufgez hlt e Datenbankdatei kann nicht ge ffnet werden oder hat ung ltiges Format 1 e Schl sselgenerierung f r den Export fehlgeschlagen 2 e Datenbankdatei f r den Import wurde von anderem Administrator angelegt 3 e Datenbank Import hatte ein Problem OvidLog log enth lt Details 6 e Datenbank Export hatte ein Problem OvidLog log enth lt Details 8 16 24 3 1 4 Administrations Bibliothek Neben den fertigen Administrationstools gibt es auch eine Bibliothek mit deren Hilfe die SecOVID Administration in eigene Programme und Oberfl chen eingebunden werden kann Diese Bibliothek hat ein C und C Interface Der zugeh rige Header findet sich auf der CD als Development admin admininterface h die Bibliothek selbst wird unter dem Namen libSecAdm so Unix bzw SecAdm d11 Windows zusamme
3. Die letzten beiden Schritte werden f r RADIUS Clients auf UNIX Systemen h ufig durch Editieren der Datei etc raddb clients vorgenommen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 105 3 2 3 Konfiguration eines TACACS Clients Hinsichtlich der Konfiguration eines TACACS Clients gelten sinngem die Erl uterungen aus Abschnitt B 2 4 Wenn ein TACACS Client Passwortanfragen an den SecOVID Server weiterleiten soll so m ssen Sie e ggf als Passwortmethode an geeigneter Stelle TACACS ausw hlen e die IP Adresse des SecOVID Servers als TACACS Authentifikationsserver eintragen e ein shared secret f r den SecOVID Server eintragen und dieses ebenso mit der IP Adresse des TACACS Clients im SecOVID Server eintragen 3 2 4 Konfiguration einer Firewall Ihre Firewall wird ber die M glichkeit verf gen f r jeden Benutzer einzustellen welcher Passwortmechanismus zur berpr fung dessen Passw rter von der Firewall verwendet werden soll Wenn die Passw rter eines Benutzers mit dem SecOV ID Einmalpasswortmechanismus berpr ft werden sollen w hlen Sie f r diesen Benutzer als Passwortmechanismus RADIUS oder TACACS aus und tragen Sie als IP Adresse f r den RADIUS oder TACACS Server die reale Adresse des Servers ein der die entsprechenden Passw rter entgegennehmen und eine Antwort ber die G ltigkeit der Passw rter zur cksenden soll Dies kann direkt der SecOVID Server sein oder ab
4. KAPITEL 2 INSTALLATION 25 3 Geben Sie zun chst bitte an in welches Verzeichnis die Administrationstools installiert werden sollen 4 Danach geben Sie bitte an in welches Verzeichnis der Treiber f r das KOBIL Chipkartenterminal sha red object installiert werden soll Wir empfehlen das vorgeschlagene Verzeichnis zu akzeptieren Sie m ssen ein Chipkartenterminal auf Ihrem Rechner installieren um sich als Administrator an der SecOVID Datenbank zu authentifizieren oder Einmalpasswortgeneratoren auf eine Chipkarte aufzubringen oder von ihr zu entfernen oder die f r eine Remote Administration erforderlichen Administrator Chipkarten zu erzeugen 5 Geben Sie anschlie end bitte an in welches Verzeichnis andere shared object Dateien installiert werden sollen welche das Admintool GUI wegen seiner graphischen Oberfl che ben tigt Wir empfehlen erneut das vorgeschlagene Verzeichnis zu akzeptieren Nehmen Sie bitte zu Ihrer Information die Ausgaben des Skriptes zur Kenntnis Die eigentlichen Administrationstools wurden im Unterverzeichnis admin des gew hlten Installationsverzeichnis ses installiert im Installationsverzeichnis selbst finden sich nur Wrapper Skripte zur Erleichterung des Aufrufs dieser Tools Schlie en Sie nun Ihr KOBIL Chipkartenterminal an und befolgen Sie die mitgelieferten Installationshinweise Mit Hilfe dieses Chipkartenterminals schreibt das Admintool Einmalpasswortgeneratoren auf die Chipkarten erzeugt Adm
5. oder Mi erfolg einer Aktion anzeigen Standardinput und Standardoutput k nnen durch die entsprechenden Operatoren umgeleitet werden Hinweis Beachten Sie dass je nach verwendeter Shell bestimmte Zeichen eine spezielle Bedeutung haben und von der Shell interpretiert werden F r die bergabe an das Administrationstool durch den Shell blichen Mechanismus z B durch einen vorangestellten Backslash oder durch Verwendung von Anf hrungszeichen vor der Verarbeitung durch die Shell gesch tzt werden m ssen OPTIONEN admin string admin_port N Diese Optionen k nnen allen Kommandos vorangestellt werden und weisen das Administrationstool an sich mit dem angegebenen Namen an der Datenbank anzumelden dabei wird zur Authentifikation das Chipkartenter minal an der seriellen Schnittstelle mit der angegebenen Nummer verwendet Ist keine spezifische Schnittstelle angegeben so wird dieselbe Schnittstelle wie f r die anderen Kartenoperationen s u verwendet wobei gege benenfalls eine Aufforderung zum Wechseln der Chipkarte erscheint Wird kein Administrator angegeben so wird der in der Datei Prefs cfg die das graphische Administrationstool anlegt gespeicherte Administratorname verwendet admin string admin token Dateiname PIN Alternativ k nnen diese Optionen allen Kommandos vorangestellt werden Im Gegensatz zur vorangegangenen Variante wird hier keine Chipkarte sondern ein zuvor erzeugtes Softtoken zur Authentifikation gegen
6. IP 192 168 1 14 db_allow mirror 192 168 1 114 Initial Secure Cop N a same databasis Abbildung 2 1 Datenredundanz Backup durch Spiegeln aller Anfragen e Werden administrative Eingriffe auf dem SecOVID Hauptserver vorgenommen ber eines der SecOVID Administrationstools so werden diese automatisch auch auf dem Backupserver durchgef hrt Sie als verantwortlicher SecOVID Administrator entscheiden ob Sie es dabei belassen wollen die Daten red undant zu halten um beim Ausfall des Hauptservers den Backupserver manuell unter der IP Adresse des Hauptservers zu starten Dies nennen wir reines Backup System oder Redundanz siehe Abbildung B T Oder Sie entscheiden sich daf r Hochverf gbarkeit gew hrleisten zu wollen indem der Backupserver beim Ausfall des Hauptservers an dessen Stelle einspringt Um Hochverf gbarkeit zu gew hrleisten haben Sie entwe der auf dem Backupserver und auf dem Hauptserver einen weiteren Dienst zu installieren und zu starten den SecOVID Backup D mon secbak oder Sie m ssen allen Ihren Clients beide Server bekannt machen sofern diese eine solche Konfigurationsm glichkeit bieten Im ersten Fall bernimmt der Backupserver beim Ausfall des Hauptservers dessen IP Adresse so dass die anfragenden Rechner z B Firewall nur eine einzige IP Adresse f r den Authentifikationsserver kennen Im zweiten Fall ist der Backupserver unter einer anderen IP Adresse erreichbar und der anfragend
7. Mit einer leeren oder ganz ohne eine Userdatenbank etc SecOvid users werden alle RADIUS Anfragen an den SecOVID Server abgelehnt e etc SecOvid dictionary die von RADIUS Servern bekannte Datei die alle m glichen RADIUS Attribute auff hrt Sie ist daf r verantwortlich dass die verst ndlichen Attributnamen aus der Konfigurationsdatei etc SecOvid users in die entprechenden Nummern des RADIUS Protokolls bersetzt werden Dabei k nnen Sie die Attributnamen nach Belieben ndern um etwa eine Anpassung an eine bereits existierende users Datei vorzunehmen Zu beachten ist nur dass auch wirklich alle Attributnamen der users Datei definiert werden Insbesondere k nnen zus tzlich Hersteller spezifische Attribute nach dem standardisierten Mechanismus erg nzt werden e etc SecOvid tacacs Konfigurationsdatei zum Abspeichern von Benutzerprofilen Authentifikationsdaten und Benutzerrechte Beachten Sie dass Sie zumindest eine minimale Version dieser Datei ben tigen die die Zeile key secret key default authentication onetime beinhaltet WARNUNG Mit einer leeren oder ganz ohne eine Userdatenbank etc SecOvid tacacs werden alle TACACS Anfragen an den SecOVID Server abgelehnt Detaillierte Informationen zum Verwenden von RADIUS Attributen und dem Einrichten von Userprofilen finden Sie im beiliegenden Dokument How to configure user information Dieses Dokument liegt zur Zeit ausschlie lich in Englisch vor ndern der Portnumm
8. Programm secovid exe welches den SecOVID D mon SecOVID Serverprozess Dienst darstellt der in Ausf hrung an vier Ports lauscht um Anfragen entgegenzunehmen und abzuarbeiten b Erg nzungen in der Datei c WINNT system32 drivers etc services Hier wurden die verschiedenen Interfaces des SecOVID D mons zu Portnummern zugeordnet An dieser Stelle sollten Sie sicherstellen dass die von SecOVID benutzten Portnummern von keinem an deren D mon verwendet werden insbesondere der Internet Authentifikations Dienst kann mit dem SecOVID Server um den RADIUS Port konkurrieren so dass Sie diesen Service abschalten m ssen um SecOVID benutzen zu k nnen Dies tut das Setup Programm automatisch andere Dienste ben ti gen allerdings m glicherweise einen manuellen Eingriff Die Datei etc services wurde um folgende Zeilen erg nzt falls entsprechende Eintr ge nicht bereits vorher existierten bzw Sie eine Modifikation abgelehnt hatten tacacs 49 tcp tacacs 49 udp radius 1812 udp secovid 1647 udp secoviddb 1113 udp Der SecOVID D mon wartet nun an dem Port namens tacacs im vorliegenden Fall also unter Port nummer 49 auf TACACS konforme Passwortanfragen Entsprechend wartet der SecOVID Server am Port namens radius im vorliegenden Fall also unter Portnummer 1812 auf RADIUS konforme Passwortanfragen und am secovid Port Portnummer 1647 auf RSA verschl sselte Passwortanfragen Das Administrationstool greift ber den secoviddb Port Port 1
9. bergeben wieviele Bytes gespeichert werden sollten und nach dem Auruf enth lt die Variable KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 96 die Anzahl der tats chlich geschriebenen Bytes F r den Aufruf mit data NULL gilt die gleiche Konvention wie bei der vorangegangenen Funktion 3 1 5 Konfigurationsbeispiele f r FreeRADIUS um weitere M glichkeiten von RA DIUS zu unterst tzen Hier wollen wir einige Beispiele zeigen wie FreeRADIUS konfiguriert werden kann um mit SecOVID zusam menzuarbeiten dazu wollen wir auf drei Teilbereiche eingehen n mlich Accounting EAP und die Verwendung des Users Files bzw der User Datenbank von FreeRADIUS Die Idee ist jeweils FreeRADIUS seine Arbeit tun zu lassen und die eigentliche Authentifikation als Proxy Request an den SecOVID Server weiterzuleiten Im wesentlichen ist diese M glichkeit schon in FreeRADIUS angelegt problematisch ist in dieser Hinsiche eigentlich nur das Sub Protokoll EAP MD5 aus der EAP Protokollfamilie Deshalb haben wir hier ein spezielles Modul entwickelt vgl Abschnitt 2 1 4 das analog zu anderen EAP Sub Protokollen die eigentliche Authentifikations anfrage aus der Verpackung in Form des EAP Protokolls auspackt und an einen anderen Server weiterleiten kann Das bei FreeRADIUS derzeit mitgelieferte EAP MD5 Modul nimmt die Passwortverifikation immer lokal vor Um FreeRADIUS und SecOVID auf demselben Rechner nutzen zu k nnen beachten Sie bitte
10. bernehmen Dazu kann mit lt Zahl gt angege ben werden das wievielte Wort des Attributwertes benutzt werden soll bzw mit ALL BUT lt Zahl gt das wievielte Wort des Attributwertes weggelassen werden soll Dabei bezeichnen 1 2 3 das erste zweite dritte Wort w hrend 1 2 3 das letzte vorletzte drittletzte Wort bezeichnen Zur Illustration wollen wir zwei Beispiele geben Im Falle der Kommunikation mit einem ADS von Microsoft k nnen Sie mit login sn name name given name givenName einfach die Attribute sn name und givenName als Benutzername Name und Vorname bernehmen Im Falle der Kommunikation mit einem OpenLDAP Server der f r jeden Eintrag z B die Attri bute sn und cn also Nachname und vollst ndiger Name zur ckliefert k nnen Sie z B folgende Konfigurationsdatei verwenden KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 66 login sn name cn 1 given name cn 1 Damit erhalten Sie z B f r den User mit cn Max Philipp Mustermann dann Mustermann als Name das letzte Wort des cn und Max als Vorname das erste Wort Wenn Sie als Vornamen in diesem Beispiel lieber Max Philipp extrahieren wollen so k nnen Sie dazu die Zeile given name cn ALL BUT 1 verwenden mit der alles au er dem letzten Wort dem Nachnamen als Vorname eingetragen wird LDAP Anfrage F r die eigentliche LDAP Anfrage m ssen sie nun die IP Adresse und den Port normalerweise 389 des
11. e Beenden Beenden des Programms KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 65 Datenbank e Ansicht aktualisieren Der Inhalt der unter Konfiguration eingetragenen Datenbasis wird aus der betreffenden SecOVID Datenbank ausgelesen und angezeigt e Datenbank importieren F gt Benutzer aus einer verschl sselten Datei im SecOVID eigenen Bin rformat oder aus einer ASCII Datei im SecOVID Importformat zur aktuellen SecOVID Datenbank hinzu Nach Aktivieren dieses Men punktes erscheint ein Fenster in welchem Sie die zu importierende Datei auszuw hlen haben Falls die zu importierende Datei durch einen Export Datenbank exportieren unter Verwendung ei ner Administrator Chipkarte entstanden ist so muss nun zum Importieren die gleiche Administrator Chipkarte eingelegt und die Karten PIN am Kartenterminal eingegeben werden Die zu importierende Datei liegt n mlich in diesem Fall verschl sselt vor und kann nur mit der gleichen Administrator Chipkarte wieder entschl sselt werden Eventuelle Fehlermeldungen werden in der Datei OvidLog 1log protokolliert Diese wird in dem Verzeichnis angelegt das Sie auf der Datenbank Konfigurationsseite ausgew hlt haben e Datenbank importieren LDAP Diese Funktion automatisiert das Anlegen neuer Benutzer indem diese aus einer bereits bestehenden LDAP Datenbank z B aus Microsofts ADS oder von einem OpenLDAP Server bernommen werden Wenn Sie dieses Feature b
12. e Erstellen mehrerer Applikationen anhand eines Verzeichnisses mit Tokendateien Pfade zur Installation in der Datei buildconfig properties anpassen ant buildDIR DKSTDIR lt Verzeichnis gt Bei diesem Vorgang wird jeweils automatisch eine neue Verzeichnisstruktur erstellt in der f r jeden Benutzer ein gleichnamiges Verzeichnis angelegt wird in dem das Midlet f r Handys und das Midlet f r PalmOS Ger te abgelegt ist Diese Verzeichnisse finden Sie auf UNIX Systemen in dem Ordner lt IhrPfad gt MidletGenerator Release bzw auf Windows Systemen unter lt IhrPfad gt MidletGenerator Release KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 98 3 1 7 Distribution der Soft Token A pplikation zu Mobiltelefonen und PDAs Bei Anwendungen dieser Art muss die Sicherheit gew hrleistet sein Es diirfen keine Daten unbeabsichtigt nach au en gelangen Dies z hlt zum einen f r die Anwendung selbst und zum anderen f r die bertragung der Applikation zum Endger t Mobiltelefon oder PDA Diese bertragung des Midlets zum Endger t soll nachfolgend geschildert werden Es werden ausschlie lich sichere bertragungsarten verwendet Bei dem WAP Download auf Handys nennt sich diese Ubertragungsart WTLS welche ein quivalent zu SSL darstellt Bei den PDAs werden die Midlets durch eine Synchronisation mit dem PC auf das Endger t transferiert und gelangen somit nicht in ffentliche Netze Der Download der Applikation zum P
13. one time password OTP oder lt Server PIN gt lt 0TP gt PAP CHAP MSCHAP Challenge Response basierend auf Triple DES mit bis zu 8 Bytes langen Challenges und Re sponses nur f r SecOVID Administratoren e berpr fung weiterer Credentials wie IP Adresse des Benutzers m glich e Tempor re Festlegung auf ein Authentifikationsverfahren pro Benutzer Schutz gegen Brute Force Attack Durchprobieren aller m glichen Passw rter e Suchtiefe f r Einmalpassw rter konfigurierbar e Unterst tzt Resynchronisierung Autorisierung e Verwaltung von Benutzerprofilen Berechtigungslisten RADIUS und TACACS konform Accounting e Protokollierung aller Benutzerzugriffe propriet r bzw TACACS konform PROXY e Einsatzf hig auch als Proxy Server f r andere SecOVID Server RADIUS Server oder ACE Server e Multithreading f hig maximale Anzahl paralleler Threads konfigurierbar e Migration von Benutzern von Fremdauthentifikationsprodukten z B RSA Security ACE Server auf SecOVID mit minimalem administrativem Aufwand Lastenverteilung e Statische Lastenverteilung durch Nutzung der Proxy Funktionalit t Abbildung von Organisationsstrukturen e Benutzern und Administratoren werden SecOVID Benutzergruppen zugewiesen die Abteilungen Niederlassungen oder Mandanten eines Unternehmens entsprechen Mandantenf higkeit von Sec OVID SecOVID Administratoren k nnen nur die Benutzer der eigenen Gruppe n administrieren e SecOVID Adm
14. t eines Benutzers festgestellt werden kann Webserver Internet Anwendungen und Compu ternetzwerke m ssen vor unberechtigtem Zugriff gesch tzt werden So muss zum Beispiel beim Online Banking ein Kunde beweisen dass er auf sein Konto zugreifen darf Au endienstmitarbeiter m ssen nachweisen dass sie berechtigt sind durch die Firewall oder den Router Ihrer Firma auf ihre Daten zuzugreifen Geheime Passw rter immer noch weitgehend zur Identifikation gebraucht sind zu unsicher Sie k nnen erraten weitergegeben oder bei der bertragung mitgeh rt und dann missbr uchlich eingesetzt werden Trojanische Pferde warten als harmlos erscheinende Programme nur darauf dass der rechtm ige Benutzer das n chste Mal sein gehei mes Passwort eingibt um dieses anschlie end unbemerkt einem Hacker zuzusenden Damit stellen herk mmliche Passw rter eine bedrohliche Sicherheitsschwachstelle ansonsten guter Netzwerkprodukte und Serversysteme dar H ufig sollen die zur berpr fung der Identit t der Benutzer Authentifikation notwendigen Daten sowie deren Berechtigungsprofile Autorisierung Was darf der Benutzer berhaupt auf meinem System tun zentral auf einem Server gespeichert werden Unsere L sung KOBIL SecOVID SecOVID Einmalpassw rter auch One Time Passwort OTP ge nannt bieten eine wesentlich h here Sicherheit bei der Authentifikation als normale Passw rter Auf den Computern der Benutzer muss in der Regel keinerlei Soft o
15. wann der Benutzer sich beim SecOVID Server zuletzt angemeldet hatte das letzte Einmalpasswort des Benutzers die SecOVID Server Systemzeit zu welcher der ggf f r eine gewisse Zeitspanne gesperrte Benutzer sich wieder mit korrektem Einmalpasswort authentifizieren kann unter Status ob der Benutzer gesperrt wurde oder nicht Im letzten Fall gibt z B 2 Fehler die Anzahl der Fehlversuche hier 2 seit dem letzten erfolgreichen Einloggen an e Alphabetisches Sortieren Sie k nnen den Inhalt Ihrer Datenbanktabelle nach allen Keys Spaltennamen sortieren lassen die in Ihrem Programm angezeigt werden Also z B nach Benutzer ID Name Vorname etc Sie lassen dabei sortieren indem Sie auf den Key klicken nach dem alphabetisch sortiert werden soll Verwenden Sie die linke Maustaste wenn Sie aufsteigend sortieren wollen und die rechte Maustaste wenn Sie absteigend sortieren wollen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 80 e Selektieren mehrerer Benutzer Wollen Sie eine Aktion f r mehrere Benutzer durchf hren so markieren Sie die betreffenden Benutzer eintr ge in der Datentabelle und w hlen den Men punkt zum Durchf hren der gew nschten Aktion aus Einen einzelnen Benutzer markieren Sie durch Anklicken des entsprechenden Benutzereintrages in der Datentabelle Sind bereits Benutzer markiert so k nnen Sie mit einer der folgenden Methoden weitere Benutzer markieren Bet tigen der linke
16. welches je nach Konfiguration nach einem ersten fehlgeschlagenen Anmeldungsversuch eine Verbindung mit dem Standard Login herstellt Konsultieren Sie hierzu auch die Dokumentation Ihres Betriebssystems unter dem Stichwort PAM Eine gute Zusammenfassung ist auch unter http www redhat com linux info pam erh ltlich Nehmen wir an k nftig soll ein rlogin auf einen Linux Rechner nur noch unter Angabe eines g ltigen Einmal passwortes m glich sein Dann editieren Sie die Datei etc pam d rlogin entsprechend Ihres Entschlusses Falls Benutzer beim rlogin statt eines UNIX Passwortes ein Einmalpasswort vorlegen sollen so ersetzen Sie die Zeile in der festgelegt wird dass ein UNIX Passwort eingegeben werden muss durch eine entsprechende SecOVID Zeile Ersetzen Sie also in der Datei etc pam d rlogin die Zeile auth required lib security pam_unix so durch die Zeile auth required lib security pam_ovid_auth so Auf der CD finden Sie in der Datei UNIX clients pam rlogin folgendes Konfigurationsbeispiel PAM 1 0 auth required lib security pam_securetty so auth sufficient lib security pam_rhosts_auth so auth requisite lib security pam_unix so set_secrpc auth required lib security pam_nologin so auth required lib security pam_mail so auth required lib security pam_ovid_auth so account required lib security pam_unix so password required lib security pam_unix so session required lib security pam_unix so none debug o
17. 2 und M4 3 sowie TCOS 2 0 Die Kombination der SecOVID Anwendung mit weiteren Applikationen auf der gleichen Karte ist m glich Eine Portierung des SecOVID Einmalpasswortgenerators auf Chipkarten anderer Hersteller ist m glich sofern diese Chipkarte die technischen Voraussetzungen dazu erf llt beispielsweise den Triple DES Verschl sselungs algorithmus zur Verf gung stellt 1 3 1 2 SecOVID Reader III Zum Generieren von Einmalpassw rtern wird der Taschenkartenleser standardm ig nicht an den Computer angeschlossen Er arbeitet off line und wird per Batterie betrieben Optional kann der SecOVID Reader III auch an den Computer angeschlossen werden dann arbeitet er als vollwertiges Chipkartenterminal der Klasse 2 Die Karten PIN kann aussp hsicher ber die Tastatur des Readers eingegeben werden und wandert niemals in den Computer Strom bezieht das Chipkartenterminal dann ber den Computer KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 6 1 3 1 3 KOBIL mIDentity Die KOBIL mIDentity Plattform bietet vielf ltige Sicherheits Mechanismen so z B den smartcard basierten Logon am Netzwerk oder am Arbeitsplatz PC und den sicheren Datensafe Als Sicherheitsanker dient immer zu die SecOVID Chipkarte mit der auch bei mIDentity die Einmalpassw rter erzeugt werden k nnen Als Komfortfunktion wird das sogenannte SSimple Sign On ngeboten womit die Einmalpassw rter direkt in die Anmeldemaske der Anwendung eingef gt werden so dass in diesem Fal
18. Adresse die der Rechner besitzt der die Rolle des Backupservers bernommen hat ServerLicence Die SecOVID Lizenzdatei des Hauptservers welche die IP Adresse OvidIP lizensiert BackupLicence Die SecOVID Lizenzdatei des Backupservers welche die IP Adresse BackupIP lizensiert Die Lizenzdateien von Hauptserver und Backupserver m ssen verschieden sein CheckIP Die IP Adresse des Rechners mit dem der vorliegende Rechner zu kommunizieren versucht um zu pr fen ob er selbst als Hauptserver oder als Backupserver online d h im Netz sichtbar ist Im Falle dass der vorliegende Rechner nicht online ist kann er die Adresse CheckIP nicht erreichen Als CheckIP sollten Sie die IP Adresse eines Rechners eintragen der bei einer defekten Netzwerkverbindung zum vorliegenden Rechner Hauptserver oder Backupserver nicht erreichbar ist Sie k nnten als CheckIP beispielsweise die IP Adresse des Gateways eintragen PingMode Hier sollte der Wert 0 stehen Dies bedeutet dass f r den oben geschilderten Online Test sowie f r den Test ob andere Rechner netzwerktechnisch verf gbar sind versucht wird mittels ping mit dem Rechner CheckIP zu kommunizieren In manchen Netzwerkumgebungen scheitert dieser Test da ein ping durch eine Firewall unterbunden wird obwohl eine Netzwerkverbindung vorhanden ist In diesem Fall setzen Sie PingMode 1 Dann versucht der vorliegende Rechner beim Online Test eine Verbindung zum Port CheckPort des Rechners CheckIP herzus
19. Booten Sie dann den Rechner der die Rolle des Backupservers einnehmen soll KAPITEL 2 INSTALLATION 41 e Vergewissern Sie sich dass der Hauptserver Passwort und Administrationsanfragen korrekt abarbeitet und ggf auf den Backupserver spiegelt Hierzu legen Sie einen Benutzer mit Einmalpasswortgenerator mit dem SecOVID Administrationstool GUI an siehe Abschnitt und senden Sie mit dem RADIUS Testprogramm radping Passwortanfragen an den Hauptserver siehe Abschnitt 2 1 7 e Simulieren Sie Ausf lle des Hauptservers oder des Backupservers und berzeugen Sie sich dass das System sich wie gew nscht verh lt Achtung Anfragen die vom Backupserver ausgehend zum Hauptserver geschickt werden werden nicht an den Backupserver zur ckgespiegelt Vermeiden Sie es daher am besten das Administrationstool berhaupt auf dem Rechner zu verwenden der gerade die Rolle des Backupservers innehat oder einen Authentifikations Client auf diesem Rechner zu benutzen 2 2 3 Konfiguration des Hochverf gbarkeitssystems Nach Starten des Installationsskriptes f r das SecOVID Hochverf gbarkeitssystem UNIX install_backupserver sh von der SecOVID CD enth lt das Verzeichnis etc SecOvid insbesondere die Dateien secbak secbak conf und secbak_start_script Details zu diesen drei Dateien erl utern wir im Folgenden 2 2 3 1 Das Executable secbak Die Datei secbak ist der SecOVID Backup D mon der normalerweise auf den beiden Rechnern installiert wird die a
20. Chipkarten oder Token Daten Eintr ge aus LDAP oder ADS Servern Active Directory Service zuordnen Gehen Sie wie folgt vor 1 Selektieren Sie die noch anonymen freien SecOVID Daten Chipkarten oder Token Daten Eintr ge in der SecOVID Datenbank KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 67 2 Nach Anklicken des Men punktes erscheint eine Tabelle die in den zwei ersten Spalten den Namen und den Generator Typ der anonymen Daten enth lt Durch Dr cken der CheckBoxen Chipkarte bzw Token wird die SecOVID Datenbank nach weiteren freien SecOVID Daten durchsucht und die ersten beiden Spalten der Tabelle werden erg nzt 3 Durch Dr cken des LDAP Buttons erscheint eine Eingabe Maske mit der Sie spezifizieren k nnen welchem Benutzer ein Datensatz zugewiesen werden soll Informationen zu der Syntax der in der Eingabe Maske erwarteten Daten finden Sie im Men punkt Datenbank importieren LDAP 4 Den aus dem LDAP Server ausgelesenen Benutzern wird jeweils automatisch ein freier SecOVID Datensatz zugeordnet Vorschlag 5 Den automatisch generierten Vorschlag k nnen Sie durch folgende Tastenkombinationen ver ndern L schen Durch Dr cken der Entf Taste werden die selektierten Eintr ge aus der Zuordungstabelle gel scht Ausschneiden und Einf gen Markieren Sie die zu verschiebenden Datens tze dr cken Sie Strg x klicken Sie auf die gew nschte
21. Details KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 62 1 Zum Anlegen einer Administrator Chipkarte gehen Sie genauso vor wie zum Anlegen eines Einmal passwortgenerators auf einer Benutzer Chipkarte Beachten Sie allerdings dass automatisch der Einmal passwortgenerator Nr 9 ausgew hlt wird wenn Sie eine Administrator Chipkarte anlegen wollen 2 Der Administratorname mit dem Sie sich beim Admintool anmelden ist der Benutzername Administra torname in der ersten Spalte in der Ansicht die das Admintool bietet 3 Die Namen f r Administratoren und Benutzer werden getrennt verwaltet Das hei t einerseits dass kein Problem entsteht wenn ein Administrator und ein Benutzer zuf llig denselben Namen haben Andererseits bedeutet das aber auch dass ein Administrator der auch den Einmalpasswort Mechanismus benutzen will in der Benutzerdatenbank nochmals angelegt werden muss selbst wenn er dort den gleichen Benutzerna men verwendet In diesem Fall muss zum einen der Men punkt Karte erzeugen f r den Administrator zum anderen Karte erzeugen f r den Benutzer aktiviert werden wobei im letzteren Fall f r den Ein malpasswortgenerator eine andere Nummer als Nr 9 ausgew hlt werden muss denn Nr 9 wird bereits f r den Administrator verwendet 3 1 2 4 Die Men leiste Nacheinander werden nun die einzelnen Men punkte beschrieben die einem Administrator zur Verf gung ste hen In Unterkapitel Erw
22. Eintr ge zu ndern Wenn Sie den Empfehlungen des Installationsskriptes folgen ha ben Sie in der Regel anschlie end einen geringeren Aufwand bei der Konfiguration des SecOVID Systems Was geschieht beim Ausf hren des Installationsskriptes install sh a Entpacken des SecOVID Servers in das gew hlte Installationsverzeichnis Falls noch keine Konfigura tionsdateien existieren wenn es also kein Update ist werden zus tzlich Default Konfigurationsdateien entpackt Im Verzeichnis wurde nun der SecOVID Server installiert Hier existiert jetzt das Programm secovid welches den SecOVID D mon SecOVID Serverprozess Dienst darstellt der in Ausf hrung an vier Ports lauscht um Anfragen entgegenzunehmen und abzuarbeiten FE Z Erg nzungen in der Datei etc services Hier wurden die verschiedenen Interfaces des SecOVID D mons zu Portnummern zugeordnet An dieser Stelle sollten Sie sicherstellen dass die von SecOVID benutzten Portnummern von keinem anderen D mon verwendet werden Die Datei etc services wurde um folgende Zeilen erg nzt falls entsprechende Eintr ge nicht bereits vorher existierten bzw Sie eine Modifikation abgelehnt hatten tacacs 49 tcp tacacs 49 udp radius 1812 udp secovid 1647 udp secoviddb 1113 udp Der SecOVID D mon wartet nun an dem Port namens tacacs im vorliegenden Fall also unter Port nummer 49 auf TACACS konforme Passwortanfragen Entsprechend wartet der SecOVID Server am Port namens radius im vo
23. F r RADIUS Clients H ufig etc raddb clients zu editieren F r RSA Clients unter Windows WinNT system32 drivers etc ovid_config und kopieren Sie die vom SecOVID Server zeugte Datei ovid_comm pub vom Server WinNT system32 drivers etc ovid_comm pub auf den Client ist auf dem Client Editieren Sie er als B 2 11 B 24 B 29 B 23 5 2 0 5 27 S SecovidServerlP serverPort K secretKey KAPITEL 2 INSTALLATION 19 Installation unter Windows Arbeitsschritt Installationsprogramm Programm Details siehe Abschnitt e d win32 server SECOVID Server exe Installation SecOVID 2 12 BJ Server Installation SecOVID d win32 admin SECOVID_admintool exe Administrationstools 2 13 Starten des SecOVID Systemsteuerung gt Verwaltung gt Dienste gt SecOVID Servers Lizenzdatei Server ELT notwendig Starten des Administrati Programme gt KOBIL Systems gt SecOVID admintools onstools gt WxOVID aL Test von Administrations c etc SecOvid radping u username password tool und SecOVID Server ELT Benutzer mit Karte bzw c etc Sec0vid tacping u username password anlegen oder Token S SecovidServerIP K secretKey bzw Daten importieren c etc Sec0vid ovid_ping u username password Passwortanfragen an SecOVID Server stellen mit radping tacping oder ovid_ping siehe PT una PiN im Falle eines RADIUS Clients oder eines TACACS Installation Ihrer zu Clients si
24. Ihren lokalen Richtlinien gen gen k nnen Sie eine Bibliothek mit dem Namen libSecSyntaxCheck so Unix bzw SecSyntaxCheck d11 Windows erzeugen Diese Bibliothek wird auf dem System neben der Administrations Bibliothek abgelegt d h typischerweise im selben Verzeichnis wir die Ad minitrationstools selbst Sie muss die Funktion int FilterUsername char mit der Standard C Calling Konvention zur Verf gung stellen Dieser Funktion wird ein Benutzername bergeben und sie soll 0 zur ckge ben wenn der bergebene Benutzername bereits g ltig ist sie soll den Benutzernamen automatisch der lokalen Richtlinie anpassen und einen positiven Wert zur ckgeben wenn dies m glich ist und sie soll einen negativen Wert zur ckgeben wenn der Benutzername ung ltig ist und nicht automatisch angepasst werden kann Der C Code f r ein einfaches Beispiel einer solchen Funktion k nnte im Kern so aussehen include lt ctype h gt include lt string h gt include lt stdlib h gt int FilterUsername char name int i ret 0 char lname strdup name for i 0 i lt strlen name i lname i tolower lname i if strcmp name lname ret 1 strcpy name lname free lname return ret KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 81 Diese Funktion wandelt jedes Zeichen des Benutzernamens automatisch in den entsprechenden Kleinbuchstaben um und gibt am Ende entweder 1 oder 0 zur ck je
25. LDAP Servers angeben und je nachdem wie die Zugriffsrechte auf den LDAP Server konfiguriert sind m ssen Sie auch noch einen Usernamen und ein Passwort angeben mit denen Sie sich dem LDAP Server gegen ber authentifizieren Achtung Diese normalerweise nicht sicherheitskritische Passwort wird derzeit im Klartext ange zeigt Achtung Verwenden Sie Microsofts ADS als LDAP Server dann ist als Username nicht wie bei einem normalen Login der Benutzername anzugeben sondern der sog Anzeigename Schlie lich k nnen Sie in zwei Text Fenstern der Eingabe Maske spezifizieren welche Benutzer Sie importieren wollen Hier ist zum einen der Suffix des distinguished name DN anzugeben den die zu importierenden Benutzer im LDAP Server haben sollen und zum zweiten ein Suchfilter Der Suffix ist abh ngig von Ihrer LDAP Konfiguration und kann z B die Form ou Verkauf o Demo GmbH c Germany oder dc demo dc de oder hnliches haben F r Microsofts ADS ist die letztere Form g ngig eine Dom ne verkauf demo de w rde man dort mit dc verkauf dc demo dc de spe zifizieren F r den Suchfilter k nnen Sie im wesentlichen beliebige Suchfilter nach RFC 2254 verwen den Jedoch ist zu beachten dass hier je nach LDAP Server Einschr nkungen gelten k nnen oder leichte nderungen der Syntax der Anfrage erforderlich sein k nnen Im Falle von OpenLDAP k nnen Sie z B mit objectClass Person angeben dass sie alle Benutzer importieren wollen f r die das Attribut
26. Nr 9 Dieser Eintrag besitzt nur Relevanz wenn in Zeile 9 durch den Wert 1 kodiert ist dass ein Default Generator verwendet werden soll und wenn in der Anweisung zum Schreiben oder L schen nicht explizit ein Passwortgenerator angegeben ist In obigem Beispiel w rde Passwortgenerator Nr 0 als Default Wert definiert werden wenn in Zeile 9 die Benutzung eines Default Wertes aktiviert w re optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad der beim Exportieren von Benutzereintr gen verwendet wird Der Pfad zur Export Datei kann bei jedem Exportvorgang nochmals angepasst werden Der Default Eintrag ist also das aktuelle Verzeichnis optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad der beim Importieren von Benutzereintr gen verwendet wird Der Pfad zur Import Datei kann bei jedem Importvorgang nochmals angepasst werden Der Default Eintrag ist also das aktuelle Verzeichnis optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad zur Log Datei die Probleme beim Importieren und Exportieren von Benutzereintr gen festh lt Der Pfad zur Log Datei kann bei jedem Importvorgang nochmals angepasst werden Der Default Eintrag ist OvidLog log optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default SecOVID Administratornamen Der Eintrag hat nur Relev
27. SecOVID Einmalpasswortmechanismus verwenden wollen um die Einwahl eines entfernten Clients in ein Windows 2000 XP 2003 Netz sicherer zu machen so k nnen Sie dies leicht mit dem Routing and Remote Access Service RRAS erreichen Zur Nutzung der in Windows 2000 XP RAS vorhandenen RADIUS Schnittstelle konsultieren Sie bitte die entsprechende Dokumentation des Microsoft RAS Servers 2 3 6 Installation des Apache Webservers mit SecOVID Authentifikationsmodul Zur Installation des Apache Webservers mit dem notwendigen SecOVID Authentifikationsmodul starten Sie das Installationsskript UNIX apache_install sh von der SecOVID CD Sie k nnen auch das SecOVID Authenti fikationsmodul mod_auth_secovid so aus dem Archiv eigenst ndig in Ihren Apache Server einbinden siehe Abschnitt B 2 6 Wenn Sie unser Authentifikationsmodul in einen vorhandenen Webserver integrieren wollen finden Sie das Modul unter UNIX apache module_only Bitte beachten Sie auch das README in diesem Verzeichnis Im Abschnitt B 2 6 finden Sie die notwendigen Informationen um den Zugriff auf einzelne Verzeichnisse des Apache Webservers dem SecOVID Schutz zu unterstellen und somit den Zugriff auf einzelne Webseiten zu sch tzen 2 3 7 Installation des Internet Information Server IIS mit SecOVID Authen tifikationsmodul Der Microsoft Internet Information Server IIS sollte immer zusammen mit dem Microsoft ISA Server oder einer vergleichbaren Firewall als Schnittstelle zum I
28. Server registrierter Benutzer und password ein fiir diesen User g ltiges Einmalpasswort In der Ausgabe von tacping bedeutet Accept dass die Kombination Username Passwort korrekt war w hrend Rejected die Ablehnung des SecOVID Servers anzeigt KAPITEL 2 INSTALLATION 33 Ein RSA Testclient ovid_ping Das hier zu verwendende Testprogramm ovid_ping befindet sich nach der Installation des SecOVID Servers im Verzeichnis etc SecOvid Falls Sie das Testprogramm auf einem anderen Rechner in Ihrem Netzwerk laufen lassen m chten so kopieren Sie bitte von Ihrer Installations CD UNIX clients ovid_ping oder win32 clients ovid_ping exe auf die entsprechende Festplatte Bei ovid_ping handelt es sich um eine einfache RSA Client Software mit der Benutzername und Einmal passwort testweise an den SecOVID Server geschickt werden k nnen F r eine korrekte Kommunikation zwi schen ovid_ping und SecOVID Server m ssen auf dem Rechner auf dem ovid_ping gestartet werden soll an der vorgesehenen Stelle zwei Dateien mit geeignetem Inhalt vorhanden sein e Im Falle eines UNIX Systems etc SecOvid ovid_config und etc SecOvid ovidcomm pub e Im Falle von Windows 2000 XP 2003 Vista Winnt system32 drivers etc ovid_config und Winnt system32 drivers etc ovidcomm pub Genaueres zu den beiden Dateien e Die Datei ovid_config muss dabei die IP Adresse des SecOVID Servers und die Portnummer auf der dieser RSA Anfragen entgegennimmt vgl den E
29. Sicht des SecOVID Servers ist der RADIUS Server ein gew hnlicher RADIUS Client siehe auch in den Abschnitten und B 1 2 Registrieren Sie Ihren RADIUS Server mit IP Adresse und shared secret in etc SecOvid clients Legen Sie die entsprechenden SecOVID Benutzer mit dem Administrationstool in der SecOVID Datenbank an Erzeugen Sie die entsprechenden Einmalpasswortgeneratoren auf den Chipkarten und geben Sie diese an die Endbenutzer aus In der Grafik aus Abschnitt 1 sind die Kommunikationsfl sse zwischen den beteiligten Rechnern Recht ecke und Programmen weiche Formen schematisch dargestellt In unserem Beispiel w re die Firewall der NAS Network Access Server Die Kommunikation kann je nach Konfiguration der Firewall entwe der direkt von der Firewall zum SecOVID Server durchgezogene Linie oder von der Firewall ber einen RADIUS Server zum SecOVID Server gestrichelte Linie verlaufen 3 2 2 Konfiguration eines RADIUS Clients Hinsichtlich der Konfiguration eines RADIUS Clients gelten sinngem die Erl uterungen aus Abschnitt B 2 4 Wenn ein RADIUS Client Passwortanfragen an den SecOVID Server weiterleiten soll so m ssen Sie e ggf als Passwortmethode an geeigneter Stelle RADIUS ausw hlen e die IP Adresse des SecOVID Servers als RADIUS Authentifikationsserver eintragen e ein shared secret f r den SecOVID Server eintragen und dieses ebenso mit der IP Adresse des RADIUS Clients im SecOVID Server eintragen
30. Sie jeweils die f r Clients zugelassenen Zielrechner zur Remote Einwahl W hlen Sie unter Authentication and encryption settings den Eintrag Require encrypted authentica tion aus Unter Authentication Provider w hlen Sie RADIUS und nicht wie gewohnt Windows aus Mit die sem Eintrag weichen Sie in Ihrer Konfiguration zum ersten Mal vom Standardverfahren ab Sie legen hier fest dass anfragende Clients nicht durch den Windows Server sondern durch einen RADIUS Server authentifiziert werden sollen W hlen Sie configure und dann add und tragen unter Server Name als RADIUS Server den Namen oder die IP Adresse Ihres SecOVID Servers ein Zudem tragen Sie unter Secret ein shared secret ein das zur Verschl sselung der RADIUS konformen Kommunika tion mit dem SecOVID Server verwendet wird Vers umen Sie nicht den Windows Server mit seiner IP Adresse und dem gleichen shared secret dem SecOVID Server bekanntzumachen durch Editieren der Datei etc SecOvid clients auf dem SecOVID Server Zudem tragen Sie in Timeout ein nach wie vielen Sekunden vergeblichen Wartens auf eine Antwort des SecOVID Servers die Verbindung zum anfragenden RAS Client abgebrochen werden soll Akzeptieren oder editieren Sie den vorgeschla genen Default Wert unter Initial Score Markieren Sie den Eintrag Enable Authentication Tragen Sie schlie lich unter Port die Portnummer ein unter der Ihr SecOVID Server RADIUS Anfragen entge gennimmt standardm ig 1812 Inst
31. Stromausfall bernimmt der Backupserver die Rolle des Hauptservers indem er dessen IP Adresse annimmt Wird der ehemals als Hauptserver fungierende Rechner zu einem sp teren Zeitpunkt wieder hochgefahren kommt es nicht zu Konflikten wie wir jetzt sehen werden e Der secbak D mon auf dem Hauptserver bei einem Reboot Wenn aus irgendwelchen Gr nden der Hauptserver ausgefallen war f hrt der betreffende Rechner unter einer anderen IP Adresse Dummy Adresse hoch unter der als FirstIP in der Datei etc SecOvid secbak conf definierten IP Adresse Der secbak D mon wird automatisch gestartet Das Verhalten des secbak D mons geht aus der obigen Beschreibung hervor Der secbak D mon kontrolliert ob die Rolle des SecOVID Hauptservers bereits besetzt ist d h ob die IP Adresse OvidIP bereits besetzt ist Details zu diesem Test siehe Erkl rungen zu PingMode und CheckPort in Abschnitt 2 2 3 Falls ja pr ft der Rechner ob er die Rolle des Backupservers bernehmen darf d h ob die IP Adresse BackupIP noch nicht vergeben ist Falls diese Adresse schon vergeben ist liegt eine Fehlkonfiguration vor Der Rechner bleibt in diesem Fall bei seiner Adresse FirstIP er nimmt also weder die Rolle des Haupt servers noch die Rolle des Backupservers ein und sendet eine Mail mit einer entsprechenden Warnung an den SecOVID Administrator Wenn die Rolle des Backupservers noch nicht vergeben ist nimmt der Rechner nun dessen Rolle ein wobei er zur IP Adresse Bac
32. Zeile geschrieben werden sollte Auf UNIX Systemen k nnen Sie wenn sie eine Option nur einmal verwenden wollen auch den Service stoppen und mittels etc SecOvid secovid lt Optionen gt die gew nschten Optionen direkt angeben KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 97 Logging Durch die folgenden Parameter k nnen Sie ein detaillierteres Logging des SecOVID Servers einschal ten ndern des Namens des Logfiles default ovid proto 1 FILE oder log FILE Einschalten des RADIUS Debug Loggings xr FILE oder debug radius FILE Einschalten des TACACS Debug Loggings xt FILE oder debug tacacs FILE Thread Management Der SecOVID Server unterst tzt auch die Anbindung an andere RADIUS Server zur Authentifikation Da sich hier je nach Art des fremden RADIUS Servers lange Wartezeiten f r die Verifikation eines Passworts ergeben k nnen bis zu mehrere Sekunden verwendet der SecOVID Server Multithreading wobei je nach Bedarf bis zu einer beim Start festgelegten Obergrenze Threads erzeugt werden Diese Obergrenze k nnen Sie mit dem Parameter t num oder threads num 0 lt num lt 1001 konfigurieren Wenn Sie nur den SecOVID Server zur Authentifikation verwenden ist zur Maximierung des Durchsatzes die Option t 1 zu empfehlen der Default Wert ist t 100 um zu gew hrleisten dass auch dann noch eine ausrei chende Performance gew hrleistet ist wenn die Passw rter vieler User an einen
33. als Do cumentRoot Soll der Zugriff auf Dateien die auf dem WWW Server liegen nur nach vorheriger Verifikation eines Einmalpasswortes erfolgen so gehen Sie folgenderma en vor 1 Legen Sie ein Verzeichnis unterhalb ihres Document Root Verzeichnisses an z B DocumentRoot meyer Nehmen wir an Sie m chten dieses Verzeichnis nur Herrn Meyer mit dem SecOVID Account meyer zug ng lich machen und niemand sonst soll Zugriff auf dieses Verzeichnis erhalten Kopieren Sie alle Webinhalte die durch die Einmalpassw rter von Herrn Meyer gesch tzt werden sollen in das Verzeichnis Documen tRoot meyer 2 Jetzt wird der Zugriff auf das entsprechende Verzeichnis gesch tzt Legen Sie im zu sch tzenden Verzeichnis eine Datei mit dem Namen htaccess an Aus dieser Datei liest der Apache Webserver verzeichnisspezi fische Konfigurationen sofern dies in der Datei usr local apache 1 3 26 conf httpd conf explizit gestattet ist Dies ist in der von KOBIL gelie ferten Version des Apache Webservers der Fall Der Konfigurationsparameter AllowOverride All ist gesetzt Dieses Argument kann in verschiedenen Abschnitten in der usr local apache 1 3 26 conf httpd conf gesetzt werden Abschnitte werden in der usr local apache 1 3 26 conf httpd conf mit Markern gesetzt Ein Abschnitt f ngt z B an mit lt Directory usr local apache 1 3 26 htdocs gt und endet mit lt Directory gt Alle Anweisungen die zwischen den Markern liegen gelten nur in diesem Berei
34. anschlie end mit etc SecOvid admin SecAdm generate_card adminlogin Administrator erzeugt werden Hinweis Bei verschiedenen Aktionen mit dem Kommandozeilentool z B zur Remote Administration des SecOVID Servers m ssen die Treiber f r das angeschlossene KOBIL Chipkartenterminal gefunden werden Unter UNIX Systemen m ssen Sie hierzu die Umgebungsvariable LD_LIBRARY_PATH korrekt setzen Alternativ k nnen Sie hier auch statt SecAdm das Script SecAdm sh aufrufen welches diese Aufgabe bernimmt Auf Windows Systemen wird erwartet dass der Treiber in einem Verzeichnis gefunden werden kann das in einem der Verzeichnisse der Umgebungsvariable PATH enthalten ist Vorbereitungen zum Starten des SecOVID Kommandozeilentools Beachten Sie dass das rein text basierte SecOVID Kommandozeilentool nur Benutzer und Karten verwalten kann falls der SecOVID Server in Betrieb ist Eine Remote Administration ist nur m glich wenn Sie bereits ber eine am SecOVID Server registrierte SecOVID Administratorchipkarte verf gen Zur erfolgreichen Remote Administration des SecOVID Servers stellen Sie zudem sicher dass Ihre Firewalls und sonstigen Paketfilter die TCP Kommunikation zwi schen SecOVID Admintool Kommandozeilentool und SecOVID Server nicht behindern Das bedeutet die Firewall muss alle TCP Pakete durchlassen die vom SecOVID Kommandozeilentool zum SecOVID Server auf dessen Datenbankport in der Regel Port 1113 siehe den Eintrag secoviddb in der Da
35. availability tests if PingMode 1 CheckTime 3 Some type of sleep time WaitTime 3 Number of tries made for checking availability of some computer StartOvid bash etc rc d secovid ChangeServerlP ifconfig eth0 RestartRouting route add default gw 192 168 1 1 MailSend bash etc SecOvid Alert sh CopyUserProfiles 1 Copy the RADIUS file users and the TACACS file tacacs BackupHostname hostname bluenote Host name of backup server OvidHostname hostname blue Host name of main server BackupPort 4715 Portnumber used for communication between secbak daemons ClientsServer etc SecOvid clients_server The clients file to be used for main server ClientsBackup etc SecOvid clients_backup The clients file to be used for backup server DballowServer etc SecOvid db_allow_server The db_allow file to be used for main server DballowBackup etc SecOvid db_allow_backup The db_allow file to be used for backup server Allgemein k nnen Kommentare mit deklariert werden Die im Beispiel aufgef hrten Eintr ge haben folgende Bedeutung e BeServer Diese Variable darf die Werte 1 und 0 haben und legt fest ob der vorliegende Rechner norma lerweise als Hauptserver dann setzen Sie den Wert 1 oder als Backupserver dann setzen Sie den Wert 0 dienen soll e Strategy Auf dem als Hauptserver vorgesehenen Rechner BeServer 1 wird diese Variable ignoriert Auf dem als Backupserver vorgesehenen Rechner gibt die Variable aus welche der oben
36. ber der Datenbank benutzt Dabei gibt Dateiname den Namen der Datei am besten mit absolutem Pfad an die die Daten des Softtokens beinhaltet und PIN gibt den Schl ssel an mit dem diese Datei entschl sselt werden kann Beachten Sie dass diese PIN ein hinreichend gutes statisches Passwort sein sollte also zumindest 8 Zeichen mindestens ein Sonderzeichen und kein Wort dass sich in einem W rterbuch finden l t sein sollte da jeder der dieses Passwort im Laufe beliebig vieler Versuche erraten kann Zugriff auf Ihre Datenbank erh lt Wir empfehlen diese Option h chstens f r Helpdesk Administratoren zu verwenden Beachten Sie dass der angegebene Administratorname zu den Daten in der angegebenen Datei passen muss ansonsten kann keine Verbindung zur Datenbank hergestellt werden Wird kein Administrator angegeben so wird der in der Datei Prefs cfg die das graphische Administrationstool anlegt gespeicherte Administratorname verwendet PARAMETER adminlogin oder admin Durch Angabe von adminlogin anstelle von login k nnen sie angeben da ein bestimmtes Kommando f r einen Administrator und nicht f r einen normalen Benutzer ausgef hrt werden soll Bei den Optionen die keinen Parameter login haben erreichen sie den gleichen Effekt durch die Angabe des zus tzlichen Parameters admin KOMMANDOS Anzeige Sortieren und Suchen show admin Zeigt alle User bzw alle Administratoren an Die Integervalues der Spalte status
37. der Existenz eines Backupservers w ssten sie nichts Achtung Diese Strategie wird nur unter Linux und Solaris unterst tzt nicht jedoch unter Windows 2 2 1 2 Redundanz reines Backupsystem Zur Verfolgung aller oben dargestellten Strategien haben Sie den Inhalt der SecOVID Datenbank redundant zu halten Hierzu veranlassen Sie den SecOVID Hauptserver k nftig alle Passwort und Administrationsan fragen auf den Backupserver zu spiegeln indem Sie die IP Adresse der SecOVID Backupserver in der Datei etc SecOvid db_allow auf dem designierten SecOVID Hauptserver eintragen mirror Eintrag Au erdem m ssen sie sicherstellen dass beide Rechner dieselbe Datei etc SecOvid ovidcomm key haben Die genaue Vorgehensweise schildern wir in Abschnitt 2 2 2 1 Beachten Sie dass neben der datei ovid_data die nun automatisch redundant gehalten wird auch eine ganze Reihe anderer Konfigurationsdateien vorhanden sind etwa users oder tacacs Diese sollten Sie nach evtl nderungen manuell auf das Backupsystem kopieren um im Falle eines Ausfalls des Hauptservers alle Daten zur Verf gung zu haben die Sie ben tigen um das Problem schnell zu beheben 2 2 1 3 Hochverf gbarkeit Strategie 1 Wenn Sie zus tzlich zum reinen Backup auch noch eine automatische Nutzung des Backupservers im Falle des Ausfalls des Hauptservers erm glichen wollen k nnen Sie einfach bei vielen SecOVID Clients zwei Server kon figurieren eben Haupt und Backupserver In dies
38. der PIN Doppelpunkte vorkommen d rfen Dar ber hinaus sind im Benutzernamen auch Leerzeichen sowie die beiden Zeichen und verboten new_user_batch admin login string startno N1 endno N2 pin string4 group stringlist Legt neue User oder Administratoren automatisch im Batchbetrieb mit den angegebenen Daten an Beispiel SecOvid_adm new_user_batch login guest startno 1 endno 1000 pin 421673 group 1 5 legt automatisch 1000 Benutzer mit den Benutzernamen guest0001 bis guest1000 und der PIN 421673 an Alle angelegten Benutzer sind Mitglied der Gruppen 1 und 5 Wenn keine pin angegeben ist wird automatisch eine zuf llige PIN f r jeden Benutzer generiert Wenn keine group angegeben ist wird der Benutzer Mitglied der Gruppe n die von diesem Administrator verwaltet werden Benutzerdaten ndern update login string1 new login string2 new lastname string3 new firstname stringf new pin string5 new group stringlist new gentype string6 ndert Login Nachnamen Vornamen PIN Gruppe und oder Generatortyp eines Users Beachten Sie wie derum dass in keiner der eingegebenen Zeichenfolgen also weder im Benutzernamen noch im Namen oder Vornamen oder in der PIN Doppelpunkte vorkommen d rfen Dar ber hinaus sind im Benutzernamen auch Leerzeichen sowie die beiden Zeichen und verboten Wenn Sie die PIN ndern beachten Sie bitte die Hinweise im Abschnitt PIN PUK von Kapitel B 1 2 4 M gliche Gruppeneintr ge e undef Und
39. der Tokendaten ist nur mit dieser KOBIL Kommunikationschipkarte m glich Bewahren Sie sie an einem sicheren Ort auf und merken Sie sich die Karten PIN Sie ben tigen diese Karte zum Import der Tokendaten nach jeder Bestellung von SecOVID Tokens A Bemerkung Wird nach dem Importieren der Tokendatens tze ein Fragezeichen in der Spalte Generator Typ ange zeigt so m ssen Sie den Generator Typ ndern siehe Generator Typ ndern SoftToken erzeugen Anlegen eines SoftTokens bei Administratoren z B f r den Remote Access bei der Verwendung des Kom mandozeilentools bei normalen Benutzern f r die Verwendung auf Handys oder PDAs F r die ausgw hl ten Benutzer wird das Softtoken jeweils in einer Datei namens Benutzer ID kst gespeichert Diese Datei wird in dem Export Verzeichnis abgelegt dass Sie auf der Datenbank Konfigurationsseite ausgew hlt ha ben siehe Beachten Sie dass jeweils die PIN die in der Datenbank gespeichert ist benutzt wird um das File zu verschl sseln Aus Sicherheitsgr nden sollten sie unbedingt sicherstellen dass diese PIN ein ausreichend gutes Passwort ist z B indem Sie vor Erzeugung von SoftToken ndern Das Passwort sollte 8 Zeichen lang sein und kein Wort sein dass in einem W rterbuch zu finden ist A Bemerkung Dieser Men punkt ist nur in der Administratoren Ansicht aktiviert Notfallpasswort erzeugen Anlegen eines vor bergehend g ltigen Notfallpassworts f r Benutzer die z B ihr Toke
40. die Ablehnung des SecOVID Servers anzeigt Die Ausgabe Timed out zeigt Ihnen an dass die gesicherte Kommunikation zwischen radping und dem SecOVID Server nicht funktioniert hat beispielsweise weil radping und der SecOVID Server nicht wie erforderlich den gleichen secret key ver wenden oder weil der SecOVID Server nicht erreichbar ist Ein TACACS Testclient tacping Das hier zu verwendende Testprogramm tacping befindet sich nach der Installation des SecOVID Servers im Verzeichnis etc SecOvid Falls Sie das Testprogramm auf einem anderen Rechner in Ihrem Netzwerk laufen lassen m chten so kopieren Sie bitte von Ihrer Installations CD UNIX clients tacping im Falle eines UNIX Zielrechners oder win32 clients tacping tacping exe im Falle eines Windows Zielrechners auf die entsprechende Festplatte Bei tacping handelt es sich um eine einfa che TACACS Client Software mit der Benutzername und Einmalpasswort testweise an den SecOVID Server geschickt werden k nnen Der SecOVID Server und tacping m ssen zur Verschl sselung der abzusendenden Daten beide ber den gleichen geheimen Schl ssel secret key verf gen Zum Eintragen des Secret Keys im SecOVID Server bearbeiten Sie bitte die Datei tacacs Mit tacping stellen Sie dann folgenderma en eine Passwortanfrage an den SecOVID Server e tacping u username password S SecovidServerIP K secretKey e z B tacping u smith 26011735 S 192 168 1 1 K secret Dabei ist username ein im SecOVID
41. dies wird seit mehr als zwanzig Jahren weltweit von den Fachleuten der Kryptologie vergeblich versucht und erscheint daher h chst unwahrschein lich selbst unter Einsatz enormer Rechenpower Das Stehlen des Taschenkartenlesers SecOVID Reader III und der SecOVID Chipkarte oder des SecOVID Tokens eines Benutzers Denn im Taschenkartenleser SecOVID Reader ist keine sicherheitssensitive Information gespeichert Zur Benutzung der SecOVID Chipkarte muss die richtige individuelle Karten PIN eingegeben werden Nach dreimaliger fehlerhafter Eingabe der PIN sperrt sich die Chipkarte automatisch Das Clonen der Chip karte und das Auslesen des geheimen Triple DES Schl ssels von der Chipkarte ist technisch nicht m glich Das Stehlen des Handys PDAs eines Benutzers Denn selbst wenn man an die Daten der aufgespielten Sicherheits Software gelangt ist es nicht m glich ohne Kenntniss der korrekten PIN an die darin verschl sselten Geheimnisse zu kommen Beachten Sie jedoch das in diesem Falle eine Brute Force Attacke auf diese PIN mglich ist Das Aussp hen der einmaligen Daten bertragung zum Handy PDA Denn zur Daten bertragung werden sichere Verbindungen wie SSL f r den Download zum PDA bzw WTILS zum OTA Transfer auf das Handy benutzt OTA Over The Air Das Aussp hen des SecOVID Servers Denn der SecOVID Server wird in einer physikalisch abgesicherten Umgebung installiert und geeignet konfiguriert Die Sicherheit besteht nicht darin da
42. dieser erzeugt die Datei wenn er zum ersten Mal gestartet wird auf alle Rechner deren PAM Module Sie modifizieren wollen Speichern Sie die Kopie dabei unter demselben Pfad und Namen also als etc SecOvid ovidcomm pub Editieren Sie etc SecOvid ovid_config auf allen betroffenen Rechnern In dieser Datei m ssen Sie die IP Adresse des SecOVID Servers und die Portnummer eintragen auf der dieser RSA Anfragen entgegennimmt vgl den Eintrag hinter secovid in etc services auf dem Rechner des SecOVID Servers IP Adresse und Portnummer sind durch Doppelpunkt zu trennen Auf Windows Systemen muss die Datei mit einer leeren Zeile newline enden Die Datei k nnte z B folgenden Inhalt haben 192 168 88 181 1647 e Festlegen der Sicherheits Policy Schauen Sie sich die Beispielkonfigurationen im Verzeichnis UNIX clients pam auf der CD an und modi fizieren Sie Ihre lokale PAM Konfiguration entsprechend s u Beachten Sie insbesondere dass es m glich ist mehrere Passwortmechanismen nacheinander zu verwenden KAPITEL 2 INSTALLATION 49 e Konfiguration unter SuSE Linux Die Konfigurationsdatei die auf Ihrem Linux System die Sicherheitspolicy f r eine bestimmte Anwendung festlegt tr gt im allgemeinen den Namen der betreffenden Client Anwendung und liegt im Verzeichnis etc pam d Beachten Sie jedoch dass z B die Konfigurationsdatei login f r mehrere Anwendungen ma geblich ist n mlich lokales Konsolen Login telnet und teilweise rlogin
43. e Die SecOVID Administrationstools zum Verwalten von Benutzern sowie deren Tokens und Chipkar ten e Je nach Anwendung keine weitere Software wenn SecOVID in ein Produkt mit RADIUS Interface integriert werden soll Bsp Firewalls Router VPNs verf gen meistens ber ein RADIUS Interface ein SecOVID Authentifikationsmodul welches in die zu sch tzende Anwendung integriert werden muss falls kein RADIUS Interface vorhanden ist siehe unten 1 3 Der Einmalpasswortgenerator f r den Benutzer Einmalpassw rter k nnen wahlweise mit folgender Hardware generiert werden e SecOVID Chipkarte und SecOVID Reader II bzw KOBIL mIDentity e SecOVID Token e SecOVID SoftToken in Verbindung mit einem Handy oder PDA Auf der SecOVID Chipkarte im SecOVID Token und im Handy PDA ist eine Applikation Einmalpasswort generator enthalten Dieser speichert das zuletzt generierte Einmalpasswort anfangs ein initiales Einmal passwort und den geheimen nicht auslesbaren Triple DES Schl ssel Das n chste Einmalpasswort wird im Wesentlichen durch Triple DES Verschl sselung des letzten Einmalpasswortes berechnet Die Triple DES Ver schl sselung wird durch die SecOVID Chipkarte das SecOVID Token oder die Software des Soft Tokens durch gef hrt 1 3 1 Chipkarte und SecOVID Reader III KOBIL mIDentity 1 3 1 1 Die SecOVID Chipkarte Es wird eine Reihe von zertifizierten kryptographischen Chipkarten unterst tzt derzeit Siemens CardOS M4 0la M4
44. eines Benutzers oder Adminsitrators aus der Daten bank und gibt ebenfalls als ersten Parameter einen Handle auf diesen Datensatz zur ck mit SecOVID_fillUser k nnen diese Daten bei Bedarf etwa bevor eine nderung vorgenommen und die nderung zur ckgeschrieben wird vervollst ndigt werden Dabei geben die Parameter an der wievielte Benutzer oder Administrator aus den bergebenen Gruppen gemeint ist wobei man mit dem Parameter sort_index spezifizieren kann nach welchem Kriterium die Benutzer bzw Administratoren durchnummeriert werden sollen Dabei stehen die Zah len 1 bis 6 f r die Sortierkriterien Benutzername Nachname Vorname Gruppenzugeh rigkeit Tokentyp und Status Normalerweise erfolgt die Sortierung in aufsteigender Reihenfolge bei Verwendung von 1 bis 6 wird in absteigender Reihenfolge sortiert SecOVID_getUser liefert gleich den vollst ndigen Datensatz ben tigt aber als Parameter den Benutzer bzw Ad ministratornamen Mit SecOVID_writeUser wird der evtl modifizierte Datensatz wieder in die Datenbank zur ckgeschrieben SecOVID_freeUser gibt den Speicherplatz f r einen Benutzerdatensatz wieder frei jedem Aufruf von SecOVID_newUser SecOVID_getShortUser oder SecOVID_getUser sollte daher ein Aufruf von SecOVID_freeUser entsprechen Mit SecOVID_isInGroup kann z B berpr ft werden ob die Rechte die der Administrator der bestehenden Verbindung zum Datenbankserver hat ausreichen um den Benutzer oder Administrator wie
45. entsperren Sie die selektierten Benutzer und der Status der Benutzer wechselt auf 0 Das bedeutet dass die betreffenden User wieder mit einem korrekten Einmalpasswort Einlass ins System erhalten Benutzer l schen L schen von Benutzern Voraussetzung zum L schen Die entsprechenden Benutzer m ssen gesperrt sein Beachten Sie dass durch den L schvorgang die Karte des Benutzers v llig unbrauchbar wird falls sie nicht zuvor gel scht wurde Nach dem L schen des Benutzers aus der Datenbank kann die Karte nicht mehr gel scht werden da die dazu notwendige PUK nirgendwo mehr gespeichert ist Im Falle von TCOS 1 2 oder CardOS Karten ist ein L schen noch m glich falls der Benutzer seine PIN mitteilt bei diesen Karten ist die PIN ausreichend um die Karte l schen zu k nnen In diesem Falle k nnen Sie einen neuen Benutzer mit derselben PIN anlegen diesen ausw hlen und dann den Men punkt Applikation l schen ausw hlen Benutzer suchen Suchen nach Benutzern in der Datentabelle Dabei gibt es zwei verschiedene Suchmodi die Schnellsuche und die Komplexe Suche Bei Verwendung der Komplexen Suche sind die m glichen Suchkriterien um fangreicher allerdings kann diese bei gro en Datenbanken lange dauern Nach Auswahl des Men punktes erscheint ein Fenster in welchem Sie angeben k nnen nach welchen Muster in der Datentabelle gesucht werden soll Sie k nnen nach mehreren Mustern Benutzern gleichzeitig s
46. entsprechenden Eintr ge in der SecOVID Datenbank als freie Tokendaten nderung des gentype mit Hilfe des SecOVID Administrationstools GUD 3 Exportiere alle ACE Benutzer aus der Datenbank des ACE Servers ASCII Export 4 Konvertiere die exportierten Daten mit dem daf r bestimmten KOBIL Tool in die SecOVID kompatible ASCII Syntax 5 Verkn pfe die f r die 10000 Benutzer vorgesehenen freien SecOVID Token Daten mit den 10000 Benut zereintr gen im f r das SecOVID System aufbereiteten ASCII File Diese Verkn pfung kann mit weni gen Mausklicks mit dem SecOVID Administrationstool vorgenommen werden Men punkt Datenbank Match to ACE O Die Konfigurationsdateien IP Adressen shared secrets werden auf allen Authentifikationsclients Fire walls VPN Gateways etc und auf dem ACE Server so angepasst dass die Authentifikationsclients ihre Passwortanfragen an den SecOVID Server senden und dieser als RADIUS Authentifikationsclient f r den ACE Server auftreten kann Ggf wird die RADIUS Schnittstelle des ACE Servers aktiv geschaltet Falls erw nscht kann die Migration der RSA securID Benutzer auf das KOBIL SecOVID System erfolgen ohne einen Eingriff am laufenden RSA ACE Server vorzunehmen Um den SecOVID Server netzwerktechnisch zwi schen die Authentifikationsclients und den ACE Server zu plazieren kann die IP Adresse des SecOVID Servers auf allen Authentifikationsclients eingetragen werden so dass der ACE Serv
47. f r einen Benutzer testuser mit Chipkarte zus tzlich testuser token und oder testuser handy anlegen und diese beiden testuser zuordnen dann wird es die Benutzer testuser handy bzw testuser token im System nicht geben so dass es gleichg ltig ist ob nun die Passw rter von testuser handy auch f r testuser token akzeptiert werden oder umgekehrt Anders sieht die Lage aus wenn Sie es erm glichen wollen dass sich Benutzer mit Ihrem Token mit verschiedenen Benutzernamen am System anmelden k nnen wenn Sie etwa user1 und user2 erlauben wollen sich als Administrator anzumelden Hier ergibt sich zwangsl ufig dass sich entweder useri auch als user2 anmelden kann oder umgekehrt Dies l sst sich nur vermeiden indem Sie eine solche Erlaubnis auf jeweils einen Benutzer beschr nken und an evtl weitere Benutzer zus tzliche Generatoren verteilen f r die der zugeh rige Dummy Benutzername dann im System nicht vorhanden ist Beachten Sie auch die Besonderheiten zur Resynchronisation die unter dem Punkt Benutzer resynchro nisieren erkl rt werden A Bemerkung KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 77 Dieser Men punkt ist nur in der Administratoren Ansicht aktiviert Gruppe e Gruppenverwaltung Hiermit wird definiert welcher Gruppe ein Benutzer angeh rt bzw f r welche Gruppe ein Administrator verantwortlich ist Sie erhalten ein Dialogfenstern in dem angezeigt wird f r welche Benutzer Administratore
48. folgende Hinweise zur Konfiguration 1 Im Normalfall wollen Sie FreeRADIUS als von au en sichtbaren Server konfigurieren dieser sollte also die Standard Ports 1812 f r radius bzw 1813 f r radacct benutzen Tragen Sie dazu in usr local etc raddb radiusd conf Port 1812 ein d h ersetzen Sie die vorhanden Zeile port O durch port 1812 2 W hlen Sie den internen d h den f r die Weiterleitung von FreeRADIUS zu SecOVID benutzten Port z B 1645 Da SecOVID immer den in der Datei etc services eingetragenen Port benutzt m ssen Sie den dortigen Eintrag f r radius also auf 1645 ndern 3 Legen Sie ein Geheimnis f r die Kommunikation zwischen FreeRADIUS und SecOVID fest Tragen Sie das Geheimnis einerseits in der Datei etc SecOvid clients ein z B localhost geheim 4 Konfigurieren Sie die Weiterleitung f r FreeRADIUS indem Sie die Datei usr local etc raddb proxy conf bearbeiten Sie k nnen z B am Ende folgendes anh ngen realm SecOVID type radius authhost localhost 1645 secret geheim Nun k nnen Sie den SecOVID Server und den FreeRADIUS Server starten Zum Testen sollten Sie nun Port und Geheimnis von FreeRADIUS verwenden Die Geheimnisse f r FreeRADIUS werden in usr local etc raddb clients conf konfiguriert Um nun z B nur Accounting mit FreeRADIUS zu behandeln und alle Authentifikationsanfragen an den SecOVID Server weiterzuleiten tragen Sie in der Datei usr local etc raddb users fol
49. haben folgende Bedeutung e 1 Der Benutzer hat den Status Gesperrt e 0 Der Benutzer hat den Status OK e 1 9 Der Benutzer hat n mal ein falsches OTP benutzt e 2 und 3 Der Administrator hat f r den Benutzer die Resynchronisation eingeleitet Da bei der Resynchronisation zwei OTPs angefordert werden ist dieses ein zweistufiger Vorgang wobei die erste Stufe durch 2 die zweite durch 3 angezeigt wird KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 85 show admin login stringlist1 lastname stringlist2 firstname stringlist3 group stringlistg4 Zeigt alle User an die mit den angegebenen Suchkriterien gefunden werden Die unterschiedlichen Suchkriterien werden durch ein logisches ODER verkn pft Neuer Benutzer new_user admin login string1 lastname string2 firstname string3 pin stringf group stringlist Legt einen neuen User oder Administrator mit den angegebenen Daten an Dabei ist die Angabe des Parameters login notwendig Die anderen Parameter sind optional Wenn keine pin angegeben ist wird automatisch eine zuf llige PIN generiert Wenn keine group angegeben ist wird der Benutzer Mitglied der Gruppe n die von diesem Administrator verwaltet werden Legt ein Superadmin einen User ohne diesen Gruppenparameter an wird der Benutzer als Undefined gekennzeichnet Beachten Sie dass in keiner der eingegebenen Zeichenfol gen also weder im Benutzernamen noch im Namen oder Vornamen oder in
50. hhh ii li kkk Il Abbrechen ACE Drucken Hilfe 5 Den automatisch generierten Vorschlag k nnen Sie durch folgende Tastenkombinationen ver ndern L schen Durch Dr cken der Entf Taste werden die selektierten Eintr ge aus der Zuordungstabelle gel scht Ausschneiden und Einf gen Markieren Sie die zu verschiebenden Datens tze dr cken Sie Strg x klicken Sie auf die gew nschte Einf gestelle in der Tabelle und dr cken Sie nun Strg v Vertauschen der Eintr ge Markieren Sie die zu vertauschenden Datens tze dr cken Sie Strg c klicken Sie auf die Stelle in der Tabelle dessen Datens tze mit den markiereten Datens tze vertauscht werden sollen und dr cken Sie nun Strg v 6 Durch Dr cken des Ok Buttons werden die Zuordnungen in der SecOVID Datenbank eingetragen Abbrechen schlie t den Dialog ohne dass eine Zuordnung bernommen wird Durch Dr cken des Drucken Buttons werden alle Zuordnungen in folgender Form ausgedruckt Login aaa bbb ccc ddd Lastname aaa bbb ccc ddd Firstname aaa bbb ccc ddd e Personalisierung vorbereiten Exportiert ebenso wie der Men punkt Datenbank exportieren die selektierten Benutzer in eine Datei Im Gegensatz zum Men punkt Datenbank exportieren werden bei Auswahl dieser Funktion jedoch neue Initialisierungsdaten f r jeden ausgew hlten Benutzer erzeugt Damit kann man an einer geeignete
51. mit korrektem Einmalpasswort wieder Einlass zum System er halten e Ansicht aktualisieren Aktualisieren der angezeigten Daten durch Zugriff auf die Datenbank e Suchen Suchen nach Benutzern in der Datentabelle Bei Anklicken dieses Buttons erscheint das bereits weiter oben beschriebene Fenster in dem die Suchparameter angegeben werden k nnen 3 1 2 6 Sonstiges Weitere Bedienungsmerkmale e Anzeigen von Details zu einem Benutzer und Editieren der Eintr ge Bewegen Sie den Mauszeiger auf den Benutzer zu dem Sie detailliertere Informationen w nschen Halten Sie die rechte Maustaste gedr ckt und ziehen Sie den Mauszeiger auf den jetzt erscheinenden Balken Information oder durch einen Doppelklick auf den Benutzer Daraufhin sehen Sie folgende Informationen zum Benutzer den Benutzernamen editierbar Name und Vorname editierbar weitere Generatoren die PIN die auf die Karte des Benutzers geschrieben wurde bzw beim Anlegen eines Generators auf die Karte geschrieben wird editierbar die bei der Verwendung eines Tokens mit PIN Schutz eingegeben werden muss die als Server PIN verwendet wird die PUK die auf die Karte geschrieben wurde bzw beim Anlegen eines Generators auf die Karte geschrieben wird die Seriennummer des Tokens bzw der Chipkarte der Generator der vom Benutzer zum Erzeugen eines Einmalpasswort verwendeten wird die Gruppe n in der der Benutzer Mitglied ist wann die Karte Token erstellt wurde
52. nach dem negativen Entscheid eines Authentifikationsmoduls im Falle einer Zeile die mit auth required beginnt die folgenden Zeilen abgearbeitet obwohl schon feststeht dass der Benutzer abgelehnt wird Ein An greifer erh lt in diesem Falle aber keine Auskunft dar ber welche Passwortmethode bei der berpr fung zu einem negativen Ergebnis gekommen ist Beachten Sie insbesondere dass es eine relativ einfache Denial of Ser vice Attacke f r den Einmalpasswortmechanismus gibt Geben Sie einem solchen Loginservice so lange falsche Passw rter bis der attackierte User gesperrt ist Daher schlagen wir die berpr fung des statischen Passworts mit der Bedingung auth requisite vor so dass nur ein User der das statische Passwort kennt berhaupt ein Einmalpasswort eingeben kann Das bedeutet dass ein Angreifer der eine Denial of Service Attacke starten kann bereits vollen Zugang zu KAPITEL 2 INSTALLATION 50 einem nur durch Standardmechanismen gesch tzten Netz h tte Detaillierte Informationen zur Bedeutung der Eintr ge finden Sie in der Dokumentation Ihres Betriebssystems unter dem Stichwort PAM Beachten Sie bitte dass Sie in der Konfigurationsdatei etc pam d other das Verhalten von Anwendungen festlegen k nnen zu denen im Verzeichnis etc pam d keine explizite Konfigurationsdatei existiert Ist hier eine Ablehnung und eine Meldung welcher Service die Ablehnung verursachte einprogrammiert so kann man mit diesem
53. nachdem ob sich eine nderung ergab oder nicht 3 1 3 Kommandozeilen Administrationstool Neben dem graphischen Administrationstool gibt es auch ein Kommandozeilentool zur Verwaltung von SecOVID Benutzern SecOVID Tokens und SecOVID Chipkarten Der Einsatz des Kommandozeilentools macht in folgen den Szenarien Sinn e Sollen neben der SecOVID Applikation auf den Chipkarten der Benutzer weitere Applikationen ange legt werden so w nscht sich der Betreiber des Gesamtsystems ein einziges Administrationstool ggf mit GUI f r alle Applikationen Durch das Kommandozeilentool k nnen einfach die spezifischen Kommandos und Daten an den SecOVID Server bzw die SecOVID Datenbank bermittelt werden Somit kann das Kommandozeilentool leicht in die GUI zur Verwaltung aller Chipkartenapplikationen integriert werden e Wird der SecOVID Server auf einem dedizierten Server in einem sicheren Umfeld installiert den man im wesentlichen von anderen Rechnern aus administrieren will dann wird auf diesem Rechner h ufig nicht die graphische Oberfl che X installiert sein Dann hat man aber Probleme eine initiale Admini stratorkarte zu erzeugen bzw im Falle des Verlusts eine neue Administratorkarte auszustellen Mit dem Kommandozeilentool l t sich nun ein neuer Administrator einfach mit dem Kommando etc SecOvid admin SecAdm new_user adminlogin Administrator pin 123456 erzeugen optional k nnen Sie noch Nach und Vornamen angeben Eine neue Karte kann
54. sie unbedingt sicherstellen dass diese PIN ein ausreichend gutes Passwort ist z B indem Sie es mit Hilfe des update Kommandos ndern bevor Sie das generate_softtoken Kommando ausf hren Wie oben erw hnt sollte das Passwort 8 Zeichen lang sein und kein Wort sein dass in einem W rterbuch zu finden ist SoftToken f r Benutzer erzeugen generate_softtoken login string1 gentype string2 add F r den angegebenen Benutzer wird ein SoftToken erzeugt Dieses Softtoken wird in der Datei stringl kst gespeichert Beachten Sie dass die PIN des angegebenen Benutzers die in der Datenbank gespeichert ist benutzt wird um das File zu verschl sseln Aus Sicherheitsgr nden sollten sie sicherstellen dass diese PIN ein ausreichend gutes Passwort ist z B indem Sie es mit Hilfe des update Kommandos ndern bevor Sie das generate_softtoken Kommando ausf hren Wie oben erw hnt sollte das Passwort 8 Zeichen lang sein und kein Wort sein dass in einem W rterbuch zu finden ist Als gentype k nnen Sie entweder SoftToken oder SoftToken SP angeben je nachdem ob sie zus tzlich eine Server PIN verwenden wollen oder nicht defaultm ig wird das Soft Token ohne Server PIN benutzt F r einen Web Server zum Download von SoftToken wird zus tzlich eine Datei access dat generiert in denen Benutzernamen und die PINs dieser Benutzer als Zugriffsparameter f r die Benutzerauthentifikation gespeichert werden Mit dem Parameter add k nnen sie fest
55. werden Benutzer gem Suffix und Filter importiert Dabei werden LDAP User und LDAP Password benutzt um sich gegen ber dem LDAP Server zu authentifizieren F r die detaillierte Erl uterung der einzelnen Para meter verweisen wir auf den Abschnitt Datenbank importieren LDAP in Kapitel B 1 2 4 Beachten Sie insbesondere dass die dort beschriebene Datei Idap conf existieren muss KONFIGURATION Die Konfiguration COM Port f r den Kartenleser IP Adresse und Port der SecOVID Datenbank ist im Konfigurationsfile Prefs cfg im lokalen Verzeichnis abgelegt Diese kann manuell oder mit Hilfe des graphischen Verwaltungstools editiert werden RETURNCODES Das Programm liefert bei jedem Aufruf einen Wert Returncode zur ck der Auskunft ber den Ausgang der veranla ten Aktion gibt Der Returncode 0 hat die Bedeutung Aktion erfolgreich ausgef hrt Alle anderen Returncodes 1 2 zeigen den Mi erfolg der Aktion an und erl utern den Fehler genauer Die Bedeutung des Returncodes wird als textuelle Fehlermeldung nach stdout ausgegeben Es folgt die Liste aller m glichen Returncodes e Aktion erfolgreich ausgef hrt 0 e Keine Verbindung zur Datenbank 1 e Datenbank Server antwortet nicht oder User existiert nicht 2 KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 89 L schen eines Benutzers fehlgeschlagen 3 Benutzer nicht gesperrt 4 Konnte nicht auf die Karte zugreifen keine oder fal
56. wieder entsperren die PUK wir dabei beim Anlegen des Benutzers als zuf llige Folge von 11 alphanumerischen Zeichen gew hlt F r maximalen Komfort auf Seiten der User w hlen Sie die Einstellung kompatibel hiermit wird eine 6 stellige numerische PUK gew hlt die der User mittels seines Kartenterminals selbst eingeben kann um die Karte wieder zu entsperren Dies ist die Default Einstellung Beachten Sie dass auch nach dreimaliger falscher Eingabe der PUK die Karte unwiderruflich unbrauchbar wird F r die PIN k nnen sie zwischen numerischer PIN diese ist immer 6 stellig und kann am SecO VID Reader eingegeben werden und alphanumerischer PIN w hlbarer L nge diese zu verwenden macht nur Sinn wenn sie die Einmalpassw rter stets mittel spezieller Zusatzsoftware wie dem Pro gramm getpwd vgl Kapitel und einem an einen Computer angeschlossenen Chipkartenleser ohne Tastatur berechnen w hlen Die Seite Passwort Generator x Unter Chipkartentyp k nnen Sie ausw hlen ob Sie standardm ig Chipkarten personalisieren wollen die 6 oder 8 stellige Einmalpassw rter erzeugen Beachten Sie jedoch dass sie spezi elle Kartenleser ben tigen um 6 stellige Einmalpassw rter erzeugen zu k nnen Bedenken sie insbesondere dass 6 stellige Passw rter ein h heres Sicherheitsrisiko darstellen und deshalb ins besondere nicht in Verbindung mit h heren Suchtiefen verwendet werden sollten Aktivieren Sie die C
57. 1113 Zeile 3 Falls nicht automatisch nach dem COM Port gesucht werden soll an dem das KOBIL Chipkartenterminal angeschlossen ist so muss hier der korrekte COM Port eingetragen werden In obigem Beispiel ist COM Port 1 angegeben Zeile 4 Der Wert O bedeutet dass beim Starten des Kommandozeilentools nicht automatisch nach einem Chip kartenterminal gesucht wird In diesem Falle muss das Chipkartenterminal an dem in Zeile 3 angegebenen COM Port angeschlossen sein KAPITEL 2 INSTALLATION 27 Zeile 5 Zeile 6 Zeile 7 Zeile 8 Zeile 9 Zeile 10 Zeile 11 Zeile 12 Zeile 13 Zeile 14 Der Wert 1 bedeutet dass beim Starten des Kommandozeilentools automatisch nach einem Chipkarten terminal gesucht wird In diesem Fall wird Zeile 3 ignoriert Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel wird nicht automatisch nach einem Chipkartenterminal gesucht d h wenn der in der Zeile zuvor angegebene Port falsch ist wird das Tool nicht funktionieren Der Wert O bedeutet dass die Chipkarten PIN bei neu anzulegenden Benutzern rein numerisch sein soll nur Ziffern Der Wert 1 bedeutet dass die Chipkarten PIN bei neu anzulegenden Benutzern alphanumerisch sein soll Buchstaben und Ziffern Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel bestehen k nftig zu verwendende Chipkarten PINs nur aus Ziffern Der Wert O bedeutet dass die Chipkarten PUK bei neu anzulegenden Benutz
58. 113 auf die im Arbeitsspeicher re sidierende Datenbasis zu 3 Starten Sie den SecOVID Server Systemsteuerung gt Verwaltung gt Dienste gt SecOVID Server Der SecOVID Server berpr ft beim Starten jedes Mal die G ltigkeit der installierten Lizenzdatei etc SecOvid ovid_licence Das Ergebnis dieser berpr fung finden Sie in der SecOVID Log Datei Das Kommando type etc SecOvid ovid proto k nnte folgendes ausgeben Licence for ovid radius KOBIL Demo Lizenz Users 20 valid till Fri Nov 14 11 00 19 2003 Die installierte Lizenzdatei berechtigt in diesem Beispiel zum Betrieb des SecOVID Servers f r bis zu 20 Benutzer bis zum 14 11 2003 Der letzte Eintrag in der SecOVID Log Datei k nnte aber auch folgender Gestalt sein Licence for ovid radius KOBIL Test Lizenz Users 20 valid till Mon Aug 5 14 55 55 2002 Your licence expired It was valid till Mon Aug 5 14 55 55 2002 Die installierte Lizenzdatei ist in diesem Beispiel zeitlich nicht mehr g ltig Besorgen Sie sich ber Ihren SecOVID H ndler eine g ltige Lizenzdatei und installieren Sie diese siehe unten KAPITEL 2 INSTALLATION 24 4 Falls Sie eine g ltige Lizenzdatei installieren m chten gehen Sie wie folgt vor a Kopieren Sie die g ltige Lizenzdatei ovid_licence ins Installationsverzeichnis b Starten Sie den SecOVID Server erneut Systemsteuerung gt Verwaltung gt Dienste gt SecOVID Server c berzeugen Sie sich davon dass der SecOVID Server l uft
59. Administrationsanfragen tragen Sie in der Datei etc SecOvid db_allow auf dem SecOVID Hauptserver die IP Adresse des Backupser vers ein mirror lt IP Adressen Backupserver gt Die Datei etc SecOvid db_allow k nnte beispielsweise so aussehen allow 127 0 0 1 KAPITEL 2 INSTALLATION 39 mirror 192 168 1 4 allow 192 168 1 113 192 168 1 114 192 168 1 115 In diesem Beispiel werden alle an den Hauptserver gerichteten Authentifikations und Administrationsan fragen auf den Backupserver 192 168 1 4 gespiegelt Administriert werden darf der Hauptserver nur vom lokalen Rechner aus 127 0 0 1 und von den Rechnern mit den IP Adressen 192 168 1 113 192 168 1 114 und 192 168 1 115 e Erlauben Sie den Zugriff auf den Backupserver vom Hauptserver aus F gen Sie hierzu auf dem Backup server in der Datei etc SecOvid db_allow den Eintrag allow lt IP Adresse SecOVID Hauptserver gt hinzu siehe oben e Stoppen Sie den SecOVID D mon secovid auf beiden Rechnern e In den Datenbanken von Haupt und Backupserver m ssen die gleichen Daten vorliegen Existiert bereits eine SecOVID Datenbank Datei auf dem Hauptserver muss diese auf den Backupserver kopiert werden Dazu kopieren Sie auf Rechnern der gleichen Rechnerarchitektur einfach die Datei ovid_data Verwenden Sie unterschiedliche Rechnerarchitekturen etwa eine SUN SPARC und einen PC i86 so starten Sie den SecOVID Server auf dem Hauptserver markieren alle Benutzereintr ge im Hauptserver mit
60. Benutzer zu einer entsprechenden PIN nderung mittels des SecOVID Readers auf Falls die korrekte PUK der Karte in der Datenbank gespeichert ist das ist immer dann der Fall wenn die Karte beim Anlegen der SecOVID Applikation vollkommen leer war k nnen Sie alternativ zun chst die Karten PIN zur cksetzen und dann versuchen die SecOVID Applikation zu l schen e PIN zur cksetzen Auf der SecOVID Chipkarte wird protokolliert wie oft die falsche Karten PIN eingegeben wurde Wenn der entsprechende Z hler Fehlbedienungsz hler eine gewisse Schranke erreicht sperrt sich die Karte KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 75 automatisch Eine Entsperrung verbunden mit einem Neueintragen der PIN ist nur unter Angabe der PUK Personal Unblocking Key m glich Durch Anklicken des genannten Eintrags wird die betreffende PUK aus der Datenbank ausgelesen und die PIN auf die Nummer zur ckgesetzt die f r den betreffenden Benutzer in der Datenbank gespeichert ist Ist f r den Benutzer keine PIN in der Datenbank registriert so erscheint die Aufforderung jetzt eine neue PIN f r die Karte zu definieren Kommen Sie oder der Benutzer dieser Aufforderung bitte nach Selektieren Sie zun chst die Benutzer auf deren Karten Sie die PIN zur cksetzen m chten Klicken Sie dann den genannten Men punkt an Die selektierten Benutzer werden nun der Reihe nach abgearbeitet In einem Fenster sehen Sie jeweils f r welchen Benutze
61. C wird ber SSL abgesichert 3 1 7 1 Vorbereitung f r die Distribution Um diese Techniken einsetzen zu k nnen muss nat rlich ein dementsprechend konfigurierter Server verwendet werden In diesem Fall benutzen wir den Apache Tomcat Server welcher zum einen als ganz normaler WEB Server eingesetzt werden kann zudem aber auch die F higkeit besitzt mit Servlets umzugehen welche wir zur Zugangskontrolle und Weiterleitung der Benutzer verwenden Haben Sie die Midlets nach der in Abschnitt BT beschriebenen Vorgehensweise erstellt m ssen die Verzeichnisse und die Datei access dat auf dem Tomcat Server abgelegt werden Die Datei access dat wurde beim Erstellen der SecOVID SoftToken Applikationen au tomatisch erzeugt und enth lt die Benutzernamen und die zugeh rigen Passworte Sie wird im Verzeichnis TOMCAT_HOME webapps examples WEB INF classes Kobil abgelegt Dort befindet sich ebenfalls eine Da tei namens user dat in der automatisch vom Servlet jeder User eingetragen wird der sein Midlet bereits herunter geladen hat Die Benutzerverzeichnisse mit den Midlets werden in TOMCAT HOME webapps ROOT release abgelegt 3 1 7 2 Download per Mobiltelefon Der Benutzer eines Handys muss nun eine WAP Verbindung zum Server aufbauen indem er die passende URL eingibt Bsp https wap kobil de index wml Die Einstellungen um eine WAP Verbindung aufzubauen wer den durch den Handy Provider vorgegeben Normalerweise sind Handys bereits durch den Prov
62. DP_ HOME Bsp C Programme java j2me midp2 0fcs d PATH Bsp PATH JAVA_HOMEY bin ANT_HOMEY bin MIDP_HOME bin KAPITEL 2 INSTALLATION 30 8 Benutzen Sie das Skript start bat f r einen ersten Funktionstest nachdem Sie die Installationspfade in der Datei buildconfig properties angepasst haben W hrend dieses Tests wird ein Testtoken verwendet welches unter lt IhrPfad gt MidletGenerator FirstTokens zu finden ist Die PIN zu diesem Testtoken lautet 123456 F r die Erstellung realer Benutzerapplikationen stehen Ihnen zwei M glichkeiten zur Auswahl lesen Sie dazu Abschnitt B 1 6 a Erstellen der Anwendung f r einen einzelnen Benutzer b Erstellen der Anwendung f r mehrere Benutzer 2 1 6 Web Interface zum ndern der Server PIN Falls Sie SecOVID Token mit Server PIN verwenden k nnen Benutzer ber dieses Web Interface ihre Server PIN ndern Wenn Sie noch keinen Apache Webserver auf Ihrem System installiert haben folgen Sie den Anwei sung Installation eines neuen Apache Webservers Haben Sie bereits einen Apache Webserver lesen Sie die Installationsanweisungen unter Punkt 2 1 Installation eines neuen Apache Webservers Starten Sie das Installationsskript UNIX apache_install sh Die Module f r das ndern der Server PIN werden automatisch an die richtige Stelle kopiert Sie m ssen nur noch die IP Adresse und das shared secret in den Perl Modulen anpassen Bitte lesen Sie hierzu die Datei Re
63. Dieser Men punkt dient zum automatischen Generieren von Benutzern Von Interesse ist dieser Men punkt wenn Sie viele Karten anonym personalisieren m chten und erst sp ter etwa an einer separaten Ausga bestelle die Zuordnung von Karte zu Benutzern vornehmen Sie k nnen z B die Benutzer Test0000 bis Test1500 erzeugen indem Sie als Benutzer ID Test angeben und f r die Zahlen a und b 0 und 1500 eingeben Durch das Markieren einer oder mehrerer Gruppen in der Auswahlbox wird den Benut zern die selektierte n Gruppe n zugewiesen Die Auswahl der Gruppen beschr nkt sich die f r die der Administrator zust ndig ist Wenn Sie autom PIN selektieren wird f r jeden Benutzer automatisch eine zuf llige PIN erzeugt Statt dessen k nnen Sie jetzt f r jeden Benutzer die gleiche PIN definieren indem Sie das H kchen in autom PIN entfernen Ferner k nnen Sie durch Entfernen des H kchens in autom PIN die Karten PINs der Benutzer erst im letzten m glichen Moment definieren lassen Sie hierzu das PIN Feld leer Beachten Sie bei Verwendung dieses Men punkts insbesondere dass es nicht m glich ist mehr Benutzer zu erzeugen als Ihre Lizenz gestattet Benutzer sperren Hiermit sperren Sie die selektierten Benutzer und der Status des Benutzers wechselt auf 1 Das bedeu tet dass die betreffenden User bis zu ihrer Entsperrung keinen Einlass ins System erhalten Benutzer entsperren Hiermit
64. Einf gestelle in der Tabelle und dr cken Sie nun Strg v Vertauschen der Eintr ge Markieren Sie die zu vertauschenden Datens tze dr cken Sie Strg c klicken Sie auf die Stelle in der Tabelle dessen Datens tze mit den markiereten Datens tze vertauscht werden sollen und dr cken Sie nun Strg v 6 Durch dr cken des Ok Buttons werden die Zuordnungen in der SecOVID Datenbank eingetragen Abbrechen schlie t den Dialog ohne dass eine Zuordnung bernommen wird Durch dr cken des Drucken Buttons werden alle Zuordnungen in folgender Form ausgedruckt Login Lastname Firstname OTP Generator DTP Type aaa aaa aaa 000000001 Token Server PIN bbb bbb bbb 000000002 Token Server PIN ccc ccc ccc 000000003 Token Server PIN ddd ddd ddd 000000004 Token Server PIN e Match to ACE Mit diesem Men punkt k nnen Sie noch anonymen freien SecOVID Daten Chipkarten oder Token Daten Eintr ge aus der Datenbank des ACE Servers zuordnen Sie ben tigen diesen Men punkt f r eine komfortable Migration von Benutzern des RSA ACE Server Systems seculD Tokens auf das SecOVID System Hierzu haben Sie jedem zu migrierenden Benutzer ein freies SecOVID Tokendaten oder Chip kartendaten zuzuweisen Der Benutzer muss sein SecOVID Token erst benutzen wenn das RSA securTD Token nicht mehr benutzbar ist Vorgehensweise zur Migration von Benutzern 1 Selektieren Sie die noch anonymen freien SecOVID Dat
65. Einmalpasswortgenerator auf einer Karte gel scht werden soll Sie k nnen jeweils durch Anklicken des OK Buttons den L schvor gang f r den angezeigten Benutzer akzeptieren durch Anklicken von berspringen auf das L schen eines Einmalpasswortgenerators f r den angezeigten Benutzer verzichten und zum n chsten selektierten Benutzer bergehen und durch Anklicken von Abbrechen den gesamten Vorgang des L schens von Ein malpasswortgeneratoren abbrechen Vor dem Akzeptieren des L schen eines Einmalpasswortgenerators auf einer Karte w hlen Sie unter Passwortgenerator jeweils die Nummer des Passwortgenerators aus der auf der Karte gel scht werden soll Sie werden schlie lich zum Einlegen der Chipkarte des betreffenden Benutzers in das Chipkarten terminal Terminal der Firma KOBIL aufgefordert Zum L schen muss die PIN der Karte mit dem in der Datenbank f r den Benutzer registrierten Wert bereinstimmen Wurde vorab keine PIN definiert ist also f r den Benutzer keine PIN in der Datenbank registriert so m ssen Sie oder der Benutzer jetzt die Karten PIN eingeben Falls die PIN Werte nicht bereinstimmen fordern Sie den Benutzer zu ei ner entsprechenden PIN nderung mittels des SecOVID Readers Plus auf Falls die korrekte PUK der Karte in der Datenbank gespeichert ist das ist immer dann der Fall wenn die Karte beim Anlegen des betreffenden Passwortgenerators vollkommen leer war k nnen Sie alternativ zun chst die
66. Feature insbesondere herausfinden wie der genaue Name einer Konfigurationsdatei lauten sollte Dieser ist in der Praxis gelegentlich nicht so klar ersichtlich wie er das eigentlich sein sollte Zum Einrichten des SecOV ID Einmalpasswortschutzes in anderen Anwendungen editieren Sie in analoger Weise die f r die Anwendung relevante Konfigurationsdatei Beispielsweise editieren Sie die Datei etc pam d login f r die Anwendungen login telnet und rlogin selbiges wird wenn der erste Authentifikationsversuch fehl schlug h ufig an ein Standard Login bergeben f r das eben nicht mehr die Konfigurationsdatei rlogin zust ndig ist Konfiguration unter Solaris In der PAM Konfigurationsdatei etc pam conf auf Ihrem Solaris System wird das Authentifikationsverhalten einer bestimmten Anwendung im allgemeinen in den Zeilen definiert die mit dem Namen der entsprechenden Client Anwendung beginnt Beachten Sie jedoch dass die Zeilen die mit login beginnen f r mehrere Anwendungen ma geblich sind n mlich lokales Konsolen Login telnet und teilweise rlogin welches je nach Konfiguration nach einem ersten fehlgeschlagenen Anmeldungsversuch eine Verbindung mit dem Standard Login herstellt Konsultieren Sie hierzu auch die Dokumentation Ihres Betriebssystems unter dem Stichwort PAM z B liefert man pam conf hilfreiche Informationen eine gute Zusammenfassung ist auch von http www redhat com linux info pam erh ltlich Nehmen wir an k nftig soll
67. IP Adresse des Hauptservers Wenn der ehemals als Hauptserver fungierende Rechner anschlie end wieder ans Netz kommt und bootet merkt er dass die Rolle des Hauptservers bereits vergeben ist und nimmt nun normalerweise seinerseits die Rolle des Backupservers ein siehe oben e Der secbak D mon auf dem Backupserver bei einem Reboot Beim Booten f hrt der als Backupserver vorgesehene Rechner unter einer anderen IP Adresse Dummy Adresse hoch unter der als FirstIP in der Datei etc SecOvid secbak conf definierten IP Adresse und der secbak D mon wird automatisch gestartet Das Verhalten des secbak D mons geht aus obi ger Beschreibung hervor Der secbak D mon kontrolliert in einer Orientierungsphase ob die Rolle des SecOVID Hauptservers bereits besetzt ist d h ob die IP Adresse OvidIP bereits besetzt ist Details zu diesem Test siehe Erkl rungen zu PingMode und CheckPort in Abschnitt 2 2 3 Falls ja pr ft der Rechner ob er die Rolle des Backupservers bernehmen darf d h ob die IP Adresse BackupIP noch nicht vergeben ist Falls diese Adresse schon vergeben ist liegt eine Fehlkonfiguration vor Der Rechner bleibt in diesem Fall bei seiner Adresse FirstIP er nimmt also weder die Rolle des Haupts ervers noch die Rolle des Backupservers ein und sendet eine Mail mit einer entsprechenden Warnung an den SecOVID Administrator Wenn die Rolle des Backupservers noch nicht vergeben ist diese Situation wird jetzt normalerweise vorliegen nim
68. IP Adressen der Rechner von denen auf die SecOVID Datenbank zugegriffen werden darf andererseits die IP Adressen der Rechner auf denen die SecOVID Datenbank gespiegelt werden soll Die beiden Schl sselw rter allow und mirror am Zeilenanfang zeigen an ob von den folgenden IP Adressen aus auf die Datenbank zugegriffen werden darf oder ob die Da tenbank auf diese Rechner gespiegelt werden soll Verschiedene IP Adressen werden dabei jeweils durch Leerzeichen getrennt Aus Gr nden der Kompatibilit t zu fr heren Versionen werden Zeilen die mit kei nem dieser beiden Schl sselw rter anfangen so behandelt als st nde am Zeilenanfang ein allow Damit k nnte eine solche Datei z B wie folgt aussehen allow 127 0 0 1 mirror 192 168 1 4 192 168 1 5 allow 192 168 1 113 192 168 1 114 192 168 1 115 etc SecOvid clients enth lt die IP Adressen und symmetrischen Geheimnisse shared secrets der RADIUS Clients bzw RADIUS Server die eine Anfrage an den vorliegenden Server stellen die mit dem SecOVID Server kommunizieren d rfen Das betreffende Geheimnis m ssen Sie jeweils auch in der entsprechenden Konfigurationsdatei auf dem Rechner des RADIUS Clients eintragen Die Geheimnisse bis zu 15 alphanumerische Zeichen werden dazu verwendet die gesamte Kommunikation zwischen SecOVID Server und RADIUS Client zu verschl sseln Kommentaren stellen Sie bitte das Zeichen voran Auf Grund des sicherheitssensitiven Inhalts der Datei sollte
69. IhrPfad gt MidletGenerator FirstTokens zu finden ist Die PIN zu diesem Testtoken lautet 123456 F r die Erstellung realer Benutzerapplikationen stehen Ihnen zwei M glichkeiten zur Auswahl lesen Sie dazu Abschnitt B 1 6 a Erstellen der Anwendung f r einen einzelnen Benutzer b Erstellen der Anwendung f r mehrere Benutzer Installation unter Windows Systemen Zur Installation des SecOVID Midlet Generators unter Win32 Systemen gehen Sie wie folgt vor 1 2 Falls noch nicht geschehen loggen Sie sich als Administrator ein Starten Sie das Setup des Java SDKs WIN32 Softtoken jdk 1_5_0_06 windows i586 p exe Entpacken Sie das Verzeichnis WIN32 Softtoken MidletGenerator_Env apache ant 1 6 5 bin zip unter dem Pfad unter dem Sie auch das Java SDK installiert haben Bsp C Programme java Kopieren Sie die Datei WIN32 Softtoken MidletGenerator_Env ant contrib jar ins lib Verzeichnis der ANT Installation Bsp C Programme Java apache ant 1 6 5 lib Entpacken Sie das Verzeichnis WIN32 Softtoken MidletGenerator_Env j2me zip unter dem Pfad un ter dem Sie auch das Java SDK installiert haben Bsp C Programme java Entpacken Sie das Verzeichnis WIN32 Softtoken MidletGenerator zip an eine beliebige Stelle Bsp C Programme KOBIL Systens Setzen Sie folgende Umgebungsvariablen a JAVA_HOME Bsp C Programme java jdk 1_5_0_06 b ANT_HOME Bsp C Programme java apache ant 1 6 5 c MI
70. Karten PIN zur cksetzen und dann versuchen den Passwortgenerator zu l schen e Applikation l schen L schen der gesamten SecOVID Applikation mit allen SecOVID Einmalpasswortgeneratoren inkl PIN und PUK von der SecOVID Chipkarte Selektieren Sie zun chst die Benutzer auf deren Karten Sie alle Einmalpasswortgeneratoren l schen wol len Klicken Sie dann den genannten Men punkt an Die selektierten Benutzer werden nun der Reihe nach abgearbeitet In einem Fenster sehen Sie jeweils f r welchen Benutzer nun alle Einmalpasswortge neratoren auf einer Karte gel scht werden sollen Sie k nnen jeweils durch Anklicken des OK Buttons den L schvorgang f r den angezeigten Benutzer akzeptieren durch Anklicken von berspringen auf das L schen aller Einmalpasswortgeneratoren f r den angezeigten Benutzer verzichten und zum n chsten se lektierten Benutzer bergehen und durch Anklicken von Abbrechen den gesamten Vorgang des L schens von SecOVID Applikationen abbrechen Sie werden schlie lich zum Einlegen der zu l schenden Chipkar ten in das Chipkartenterminal Terminal der Firma KOBIL aufgefordert Zum L schen muss die PIN der Karte mit dem in der Datenbank f r den Benutzer registrierten Wert bereinstimmen Wurde vorab keine PIN definiert ist also f r den Benutzer keine PIN in der Datenbank registriert so m ssen Sie oder der Benutzer jetzt die Karten PIN eingeben Falls die Werte nicht bereinstimmen fordern Sie den
71. Laufwerk e freier USB Port zum Anschluss des Chipkartenterminals e 32 MB RAM zus tzlich 660 Bytes pro Benutzer z B 1 MB f r 1 500 Benutzer 10 MB f r 15 000 Benutzer e 20 MB freier Plattenplatz zus tzlich mind 660 Bytes pro Benutzer 800 Bytes empfohlen z B 1 MB f r 1 500 Benutzer 10 MB f r 15 000 Benutzer e funktionsf hige TCP IP Netzwerkanbindung Voraussetzungen f r die Installation und Inbetriebnahme der SecOVID Administrationstools GUI Version und Kommandozeilentool e Eine der folgenden Plattformen PC i86 SuSE Linux bzw openSUSE 8 3 oder neuer PC i86 Windows 2000 ab SP3 XP ab SP1 2004 Server oder Vista SUN SPARC Solaris 9 oder neuer e CD ROM Laufwerk e freier USB Port zum Anschluss des Chipkartenterminals e 32 MB RAM e 15 MB freier Plattenplatz e funktionsf hige TCP IP Netzwerkanbindung e F r die GUI Version des SecOVID Administrationstools unter UNIX Systemen zus tzlich Die graphische Oberfl che X muss laufen Im folgenden bezeichnet UNIX eines der Verzeichnisse linux oder solaris je nachdem unter welchem der genannten Betriebssysteme Sie den SecOVID Server bzw die SecOVID Admini strationstools installieren m chten KAPITEL 2 INSTALLATION 21 2 1 2 Installation des SecOVID Servers 2 1 2 1 Standard Installation unter UNIX Systemen Wenn Sie eine bereits vorhandene Installation updaten wollen erstellen Sie zun chst ein Backup Ihrer Daten und gehen dann genauso wi
72. ND BEDIENUNG IM LAUFENDEN BETRIEB 111 e Das 4 Feld ist ebenfalls ein Schalter mit den Werten 0 oder 1 Steht er auf 1 ist es dem Benutzer gestattet Einmalpassw rter statt Zertifikate zur Authentifizierung zu verwenden Steht der Eintrag in diesem Feld auf 0 so kann der Benutzer sich nicht mit Einmalpassw rtern authentifizieren Die Variable SecOvidAllowSSLClients enth lt die Liste aller Benutzer die auf das Verzeichnis zugreifen k nnen Hier k nnen regul re Ausdr cke verwendet werden Im Beispiel gestattet der Eintrag tak den Benut zern in den Zeilen tak C DE ST Rheinland Pfalz L Worms 0 Kobi1l 0U development CN Markus Tak 1 0 tak admin C DE ST Rheinland Pfalz L Worms 0 www 0U administration CN Markus Tak 0 1 den Zugang Bei Nicht Verwendung dieser Variablen d rfen alle Benutzer aus der mittels SecOvidSSLClientsFile spezifizierten Datei hier etc SecOvid sslclientsfile auf das Verzeichnis zugreifen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 112 3 2 7 UNIX Schutz Benutzung der Arbeitsplatzrechner Nach den in Abschnitt 2 2 8 beschriebenen Eingriffen in einen UNIX Host m ssen Endanwender die sich ge gen ber dem UNIX Host authentifizieren wollen z B beim lokalen Login oder beim telnet Username und Passw rter vorlegen Die Art der Passw rter die zum erfolgreichen Einloggen vom Endanwender angegeben werden m ssen h ngt von der Konfiguration des UNIX Hostes ab siehe Abschnitt 2 3 9 Gee
73. OBIL Chipkarten terminal angeschlossen haben Tip Probieren Sie im Zweifelsfall die verschiedenen M glichkeiten aus indem Sie jeweils den OK Button anklicken Haben Sie den falschen COM Port eingestellt so erscheint eine entsprechende Warnung sofern Sie die entsprechende Checkbox aktiviert ha ben s u Die Checkbox Beim Start automatisch suchen k nnen Sie aktivieren wenn Sie w nschen dass das Admintool beim Starten automatisch nach dem Kartenterminal sucht und das erste Kartenterminal benutzt das gefunden wird Aktivieren Sie diese Box nicht so m ssen Sie manuell den korrekten COM Port eintragen Dieser Wert wird beim Verlassen gespeichert Dies kann etwa dann w nschenswert sein wenn sie mehrere COM Ports haben an denen ein Ger t angeschlossen ist Die Seite PIN PUK Hier k nnen Sie die Default Einstellungen von PIN und PUK f r die Karten vorgeben F r die PUK stehen die Einstellungen kompatibel sicher oder keine zur Verf gung Wenn Sie maximale Sicherheit w nschen w hlen Sie hier die Einstellung keine allerdings muss dann eine Chipkarte deren PIN vom User vergessen oder dreimal falsch eingegeben wurde weggeworfen werden Wenn Sie damit rechnen m ssen dass dieser Fall gelegentlich auftritt und Sie diese Kosten vermeiden wollen ist sicher eine gute Wahl hier k nnen Sie mit einem geeigneten Programm z B dem GUI Admintool oder auch dem Kommandozeilen Admintool die Karte
74. ONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 104 testuserl Password sthX4u9K Service Type Login User Login Service Telnet Login Host 192 168 88 145 DEFAULT Password PROXY DTC Auth Server 192 168 88 164 DTC Auth Secret wreJG67y tezw3 Angenommen dem RADIUS Server w rde eine telnet Passwortanfrage mit dem Benutzernamen testuserl vorgelegt Dann w rde gepr ft werden ob das vorgelegte Passwort mit der hier gespeicherten Zeichenkette sthX4u9K bereinstimmt Wird hingegen eine Passwortanfrage mit dem Benutzernamen testuser2 an den RADIUS Server gerichtet und es existiert kein expliziter Eintrag f r testuser2 so kommt der DEFAULT Eintrag zur Anwendung Dies bedeutet dass die vorgelegte Anfrage an den Authentifikationsserver mit der Adresse 192 168 88 164 weitergeleitet wird Dabei werden die zu bertragenden Datenpakete gem RADIUS Protokoll mit dem shared secret wreJG67y tezw3 verschl sselt Die angegebene Adresse k nnte z B die des SecOVID Servers sein Der SecOVID Server w rde die Anfrage entschl sseln das mitgelieferte Passwort als Einmalpasswort interpretieren und dessen G ltigkeit berpr fen Anschlie end w rde er das Ergebnis der berpr fung verschl sselt dem anfragenden RADIUS Server mitteilen Der RADIUS Server w rde die vom SecOVID Server erhaltene Antwort mit dem shared secret entschl sseln und sich dann gem seiner Konfigu ration verhalten e Konfiguration Ihres SecOVID Servers aus der
75. OVID Server Schlie lich liefert Ihnen der RADIUS Client einen Return Code zur ck welchen er vom SecOVID Server erhal ten hat Dieser Return Code kodiert die Antwort des SecOVID Servers 1 accept 0 reject 1 11 spezifischer Fehler Es wird ebenfalls erl utert wie propriet re Java Anwendungen an das SecOVID System angebunden werden Starke Authentifikation f r SAP R 3 Durch die Anbindung von SAP R 3 k nnen sich Benutzer mit SecOVID Einmalpassw rtern ber die SAP eigene Benutzeroberfl che SAPGUI an SAP R 3 anmelden Alle zwischen SAPGUI und SAP R 3 Server ausgetauschten Daten werden verschl sselt Triple DES 168 Bit Benutzer k nnen wahlweise ber Einmal passw rter oder unter Verwendung zertifikatsbasierter Public Key Technologie Produkt KOBIL Smart Key authentifiziert werden Bei Verwendung mehrerer SAP R 3 Server ist nur ein einmaliges Logon notwendig Sin gle Sign On 1 7 Sicherheit des SecOVID Systems SecOVID Einmalpassw rter bieten eine viel st rkere Authentifikation als normale Passw rter Somit schlie t SecOVID die gr te Sicherheitsl cke in heutigen Internet oder Netzwerkapplikationen Die folgenden Angriffe bringen einem Angreifer auf SecOVID in der Praxis keinen Erfolg bzw werden unterbunden Entsprechen de Angriffe auf Systeme die auf normale Passw rter setzen verlaufen hingegen in der Regel erfolgreich und kompromittieren somit die Sicherheit des Systems e Eine Replay Attacke d h da
76. SecOVID Authentifikationssystem Installation Konfiguration und Benutzung Version 4 1 2 April 2010 Inhaltsverzeichnis 3 3 3 5 hipkarte und SecOVID Reader 5 6 6 6 6 9 9 5 Authentifikation Autorisierung und Accounting oaoa aa Emm 10 a AAA ga 12 PA Be a de dee Gran ae in a a a a res 12 1 7 Sicherheit des SecOVID Systemg 2 222 om a 14 2 Installationl 16 2 1 sSecUVID serversysteml sa 2 2 2 2200 mon ren 20 P I nstallationsvoraussetzungen 2 222 a e 20 ee ee ee a ee 21 DT3 Installation der SecOVID Administrationstools INHALTSVERZEICHNIS 2 2 3 10 Installation eines RSA Clients XP 2003 RAS 3 2 6 Konfiguration des Apache Webservers 22 2 222mm nn 106 3 UNIX B g der Arb platzrechner 2222 2 Coon 112 3 2 8 Konfiguration eines RSA Clients 2 222 2 22 nun nn 112 B Das GetPWD Programmi aa ca coa dadada a nn 112 BIT A Solaris aoa a 112 SENER e E E EEE E L E T E E a E E E E ee Dee 112 4 Deinstallationl 114 116 ETT AAA EINEN 116 5 Berechtigungsnachweig 2 2 2 20 m nn nenn 117 ee N add 117 5 4 ew hrleistung 2 Saanaa a RRA A RA a a a a a RA A aa 117 5 Haffungsbeschr nkung sa s e goa 2222 4 a a a a dara 117 A te i a s e 1 2 2 a aaa a aY Ra ee 118 Kapitel 1 Produktbeschreibung KOBIL SecOVID 1 1 Einleitung Das Problem Unsichere Passw rter In vielen IT und Internet Anwendungen ist es n tig dass die tats chliche Identit
77. SecOVID Servers an das SecOVID Admintool undefinierter Port durchlassen 4 Test mit den Benutzern von SecOVID Chipkarten a Legen Sie mit dem Administrationstool einen SecOVID Benutzer an siehe Abschnitt B 1 2 b Erzeugen Sie f r diesen Benutzer eine SecOVID Chipkarte siehe Abschnitt B 1 2 c Testen Sie mit den im folgenden kurz beschriebenen Testprogrammen ob e g ltige Einmalpassw rter des registrierten Benutzers genau einmal akzeptiert ansonsten abge lehnt werden e falsche Einmalpassw rter von registrierten Benutzern abgelehnt werden e Einmalpassw rter von nicht registrierten oder vor bergehend gesperrten Benutzern abgelehnt werden 5 Test mit den Benutzern von SecOVID Tokens a Falls Sie von Ihrem H ndler ein SecOVID Token mit zugeh rigem Tokendatensatz auf Datentr ger Diskette erhalten haben importieren Sie den entsprechenden Tokendatensatz ber den Men punkt Token gt Token importieren In einer Teststellung liegen die Tokendatens tze unverschl sselt auf dem Datentr ger vor w hrend Sie nach Abschluss eines Kaufvertrages in der Regel einen Daten tr ger mit RSA verschl sselten 1024 Bit Tokendatens tzen erhalten Im letzteren Fall werden Sie beim Importieren der Datens tze dazu aufgefordert die zum Entschl sseln der Datens tze geeigne te Chipkarte in das Chipkartenterminal einzulegen und die richtige Karten PIN einzugeben Diese zum Entschl sseln notwendige Chipkarte erh
78. Sie den geheimen Soft Token Datensatz Ab diesem Moment ist der PDA einsatzbereit und kann unter Angabe der Benutzer PIN OTPs generieren und anzeigen 3 1 7 5 Installation des Tomcat Servers Auf Ihrer Installations CD finden Sie die Datei UNIX Softtoken install _Tomcat sh Beim Aufruf dieses Skriptes wird zun chst das J2SDK1 4 installiert welches sich dann im Verzeichnis usr java befindet Danach wird jakarta tomcat 4 1 24 nach usr local kopiert In diesem Verzeichnis gibt es eine Datei jakarta tomcat 4 1 24 bin catalina sh in der die JAVA_HOME Variable gesetzt ist Wurde das J2SDK NICHT nach usr java installiert ist dieser Eintrag dort zu ndern Mit dem Befehl usr local jakarta tomcat 4 1 24 bin startup sh kann der Server gestartet werden Dabei ist darauf zu achten dass der SSL Port 443 von keiner anderen An wendung bereits verwendet wird Wenn Sie einen Testbetrieb im ungesicherten Modus durchlaufen m chten muss zus tzlich der http Standard Port 80 frei sein Sofern Sie noch keinen Keystore erstellt haben wird der Server nicht ordnungsgem laufen Um diesen zu erstellen k nnen Sie auf das im Lieferumfang befindliche Skript keystore sh zur ckgreifen welches mittels keytool einen neuen Keystore erstellt den erforderlichen Server Request erzeugt und sp ter den Keystore f r den Einsatz im Tomcat Server konfiguriert Haben Sie den Server Request von einer anerkannten CA zertifizieren lassen bekommen Sie ein neues Zertifikat
79. UNIX install sh von Ihrer SecOVID CD KAPITEL 2 INSTALLATION 45 2 Sorgen Sie f r Redundanz der SecOVID Benutzerdaten indem Sie auf dem Hauptserver entspre chende mirror Eintr ge setzen und die Datei ovidcomm key kopieren so dass kiinftig alle an den Hauptserver gerichteten Passwort und Administrationsanfragen auf den Backupserver gespiegelt werden siehe Abschnitt 3 Beenden Sie die SecOVID D mons secovid auf dem designierten Haupt und dem designierten Backupserver 4 Starten Sie dann die SecOVID D mons erneut auf beiden Rechnern Strategie 1 Hochverf gbarkeit Clients kennen Backupserver Rollenwechsel aber kein IP Wechsel Wir nehmen an Sie wollen Ihr SecOVID System wie folgt konfigurieren Sie m chten die SecOVID Benutzerdaten redundant auf einem Backupserver halten Zudem benennen Sie in allen SecOVID Clients z B Router Firewalls den Backupserver an den Passwortanfragen gesendet werden f r den Fall dass der Hauptserver keine Antwort liefert Der Backupserver soll ebenso wie der Hauptservers alle Anfragen beantworten k nnen ohne dazu seine IP Adresse wechseln zu m ssen Um die geschilderte Situation zu realisieren gehen Sie wie folgt vor 1 Installieren Sie falls noch nicht geschehen den SecOVID D mon secovid auf den beiden Rechnern die Hauptserver bzw Backupserver werden sollen Hierzu verwenden Sie das Skript UNIX install sh von Ihrer SecOVID CD 2 Sorgen Sie f r Redundanz der SecOVID Benutz
80. VID Midlet Generator dient dazu diese Applikationen zu personalisieren Die Inbetriebnahme dieses Tools wird in den folgenden Abschnitten erkl utert Sollen PDAs mit den Betriebssystemen Windows CE bzw Pocket PC verwendet werden so k nnen Sie die nachfolgenden Abschnitte berspringen und direkt zu Kapitel B 1 7 4 gehen KAPITEL 2 INSTALLATION 29 Installation unter UNIX Systemen Zur Installation des SecOVID Midlet Generators gehen Sie unter UNIX Systemen wie folgt vor l Falls noch nicht geschehen loggen Sie sich als root ein und mounten Sie die Installations CD so dass Programme auf der CD ROM ausf hrbar sind Starten Sie das Skript UNIX Softtoken install_j2me sh von der CD ROM Beim Ausf hren dieses Skriptes wird das J2ME Entwicklungspaket bestehend aus JDK1 5 Java Development Kit v1 5 CLDC Connected Limited Device Configuration v1 0 MIDP Mobile Information Device Profile v2 0 und Apache Ant installiert Anschlie end entpacken Sie die Datei namens UNIX Softtoken MidletGenerator tgz in ein Verzeichnis Ihrer Wahl Solaris Verzeichnis ist bereits entpackt und muss nur an eine beliebige Stelle kopiert werden In diesem Verzeichnis liegen die ben tigten Komponenten zur Midleterstellung Benutzen Sie das Skript start sh f r einen ersten Funktionstest nachdem Sie die Installationspfade in der Datei buildconfig properties angepasst haben W hrend dieses Tests wird ein Testtoken verwendet welches unter lt
81. Zugang zum lokalen Netzwerk erhalten sollen als Passwortme thode RADIUS ein Tragen Sie als RADIUS Server in Ihrer Firewall die IP Adresse Ihres RADIUS Servers ein Tragen Sie ein shared secret f r den RADIUS Server ein e Konfiguration Ihres RADIUS Servers siehe Handbuch zu Ihrem RADIUS Server Tragen Sie die IP Adresse der Firewall als RADIUS Client ein Tragen Sie das shared secret f r die Firewall ein Tragen Sie Ihre Endbenutzer in etc raddb users ein Definieren Sie hier insbesondere die f r den jeweiligen Benutzer anzuwendende Passwortmethode bzw im Falle dass ein anderer Rechner SecOVID Server ber die G ltigkeit des Passwortes entscheiden soll die IP Adresse dieses Rechners SecOVID Server sowie ein shared secret f r diesen Rechner Es ist normalerweise nicht notwendig diesen Rechner SecOVID Server mit den gleichen Parametern in der Datei etc raddb clients zu registrieren Im Falle des SecOVID Servers k nnte die Datei etc raddb users wie unten an gegeben aussehen andere RADIUS Server erwarten z B einen Verweis auf einen in einer separaten Konfigurationsdatei oder in einem separaten Abschnitt definierten Proxy hier m ssen Sie die Do kumentation Ihres RADIUS Servers beachten Starten Sie den RADIUS Server z B mit dem Kommando etc raddb bin radiusd Die Datei etc raddb users k nnte beispielsweise auf einem SecOVID Server folgende Eintr ge besitzen KAPITEL 3 INITIALE K
82. adme txt im Verzeichnis UNIX apache 2 Installation bei einem bereits existierenden Apache Webserver Entpacken Sie das serverpin_package tar Paket aus dem Verzeichnis UNIX serverpin_web und ko pieren Sie die Daten aus dem cgi bin Verzeichnis in das cgi bin Verzeichnis die Daten aus dem htdocs Verzeichnis in das htdocs Verzeichnis Ihres Apache Servers Abschlie end m ssen Sie die IP Adresse und das shared secret in den Perl Modulen anpassen Bitte lesen Sie hierzu die Datei Readme txt im Ver zeichnis UNIX apache Sie k nnen das Web Interface unter der folgenden URL nutzen https lt IP Adresse Apache Server gt 8443 StartSeite shtml 2 1 7 Erster Funktionstest Sie haben nun den SecOVID Server sowie die SecOVID Administrationstools auf dem Rechner des SecOVID Servers installiert Wir empfehlen an dieser Stelle einen ersten Funktionstest vorzunehmen Arbeiten Sie dabei folgende Punkte in der angegebenen Reihenfolge ab 1 Starten Sie den SecOVID Server etc SecOvid secovid sh Unix bzw Systemsteuerung gt Verwaltung gt Dienste gt SecOVID Server Win32 2 Starten Sie das SecOVID Administrationstool GUI auf dem Rechner des SecOVID Servers etc SecOvid SecOvid_admin sh amp Unix bzw Programme gt KOBIL Systems gt SecOVID admintools gt WxOVID Win32 3 berpr fen der Einstellungen berpr fen Sie unter Programm gt Konfiguration die Einstellungen f r den SecOVID Server Datenbank IP und Datenbank P
83. allation und Konfiguration der RAS Clients Zur Installation und Konfiguration der blichen RAS Client Software und des Modems bei den Endanwendern konsultieren Sie die Dokumentation von Microsoft bzw die der Modems Beachten Sie dass Sie die Clients wie blich zu installieren und zu konfigurieren haben da die Benutzung des SecOVID Servers f r die Clientsoftwa re transparent ist d h die Clientsoftware wei nichts dar ber dass ihre Anfragen vom Windows Server zum SecOVID Server weitergeleitet werden 3 2 6 Konfiguration des Apache Webservers 3 2 6 1 Einleitende Erl uterungen Falls Sie den SecOVID Einmalpasswortmechanismus verwenden wollen um Inhalte Ihres Apache Webservers oder Microsoft IIS nur den bei Ihnen registrierten SecOVID Benutzern verf gbar zu machen so haben Sie f r den Webserver ein passendes Authentifikationsmodul zu installieren damit der Webserver die Kommunikation mit dem SecOVID Server lernt RADIUS Dieser Client bietet verschiedene Konfigurationsm glichkeiten sowohl f r unverschl sselte als auch f r mit SSL verschl sselte Verbindungen Verf gt der Benutzer ber ein Benutzer zertifikat so kann er wahlweise ber sein Zertifikat oder ein SecOVID Einmalpasswort authentifiziert werden Inhalte des Webservers k nnen beispielsweise ausschlie lich mit dem SecOVID Einmalpasswortmechanismus oder ausschlie lich durch Verwendung der Benutzerzertifikate abgesichert werden Zudem ist die Kombination beider Authentifika
84. alten Sie einmalig von Ihrem H ndler Nur Sie sind in der Lage die Tokendatens tze zu entschl sseln Der entsprechende private Schl ssel ist an keinem weiteren Ort gespeichert Sie sehen anschlie end den neuen Eintrag in der Ansicht Als Benutzername ist die Seriennummer des Tokens eingetragen Doppelklicken Sie auf den neuen Eintrag und tragen Sie im Feld Benutzernamen einen Benutzernamen Ihrer Wahl ein Klicken Sie auf den OK Button und best tigen Sie dass Sie den Eintrag ver ndern m chten Falls in der Spalte Generator Typ der Benutzeransicht ein Fragezeichen steht muss der Generator Typ angepasst werden Hierzu m ssen Sie unter Programm gt Konfiguration auf der Seite Passwort Generator den Eintrag Generator typ ndern markieren Dadurch wird der Men punkt Datenbank gt Generator Type ndern aktiviert Markieren Sie alle Eintr ge die einen unbekannten Generator Typ besitzen und ndern diesen unter Datenbank gt Generator Type ndern auf den Generator Typ Ihrer Token d Testen Sie mit den im folgenden kurz beschriebenen Testprogrammen ob e g ltige Einmalpassw rter des registrierten Benutzers genau einmal akzeptiert ansonsten abge lehnt werden KAPITEL 2 INSTALLATION 32 e falsche Einmalpassw rter von registrierten Benutzern abgelehnt werden e Einmalpassw rter von nicht registrierten oder vor bergehend gesperrten Benutzern abgelehnt werden Ein RADIUS Testclient radping Das hier zu verwen
85. anderen langsamereren Server zur Verifikation weitergeleitet werden Suchtiefe und Fehlergrenze f r Einmalpassw rter Wie wir bereits in Abschnitt 1 bemerkten akzeptiert der SecOVID Server auch Einmalpassw rter die ihm nicht aktuell erscheinen aber in der Liste der k nftigen Passw rter erscheinen werden In der Standardeinstellung akzeptiert der SecOVID Server die ersten zehn Ein malpassw rter Wir wollen hier von der Suchtiefe des SecOVID Servers sprechen Um diese zu ndern k nnen Sie den Parameter depth num oder d num 2 lt num lt 51 verwenden Dar ber hinaus k nnen Sie f r einzelne Benutzer die so viele Passw rter ohne Verwendung generiert haben dass sie aus der Suchtiefe des SecOVID Servers rausfallen ber den Button Resynchronisation im Admini strationstool die Suchtiefe um einen Faktor 10 gegen ber der eingestellten Suchtiefe erh hen In diesem Fall muss der Benutzer sich aber nun zweimal mit unmittelbar aufeinander folgenden Einmalpassw rtern anmelden wobei erst der zweite Anmeldeversuch zum Erfolg f hrt Eine weitere Konfigurationsm glichkeit betrifft die Fehlergrenze d h die Anzahl der falschen Passw rter die ein Benutzer eingeben darf bevor er gesperrt wird Normalerweise wird der Benutzer nach dem 10 ten falschen Passwort gesperrt Je nach Anwendung oder z B wenn sie statt 8 stelliger Passw rter 6 stellige verwenden kann es sinnvoll sein diese Grenze herab zu setzen Dies k nnen Sie mit dem P
86. ando ident und unter Solaris mit dem Kommando what Geben Sie Sie unter Linux also ident etc SecOvid secovid und ident etc SecOvid admin WxOvid ein und notieren Sie die Ausgaben der Kommandos Sollten auf ihrem Computer ident bzw what nicht installiert sein so k nnen Sie falls zumindest strings vorhanden ist im allgemeinen die gleiche Information auch durch ein Kommando wie strings etc SecOvid secovid grep Id erhalten 4 Die Marke und das Modell Ihres Computers sowie die Version des Betriebssystems unter dem das Problem auftritt Diese Informationen erhalten Sie z B mit dem UNIX Kommando uname a 119
87. anz wenn Sie im Kommandozeilentool nicht explizit den Administratornamen mit bergeben KAPITEL 2 INSTALLATION 28 Hinweis Die Datei Prefs cfg k nnen Sie auch mit dem SecOVID Administrationstool GUI erzeugen Star ten Sie hierzu das SecOVID Administrationstool GUI und nehmen Sie die gew nschten Einstellungen ber den Men punkt Programm gt Konfiguration vor Die Datei Prefs cfg wird dann im lokalen Verzeichnis auf der Festplatte erzeugt 2 1 4 Installation von FreeRADIUS zur Unterst tzung weiterer M glichkeiten von RADIUS Einige M glichkeiten die RADIUS bietet werden von unserer RADIUS Schnittstelle nicht unterst tzt z B Accounting und EAP Auch bieten andere RADIUS Implementierungen teilweise die M glichkeit das users File statt als File mittels einer Datenbank zu verwalten was je nach Anwendungssituation ein Vorteil sein kann RADIUS bietet die M glichkeit mittels der Proxy Funktionalit t die Vorteile verschiedener Server zu kombi nieren z B k nnen Sie einen RADIUS Server installieren der alle gew nschten Features enth lt und nur die eigentliche Passwort Verifikation an den SecOVID Server delegiert wir diskutieren hier die Details am Beispiel von FreeRADIUS Zur Installation ben tigen Sie zun chst einen Compiler under Linux oder Solaris z B gcc http gec gnu org unter Windows ist zwingend cygwin erforderlich http www cygwin com Sobald eine geeignete Umgebung zum Compilieren vorhanden ist k nnen si
88. arameter error limit num oder e num 2 lt num lt 11 konfigurieren Dann wird der Benutzer nach dem num ten statt nach dem zehnten Fehlversuch gesperrt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 58 Gro und Kleinschreibung von Benutzernamen Normalerweise unterscheidet der SecOVID Server bei Benutzernamen auch nach Gro und Kleinschreibung d h die Benutzer test Test und TEST sind 3 verschie dene Benutzer Wenn sich Benutzer test irrt mlich als Test anzumelden versucht wird die Passwortanfrage als falsch zur ckgewiesen Dies ist insbesondere in einem Windows Umfeld nicht immer erw nscht Deshalb bietet der Parameter ignore case oder ic die M glichkeit dieses Verhalten zu ndern d h wenn Sie beim Starten des SecOVID Servers diesen Parameter angeben werden die Benutzer test Test und TEST als identisch behandelt in der Datenbank wird allerdings stets die Schreibweise verwendet die sie beim Anlegen des Benutzers verwendet haben Beachten Sie dabei jedoch dass Umlaute problematisch sind d h wenn in einem Benutzernamen z B ein vorkommt wird die Schreibweise mit eventuell nicht korrekt erkannt je nach Plattform auf der der Server bzw der Client laufen Anstelle der Verwendung dieser Option bietet es sich an eine spezifische Policy f r die Bildung von Benutzernamen zu verwenden die berwacht dass Benutzernamen nur in der gew nschten Schreibweise gebildet werden d rfen z B nur au
89. as Programm getpwd startet so erscheint kein Dialog Fenster auf dem Bildschirm son dern das Programm wird gestartet und als Icon in der Windows eigenen Taskleiste dargestellt Durch einen Doppelklick mit der linken Maustaste auf das Icon erscheint das Eingabe Fenster das sich wie in Abschnitt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 113 B 3 1 beschrieben verh lt wobei unter Windows neben der Drag amp Drop Option die M glichkeit besteht das Passwort mit Strg V an die gew nschte Stelle zu kopieren Dr ckt man den Button Ausblenden so verschwindet das Fenster wieder und wird als Icon in der Taskleiste abgelegt Bei der Verwendung eines Terminals mit Tastatur besteht au erdem die M glichkeit ein Passwort zu generieren indem man mit der rechten Maustaste auf das Icon in der Taskleiste dr ckt und im erscheinenden Men die Option OTP generieren dr ckt Ohne dass das Dialog Fenster auf dem Bildschirm erscheint kann man die PIN am Terminal eingeben und das erzeugte SecOVID Einmalpasswort ber Strg V an die gew nschte Stelle kopieren Kapitel 4 Deinstallation Warnung Wenn Sie die SecOVID Software dauerhaft deinstallieren wollen beachten Sie dass Sie zun chst alle eventu ell installierten Module zum Schutz von Arbeitsplatzrechnern deinstallieren sollten ansonsten k nnen Sie sich aus Ihrem System aussperren Auch wenn Sie den Server nur vor bergehend deaktivieren woll
90. ass prinzipiell alle Dateien auf dem laufenden Server neuer sein k nnten als auf dem der gerade gestartet wird Die Konfi gurationsdateien lassen sich einfach kopieren das Kopieren der Datei ovid_data ist allerdings ein potentielles Problem da durch Passwort oder Authentifikationsanfragen ja gerade zum Zeitpunkt des Kopierens eine nde rung der Datei veranlasst werden k nnte F r Windows Rechner besteht die einzige M glichkeit sicherzustellen dass ein konsistenter Stand der Datenbank bertragen wird darin den SecOVID D mon anzuhalten die Datei ovid_data zu kopieren und auf beiden Rechnern den SecOVID D mon m glichst gleichzeitig zu starten Auf Linux und Solaris Systemen k nnen Sie alternativ dem SecOVID D mon auf dem laufenden Rechner das Signal USR1 schicken dadurch werden Schreibzugriffe auf die Datei ovid_data blockiert die Datei kopieren und dann mit dem Signal USR2 den Schreibzugriff wieder freigeben und den SecOVID D mon auf dem zweiten Rechner starten Allerdings haben Sie dann das Problem dass alle nderungen der Datenbank die zwischen dem Signal USR1 und der Verf gbarkeit der Dienste des D mons auf dem zweiten Rechner stattfinden den zweiten D mon nicht erreichen F r Administrationsanfragen haben Sie aber selber in der Hand es zu vermeiden diese ausge rechnet in dieser kritischen Phase zu stellen und bei Passwortanfragen sollte es kein grosses Problem sein wenn einzelne den zweiten Rechner nicht erreichen da d
91. ber das TACACS Interface an den SecOVID Server geschickt werden k nnen Testen Sie mit diesem Programm ob falsche Einmalpassw rter vom SecOVID Server abgelehnt und kor rekte akzeptiert werden tacping u username password S SecovidServerIP K secretKey z B tacping u smith 26011735 S 192 168 1 1 K secret Folgende Dateien werden zudem vom SecOVID Server beim Start erzeugt falls sie nicht bereits existieren etc SecOvid ovid_data die SecOVID Datenbasis mit den Benutzereintr gen und ggf Administrator eintr gen etc SecOvid ovidcomm key der private Schl ssel des SecOVID Servers f r die gesicherte Kommunikati on mit den RSA Clients z B UNIX PAM Clients Dieser wird vom SecOVID Server f r Entschl sselung und Signatur von Passwortanfrage und Antwort verwendet Der SecOVID Server erzeugt das Paar aus privatem und ffentlichem Schl ssel bei seinem ersten Start und legt die betreffenden Dateien an Somit findet die Schl sselerzeugung bei Ihnen vor Ort statt etc SecOvid ovidcomm pub der ffentliche Schl ssel des SecOVID Servers f r die gesicherte Kommuni kation mit den SecOVID RSA Clients Dieser sollte hier als Backup liegen und muss auf allen SecOVID RSA Clientrechnern im vorgesehenen Pfad gespeichert sein etc SecOvid ovid proto das Log Datei des SecOVID Servers Hier werden alle Passwortanfragen mit den Ergebnissen der berpr fung protokolliert etc SecOvid secovid der eigentliche SecOVID D mon e
92. ch Der von uns gelieferte Apache Server hat in diesem Bereich folgende Konfiguration lt Directory usr local apache 1 3 26 htdocs gt Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow deny Allow from all lt Directory gt Die Grundkonfiguration des Webservers wird in der Datei usr local apache 1 3 26 conf httpd conf vorgenommen Wenn die Option AllowOveride All ge setzt ist wird zum Schutz von Verzeichnissen unterhalb von usr local apache 1 3 26 htdocs die Konfiguration der lokalen Datei htaccess verwendet Diese Datei htaccess muss also im zu sch tzen den Verzeichnis angelegt sein Bez glich weiterer Konfigurationsm glichkeiten verweisen wir auf die Do kumentation des Apache Servers KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 108 3 Jetzt beschreiben wir den Inhalt der Datei mit dem Namen htaccess im zu sch tzenden Verzeichnis Beachten Sie dass Sie nach Installation des Webservers bereits ber ein vollst ndiges sofort funktionierendes Beispiel verf gen wie man den Zugriff auf Webseiten dem SecOVID Schutz unterstellt wenn Apache Server und SecOVID Server auf dem gleichen Rechner laufen Insbesondere ist bereits eine Datei htaccess enthalten die Sie an die richtige Stelle kopieren und ggf nachtr glich editieren k nnen Diese Datei muss folgende Eintr ge enthalten AuthType Basic AuthName SecOvid AuthSecOvid my_secovid_server my_domain de SecOvidPort 1812 Re
93. chiedene Einmalpa wortgeneratoren auf eine Chipkarte geschrieben werden Pa wortgenerator Nr 0 bis Pa wortgenerator Nr 9 Der Wert 1 in Zeile 9 bedeutet dass beim Schreiben oder L schen eines Einmalpa wortgenerators auf eine Chipkarte immer der in Zeile 10 spezifizierte Default Generator verwendet werden soll Der tats chlich zu verwendende Pa wortgenerator kann in der eigentlichen Anweisung zum Schreiben oder L schen auf der Chipkarte nochmals angepa t werden Der Wert 0 bedeutet dass beim Schreiben oder L schen eines Einmalpa wortgenerators auf der Chipkarte kein Default Generator benutzt werden soll Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel ist kein Default Generator gesetzt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 83 Zeile 10 Diese Zeile enth lt den zu verwendenden Einmalpa wortgenerator Nr 0 Nr 9 Dieser Eintrag besitzt nur Relevanz wenn in Zeile 9 durch den Wert 1 codiert ist dass ein Default Generator verwendet werden soll und wenn in der Anweisung zum Schreiben oder L schen nicht explizit ein Pa wortgenerator angegeben ist In obigem Beispiel w rde Pa wortgenerator Nr 0 als Default Wert definiert werden wenn in Zeile 9 die Benutzung eines Default Wertes aktiviert w re Zeile 11 optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad der beim Exportieren von Benutzereintr gen verwendet wird Der P
94. connection NULL int SecOVID_getUser SecOVIDUserHandle user const SecOVID_usertype type const char username const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_fillUser SecOVIDUserHandle user const SecOVIDConnHandle DEFAULT connection NULL KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 95 int SecOVID_writeUser const SecOVIDUserHandle user const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_freeUser SecOVIDUserHandle user int SecOVID_isInGroup SecOVIDUserHandle user const SecOVIDConnHandle connection const int SecOVID_getMaxInfoSize int SecOVID_getInfo const SecOVIDUserHandle user const SecOVID_UserComp id unsigned long len void data int SecOVID_setInfo SecOVIDUserHandle user const SecOVID_UserComp id unsigned long len const void data Hinweis Beachten Sie dass serverseitig eine Plausibilit tspr fung der nderungen die Sie an einem Benut zerdatensatz vorgenommen haben stattfindet Operationen die mit den normalen Administrationstools nicht m glich sind z B gleichzeitige nderung des Vornamens und Freischaltung eines gesperrten Users werden normalerweise als ung ltig abgelehnt Die Funktion SecOVID_newUser erzeugt einen neuen leeren Benutzer und gibt im ersten Parameter einen Hanlde auf diesen zur ck Diese Funktion wird eigentlich nur zum Anlegen eines neuen Benutzers ben tigt SecOVID_getShortUser entnimmt die wichtigsten Daten
95. curity Administrator gesperrt wurde also auch mit g ltigen Einmalpassw rtern keinen Einlass ins System erh lt e ob der Benutzer zur Resynchronisation vorgemerkt wurde Resync 1 gerade das erste Passwort im Resynchronisationsprozess eingegeben hat Resync 2 oder wie viele aufeinander folgende falsche Passw rter er seit dem letzten erfolgreichen Einloggen eingegeben hat z B 2 Fehler OK hei t Das letzte vorgelegte Passwort war korrekt In der Statusleiste sehen Sie die Anzahl der geladenen Benutzer und den Administratoren Typ des eingeloggten Administrator Auf die Men leiste und die Buttonleiste gehen wir in den Punkten B 1 2 4 und B 1 2 J ein Falls keine Verbindung zum SecOVID Server hergestellt werden kann etwa weil Ihre Administrator Chipkarte eine andere ist als die des zuletzt t tigen Administrators oder weil der SecOVID Server nicht l uft so erhalten Sie eine entsprechende Warnung und das Fenster bleibt zun chst leer In diesem Fall k nnen Sie die Einstellungen ber den Men punkt Programm gt Konfiguration korrigieren Anlegen und Verwalten von SecOVID Administratoren SecOVID Administratoren werden im wesentlichen wie normale Benutzer verwaltet allerdings in einer eige nen Datenbank Zwischen Benutzer und Administratoren Datenbank kann mittels eines eigenen Men punkts Datenbank gt Administratoren Datenbank hin und her geschaltet werden Beachten Sie aber folgende
96. d usr lib security pam_unix so 1 Password management other password required usr lib security pam_unix so 1 KAPITEL 2 INSTALLATION 5l Nehmen wir an dies w re der Inhalt Ihrer Datei etc pam conf Bei einer rlogin Anfrage auf den Rechner findet der rlogin D mon in dieser Datei wie er Benutzer authentifizieren soll F r die Authentifikation beim rlogin sind nur die Zeilen relevant die mit rlogin auth beginnen Entsprechende Zeilen werden der Reihe nach abgearbeitet und logisch durch UND verkn pft Das bedeutet in unserem Beispiel Ausreichend die Zeile mit sufficient f r eine erfolgreiche Authentifikation ist ein positiver Entscheid durch das Authentifikationsmodul 1ib security pam_rhosts_auth so 1 Dieses pr ft ob der Benutzer oh ne berpr fung eines Einmalpasswortes auf Grund der Adresse seines anfragenden Rechners vertrauensw rdig ist Falls dieses Modul nicht zu einem positiven Entscheid kommt m ssen alle anderen PAM Authentifikationmodule die in unserem Beispiel mit rlogin auth required oder rlogin auth requisite beginnen zu einem positiven Entscheid kommen damit der anfragende User eingeloggt wird Insbesondere muss der anfragende Benutzer also ein korrektes UNIX Passwort PAM Modul lib security pam_unix so 1 und ein korrektes Einmalpasswort PAM Modul lib security pam_ovid_auth so vorlegen k nnen Kommt im Falle rlogin auth requisite das Authentifikationsmodul zu einem negativen Ergebnis so wird
97. den empfehlen wir von dieser M glichkeit ausschlie lich zum Initialisieren der ersten Administrator Chipkarte Gebrauch zu machen und danach die Adresse 127 0 0 1 aus der Datei db_allow zu l schen und den SecOVID Server neu zu starten Normalerweise werden Ihnen nun alle im SecOVID Server registrierten Benutzer angezeigt u U sind noch keine Benutzer registriert Im negativen Fall erhalten Sie eine entsprechende Fehlermeldung berpr fen Sie die Einstellungen sowie die Installation des Chipkartenterminals Stellen Sie beim Versuch einer Remote Administration des SecOVID Servers zudem sicher dass Ihre Firewalls und sonstigen Paketfilter die Netzwerk Kommunikation zwischen SecOVID Admintool und SecOVID Server auf dem Datenbankport in der Regel Port 1113 siehe den Eintrag secoviddb in der Datei etc services des SecOVID Servers zulassen 3 1 2 3 Die Ansicht Nach erfolgreichem Start des Programms wird sofort die SecOVID Datenbasis ausgelesen und angezeigt die dem SecOVID Server aktuell vorliegt Sobald die Datenbank angezeigt wird kann die Administrator Chipkarte aus dem Chipkartenterminal entnommen werden so dass dieses nun f r das Beschreiben von Benutzer oder Administratorchipkarten zur Verf gung steht Je nach Ihren Administratorenrechten sehen Sie folgende Ansicht Administrator SecOYID Admintool 10 xj Programm Datenbank Chipkarten Token SoftToken Gruppe Hilfe G Benutzer DB y BITS Benutzername Name Vorname G
98. dende Testprogramm radping befindet sich nach der Installation des SecOVID Servers im Verzeichnis etc SecOvid Falls Sie das Testprogramm auf einem anderen Rechner in Ihrem Netzwerk laufen lassen m chten so kopieren Sie bitte von Ihrer Installations CD UNIX clients radping im Falle eines UNIX Zielrechners oder win32 clients radping radping exe im Falle eines Windows Zielrechners auf die entsprechende Festplatte Bei radping handelt es sich um eine ein fache RADIUS Client Software mit der Benutzername und Einmalpasswort testweise an den SecOVID Server geschickt werden k nnen Der SecOVID Server und radping m ssen zur Verschl sselung der abzusendenden Daten beide ber den gleichen geheimen Schl ssel secret key verf gen Dazu tragen Sie auf dem Rechner des SecOVID Servers in der Datei etc SecOvid clients die IP Adresse des Hosts von radping sowie den secret key ein Die beiden Informationen sind durch Leerzeichen voneinander getrennt 192 168 1 17 secret Mit radping stellen Sie dann folgenderma en eine Passwortanfrage an den SecOVID Server e radping u username password S SecovidServerIP serverPort K secretKey e z B radping u smith 26011735 S 192 168 1 1 K secret Dabei ist username ein im SecOVID Server registrierter Benutzer und password ein f r diesen User g ltiges Einmalpasswort In der Ausgabe von radping bedeutet Acked acknowledged dass die Kombination Username Passwort korrekt war w hrend Rejected
99. der Benutzer sofort abgelehnt und die ggf noch folgenden Zeilen in der Konfigurationsdatei f r rlogin werden f r die Authentifikation nicht mehr abge arbeitet Hingegen werden nach dem negativen Entscheid eines Authentifikationsmoduls im Falle einer Zeile die mit rlogin auth required beginnt die folgenden Zeilen abgearbeitet obwohl schon feststeht dass der Benutzer abgelehnt wird Ein Angreifer erh lt in diesem Falle aber keine Auskunft dar ber welche Passwort methode bei der berpr fung zu einem negativen Ergebnis gekommen ist Beachten Sie insbesondere dass es eine relativ einfache Denial of Service Attacke f r den Einmalpasswortmechanismus gibt Geben Sie einem solchen Loginservice so lange falsche Passw rter bis der attackierte User gesperrt ist Daher schlagen wir die berpr fung des statischen Passworts mit der Bedingung auth requisite vor so dass nur ein User der das statische Passwort kennt berhaupt ein Einmalpasswort eingeben kann Das bedeutet dass ein Angreifer der eine Denial of Service Attacke starten kann bereits vollen Zugang zu einem nur durch Standardmechanismen gesch tzten Netz h tte Detaillierte Informationen zur Bedeutung der Eintr ge finden Sie in der Dokumentation Ihres Betriebssystems unter dem Stichwort PAM Beachten Sie bitte dass Sie ber den Eintrag other das Verhalten von Anwendungen festlegen k nnen die in der Konfigurationsdatei nicht explizit aufgef hrt sind Ist hier ein
100. der Hardware installiert werden so dass diese vollkommen mobil bleiben Teil der L sung ist der SecOVID Server der als zentraler Authentifikations und Autorisierungsserver gleichzeitig seine Dienste f r viele verschiedene Anwendungen und Systeme z B Firewalls Router VPN Gateways Webserver verrichten kann 1 2 Wie funktioniert KOBIL SecOVID Jeder Benutzer des Systems wird wahlweise mit dem SecOVID Token SecOVID SoftToken oder einer pers nli chen SecOVID Chipkarte mit dem SecOVID Reader III bzw KOBIL mIDentity ausgestattet Will sich ein Benutzer bei einem System anmelden so muss er zum Nachweis seiner Identit t das f r ihn augenblicklich g ltige Einmal Passwort eingeben Dieses kennt zun chst selbst der Benutzer nicht es wird vom SecOVID Token dem SecOVID SoftToken bzw von der SecOVID Chipkarte bei Bedarf erzeugt Die SecOVID Chipkarte bzw das SecOVID SoftToken ist mit einer individuellen PIN gesch tzt die der Benutzer vor der Erzeugung des Einmalpassworts eingeben muss Ist die PIN korrekt wird das Einmalpasswort berechnet und angezeigt bzw im Falle von KOBIL mIDentity direkt an die Anwendung bergeben Beim SecOVID Token wird das Einmalpasswort auf Knopfdruck erzeugt und optional zusammen mit der ServerPIN zur Anmeldung eingegeben KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 4 SecOVID Token e Benutzer individueller geheimer Schl ssel fest vorprogrammiert im Token wird auf Diskette zum Import in den Server mitg
101. der in die Datenbank geschrieben werden kann Der R ckgabewert dieser Funktion ist 1 wenn die Rechte ausreichen und 0 sonst SecOVID_getMaxInfoSize gibt zur ck wieviel Speicher ein R ckgabewert von SecOVID_getInfo h chstens ben tigt Mit SecOVID_getInfo kann jede Komponente eines Datensatzes abgefragt werden dabei ist zu beachten dass data auf einen hinreichend gro en Speicherbereich zeigen muss dessen initiale Gr e im Parameter len mitge geben wird Nach dem Aufruf ist der Wert von len so ge ndert dass er nun anzeigt wieviel Bytes die Antwort tats chlich belegt Besonders beachtenswert sind die m glichen R ckgabewerte OVID_ERROR_INCOMPLETE_DATA der anzeigt dass zun chst noch SecOVID_fil1lUser aufgerufen werden muss um den Datensatz zu vervollst ndi gen bevor der Inhalt der gew nschten Komponente abgefragt werden kann sowie OVID_USER_ERROR_BUFFER_TOO_SMALL der anzeigt dass in data nicht genug Speicher zur Verf gung steht um die gew nschte Komponente zu spei chern in diesem Fall enh lt data soviele Bytes der Komponente wie hineinpassen und len wird auf den Wert gesetzt der ben tigt wird um die Komponente komplett speichern zu k nnen Insbesondere kann diese Funktion mit dem Wert NULL f r data aufgerufen werden woraufhin nur der ben tigte Speicherplatz ermittelt und in len zur ckgegeben wird Mit SecOVID_setInfo kann in analoger Weise der Inhalt einer Komponente berschrieben werden dabei wird im Parameter len
102. des Backupservers instal lieren Strategie 2 siehe Abschnitt P 2 2 3 F r Strategie 1 gehen Sie vor wie in Abschnitt 2 2 2 1 beschrieben Zus tzlich tragen Sie auf dem Backupserver in der Datei etc SecOvid db_allow auf dem IP Adresse des Hauptservers ein mirror lt IP Adressen Backupserver gt Konfigurieren Sie zudem alle Clients so dass Sie automatisch eine Authentifikationsanfrage an den Backupserver richten falls der Hauptserver nicht antwortet Im laufenden Betrieb beachten Sie die Hinweise aus Abschnitt Achtung Anfragen die von einem der beiden Server ausgehend zum anderen Server geschickt werden werden nicht an den urspr nglichen Server zur ckgespiegelt Vermeiden Sie es daher mit dem Administrationstools oder mit einem Authentifikations Client von einem Rechner eine Anfrage an anderen Rechner zu erzeugen 2 2 2 3 Installation des Hochverf gbarkeitssystems Strategie 2 Der SecOVID Backup D mon ist zur Zeit unter folgenden Architekturen und Betriebssystemen verf gbar e PC i86 SuSE Linux bzw openSUSE 8 3 oder neuer e SUN SPARC Solaris 9 oder neuer Zur Installation des SecOVID Backup D mons stellen Sie sicher dass das SecOVID Serversystem mittels des Installationsskriptes UNIX install sh von der SecOVID CD zuvor auf dem betreffenden Rechner installiert wurde Hinweis Hauptserver und Backupserver m ssen auf der gleichen Rechnerarchitektur laufen beides PCs i86 oder beides SUN SPARC Gehen Sie f r die beide
103. die gleichen geheimen Informationen gespeichert sind die sich auf der Chipkarte des betreffen den Benutzers befinden So kann der Server softwareseitig ebenfalls das n chste f r einen Benutzer g ltige Einmalpasswort berechnen und somit entscheiden ob ein vorgelegtes Passwort korrekt ist oder nicht Der SecOVID Server akzeptiert auch Einmalpassw rter die seiner Meinung nach f r den Benutzer nicht aktuell sind sondern in der zuk nftigen Folge g ltiger Einmalpassw rter erst an f nfter oder sechster Stelle erscheinen die Passwortsuchtiefe ist konfigurierbar Dadurch ist das System auch robust gegen Verlust von Passw rtern bei der bertragung oder Fehlbedienung durch Benutzer 1 5 1 Authentifikation Autorisierung und Accounting Der SecOVID Server ist ein Serverprozess der st ndig auf Passwortanfragen lauscht Dabei kann er drei Arten von Passwortanfragen handhaben d h er verf gt ber drei Schnittstellen eine RADIUS Schnittstelle eine TACACS Schnittstelle und eine RSA Schnittstelle RADIUS Remote Authentication Dial In User Service ist ein de facto Standard f r eine zentralisierte Be nutzerauthentifikation und autorisierung in gro en Rechnernetzen An der Benutzerauthentifikation und autorisierung sind verschiedene Rechner beteiligt Diese sind in folgender Client Server Architektur angeordnet In einem Netz Internet gibt es viele verschiedene Rechner Network Access Servers NAS oder RADIUS Clients an denen Benutzer e
104. dresse des Hauptser vers zuweisen und den Backupserver erneut booten Allen SecOVID Clients z B Router Firewalls w re lediglich ein SecOVID Hauptserver bekannt von der Existenz eines Backupservers w ssten sie nichts Strategie 1 Hochverf gbarkeit Clients kennen Backupserver Rollenwechsel aber kein IP Wechsel M chten Sie die SecOVID Benutzerdaten redundant halten und in allen SecOVID Clients z B Router Firewalls einen oder mehrere Backupserver f r den Fall benennen dass der Hauptserver keine Antwort liefert so dass dann die Passwortanfragen an den Backupserver gesendet werden Strategie 2 Hochverf gbarkeit Clients kennen nur Hauptserver Rollenwechsel verbunden mit IP Wechsel M chten Sie die SecOVID Benutzerdaten redundant halten und einen intelligenten Mechanismus instal lieren der Ihnen Hochverf gbarkeit gew hrleistet ohne dass Sie manuell eingreifen m ssen M chten Sie dass dabei der Backupserver automatisch die Rolle des Hauptservers einnimmt und insbesondere ge lenkt durch ein KOBIL Programm welches im Hintergrund l uft dessen IP Adresse annimmt sobald der SecOVID Hauptserver nicht mehr verf gbar ist M chten Sie dabei dass der ehemals als Hauptserver fungierende Rechner selbst bemerkt dass dann bereits die Rolle des Hauptservers besetzt ist und daher seinerseits die Rolle des Backupservers einnimmt Allen SecOVID Clients z B Router Firewalls w re lediglich ein SecOVID Hauptserver bekannt von
105. e dass das rein textbasierte SecOVID Kom mandozeilentool nur Benutzer und Karten verwalten kann falls der SecOVID Server in Betrieb ist Eine Remote Administration ist nur m glich wenn Sie bereits ber eine am SecOVID Server registrierte SecOVID Admini stratorchipkarte verf gen Die Konfigurationsdatei Prefs cfg Zudem m ssen Sie vor dem Starten des Tools sicherstellen dass im lokalen Verzeichnis eine Konfigurationsda tei Prefs cfg existiert Wenn Sie das Administrationstool GUI ebenfalls verwenden wird eine solche Datei automatisch angelegt und beinhaltet die zuletzt von Ihnen verwendeten Einstellungen Wollen oder k nnen Sie das Administrationstool GUI nicht verwenden so m ssen Sie eine solche Datei von Hand anlegen bzw an Ihre Konfiguration anpassen Diese Konfigurationsdatei k nnte folgenden Inhalt haben localhost 1113 1 oOoO9 a oo 0 Die Datei Prefs cfg besteht aus mindestens zehn Zeilen und h chstens 14 Zeilen deren Inhalt Sie gem Ihrem System Zeile f r Zeile anpassen m ssen Zeile 1 Enth lt die IP Adresse des SecOVID Servers In obigem Beispiel ist der SecOVID Serverprozess also auf dem lokalen Rechner installiert Zeile 2 Enth lt die Portnummer an der der SecOVID Server Administrationsanfragen entgegennimmt Tragen Sie die Portnummer ein welche in der Datei etc services auf dem Rechner des SecOVID Servers dem Interface secoviddb zugeordnet ist Der Standard Port f r Administrationsanfragen lautet
106. e Ablehnung und eine Meldung welcher Ser vice die Ablehnung verursachte einprogrammiert so kann man mit diesem Feature insbesondere herausfinden wie der genaue Name einer Konfigurationsdatei lauten sollte Dieser ist in der Praxis gelegentlich nicht so klar ersichtlich wie er das eigentlich sein sollte Zum Einrichten des SecOVID Einmalpasswortschutzes in anderen Anwendungen editieren Sie in analoger Weise die f r die Anwendung relevanten Zeilen in der Datei etc pam conf Beispielsweise editieren Sie die Zeilen die mit login auth beginnen f r die Anwendungenlogin telnet und rlogin selbiges wird wenn der er ste Authentifikationsversuch fehlschlug h ufig an ein Standard Login bergeben f r das eben nicht mehr die Konfigurationsdatei rlogin zust ndig ist Verwendung von ssh Beachten Sie dass die am weitesten verbreitete Version von ssh n mlich OpenSSH zun chst jeweils speziell f r das Betriebssystem OpenBSD und ohne PAM Unterst tzung entwickelt wird Da durch ergeben sich einige spezifische Probleme bei der Verwendung unseres PAM Moduls in Kombination mit OpenSSH e In einigen OpenSSH Versionen funktioniert die PAM Unterst tzung berhaupt nicht korrekt e Es gibt immer wieder PAM spezifische Kompatibilit tsprobleme zwischen SSH Client und SSH Server wenn unterschiedliche SSH Versionen verwendet werden Sollten Sie trotz korrektem Password abgelehnt werden k nnen Sie versuchen auf ClientSeite explizit verschiedene Protok
107. e Auswahl der Gruppen beschr nkt sich die f r die der Administrator zust ndig ist Wenn das Kontrollfeld PIN autom gesetzt ist wird f r den Benutzer automatisch eine PIN erzeugt und im betreffenden Textfeld angezeigt Ist das H kchen PIN autom nicht gesetzt k nnen Sie jetzt selbst eine PIN definieren die sp ter bei Karte erzeugen verwendet wird Sie k nnen dieses Feld auch leer lassen um erst im letzten Moment eine PIN zu definieren wenn n mlich ein Passwortgenerator auf eine leere oder bereits benutzte Chipkarte geschrieben werden soll Diese PIN Eingabe im letzten m glichen Moment k nnte dann auch durch den Benutzer erfolgen sofern dieser vor Ihnen steht F r die eingegebene PIN findet keine L ngenpr fung statt Beachten Sie dass der SecOVID Reader Plus im offline Modus nur sechsstellige PINs im Falle der lteren TCOS 1 2 Karten alternativ vierstellige PINs verarbeiten kann Beachten Sie dass Sie mittels einer kleinen Zusatzbibliothek lokale Re geln f r die Gestaltung des Benutzernamens berwachen k nnen siehe hierzu Abschnitt B 1 2 7 Beachten KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 70 Sie dass in keiner der eingegebenen Zeichenfolgen also weder im Benutzernamen noch im Namen oder Vornamen oder in der PIN Doppelpunkte vorkommen d rfen Dar ber hinaus sind im Benutzernamen auch Leerzeichen sowie die beiden Zeichen und verboten Benutzer anlegen autom
108. e FreeRADIUS von http www freeradius org beziehen das KOBIL EAP MD5 Modul vgl Abschnitt wurde mit Fre eRadius in den Versionen 1 0 0 und 1 0 2 getestet Das Compilieren und Installieren von FreeRADIUS funktioniert im Prinzip nach dem bekannten Schema von configure make make install Allerdings sind einige Details zu beachten 1 Wenn Sie das EAP MD5 Modul vgl Abschnitt benutzen wollen kopieren sie zun chst die Dateien aus dem Verzeichnis FreeRadius rlm_eap_md5 der CD in das Verzeichnis src modules rlm_eap types rlm_eap_md5 der FreeRadius Distribution 2 Wenn Sie unter Windows mit cygwin compilieren ndern Sie vor dem Aufruf von configure in der Datei src modules rlm_eap Makefile in die Zeile RLM_LIBS Llibeap leap in RLM_LIBS 3 Wenn Sie unter Verwendung von statischen OpenSSL Bibliotheken compilieren rufen Sie statt configure folgenden Befehl auf LIBS L lt Pfad_zu_den_Bibliotheken gt 1ssl lcrypto configure with openssl includes lt Pfad_zu_den_Headern gt 2 1 5 Installation des SecOVID Midlet Generators zur Erstellung von SoftToken Applikationen f r Mobiltelefone und PDAs Will man das SoftToken System auf mobilen Ger ten wie Handys oder Palm PDAs ab PalmOS 3 5 einsetzen so ben tigt man spezielle Applikationen f r diese Ger te Diese Applikationen werden Midlets genannt und setzen zur Funktionsf higkeit eine sogenannte J2ME Runtime Umgebung voraus Java 2 Micro Edition Der SecO
109. e Parameter ist certchain Dieser Parameter wird dann ben tigt wenn Sie von Ihrer Zertifizierungsstelle ein Serverzertifikat und die ben tigten Zwischenzertifikate erhalten Um diese Zertifikatskette nun in den Keystore zu importieren m ssen Sie drei weitere Parameter angeben die den Pfad zu dieser Zertifikatsdatei die Anzahl der darin befindlichen Zertifikate und das Passwort des urspr nglichen Keystores enthalten Beispiel keystore sh certchain DownloadCert pl 3 changeit Wurde der Keystore erstellt und abgespeichert muss man in der Datei TOMCAT_HOME conf server xml die Passage in der Port 443 aktiviert wird Connector f r SSL einkommentieren und den Pfad zur Keystore Datei anpassen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 101 3 1 8 Migration von Fremdauthentifikationssystemen auf SecOVID KOBIL SecOVID bietet die M glichkeit Benutzer des Authentifikationssystems RSA Security ACE Server z B securID Tokens mit minimalem administrativem Aufwand auf das SecOVID System zu migrieren Hierzu wird der KOBIL SecOVID Server als Proxy Server zwischen alle Clients des RSA ACE Servers z B Router Firewall VPN Gateway oder Webserver und das RADIUS Interface des ACE Servers geschaltet Dazu wird die IP Adresse des ACE Servers in die neu anzulegende Datei ext_authen eingetragen der Inhalte sollte z B so aussehen ace 192 168 1 137 Auf Seiten des ACE Servers muss der SecOVID Server als Client einge
110. e Rechnern z B Firewall muss diese IP Adresse kennen z B durch Eintrag einer zweiten IP Adresse und eines zweiten shared secret um bei Nicht Erreichbarkeit des Hauptservers den Backupserver befragen zu k nnen Im folgenden erkl ren wir Ihnen zun chst detailliert die Funktionsweise des SecOVID Backup und Hoch verf gbarkeitssystems Dabei stellen wir Ihnen 3 verschiedene Strategien vor unter denen Sie ausw hlen k nnen Anschlie end erl utern wir wie Sie f r Datenredundanz sorgen Installation des Backupsystems oder Hoch verf gbarkeit gew hrleisten Installation des Hochverf gbarkeitssystems und Konfiguration des Hochverf gbar keitssystems Schlie lich beschreiben wir wie Sie die vorher vorgestellten Strategien implementieren KAPITEL 2 INSTALLATION 35 2 2 1 Funktionsweise 2 2 1 1 Welche Strategie ist f r Sie die richtige Sie haben verschiedene M glichkeiten Redundanz reines Backupsystem und Hochverf gbarkeit zu realisieren Im folgenden beschreiben wir die Hauptstrategien die Sie verfolgen k nnen Auch andere als die nun vorgestell ten Strategien lassen sich implementieren Konsultieren Sie bitte Abschnitt P 2 3 Strategie 0 Reines Backup Clients kennen nur Hauptserver kein Rollenwechsel manueller IP Wechsel im Problemfall M chten Sie die SecOVID Benutzerdaten redundant halten und im Falle eines Ausfalls des Hauptservers das Problem manuell beheben z B indem Sie einem Backupserver manuell die IP A
111. e das Verzeichnis etc SecOvid und eine Datei etc SecOvid sslclientsfile an 3 Registrieren Sie nun die Benutzer die ber Benutzerzertifikate verf gen in der Datei etc SecOvid sslclientsfile Die Eintr ge haben folgende Gestalt meyer C DE ST fasdfa L opiopi 0 452354 0U 98asdf CN fadf 1 1 binisik C DE ST Rheinland Pfalz L Worms 0 Kobil 0U www CN binisik 1 1 emre C DE ST Rheinland Pfalz L Worms 0 Kobil 0U www CN binisik 1 1 tak C DE ST Rheinland Pfalz L Worms 0 Kobil 0U development CN Markus Tak 1 0 tak admin C DE ST Rheinland Pfalz L Worms O www OU administration CN Markus Tak 0 1 Die Syntax und Bedeutung der Eintr ge lautet wie folgt e Jede Zeile beschreibt einen Benutzer e Jede Zeile enth lt 4 Felder die mit einem Doppelpunkt getrennt sind hnlich einer Passwort Datei in UNIX e Das 1 Feld ist der Loginname des Benutzers Unter diesem Namen kann sich der Benutzer beim SecOVID Server authentifizieren e Das 2 Feld ist der DN Distinguished Name des Benutzerzertifikats Dieser dient zur eindeutigen Unterscheidung der Benutzer durch ihre Zertifikate e Das 3 Feld ist ein Schalter mit den Werten 0 oder 1 Ist der Wert 0 gesetzt so ist der Zugang auf WWW Seiten f r diesen Benutzer generell untersagt der Benutzer ist auf dem Webserver gesperrt Ist der Wert 1 gesetzt so ist der Zugang prinzipiell erlaubt Der Benutzer hat sich nat rlich zu authentifizieren KAPITEL 3 INITIALE KONFIGURATION U
112. e im folgenden beschrieben vor Zur Standard Installation des SecOVID Servers empfohlen gehen Sie wie folgt vor 1 Loggen Sie sich als root ein 2 Falls dies nicht bereits automatisch geschehen ist so mounten Sie Ihr CD ROM Laufwerk so dass Pro gramme auf der CD ausf hrbar sind mount o exec cdrom 3 Starten Sie das Installationsskript UNIX install sh auf der CD lesen Sie die Ausgaben des Instal lationsskriptes zu Ihrer Information und folgen Sie den Anweisungen und Empfehlungen des Installati onsskriptes W hlen Sie insbesondere ein Installationsverzeichnis aus Im Falle eines Updates k nnen Sie entweder ein neues Verzeichnis w hlen und nach der Installation Ihre Konfigurationsdateien von Hand aus dem Verzeichnis der alten Version in der Verzeichnis mit der neuen Version kopieren oder Sie k nnen das Verzeichnis der vorhandenen Installation angeben Im zweiten Fall wird nur die aktuellen Versionen der Programme installiert ihre Konfigurationsdateien bleiben unver ndert erhalten sie sollten allerdings beachten dass Sie in diesem Fall den Server zun chst stoppen sollten um sicherzustellen dass die Datei nicht mehr vom Betriebssystem blockiert ist Zur Installation ist es notwendig den Kommunikationsinter faces z B RADIUS TACACS des SecOVID Servers Portnummern zuzuweisen Falls Ihre Systemdatei etc services bereits Eintr ge f r radius oder tacacs enth lt schl gt Ihnen das Installationsskript ggf vor die vorhandenen
113. e in allen UNIX Distributionen PAM unterst tzen Sie m ssen also im Einzelfall inbesondere bei X basierten Programmen ausprobieren ob das gew nschte Pro gramm funktioniert und gegebenenfalls nach einem alternativen Programm mit vergleichbarer Funktionalit t oder einfach nach einer neueren Version desselben Programms suchen Bei welchen Anwendungen dabei nach welcher Art von Passwort gefragt werden soll k nnen Sie als Admini strator des UNIX Systems konfigurieren Dabei haben Sie auf den Client Rechnern von denen Anfragen wie telnet gestartet werden keinerlei Software zu installieren Sie haben lediglich auf den UNIX Hosts einzugreifen deren Passwort berpr fungsmethoden Sie in Ihrem lokalen Netz optimieren wollen Wir unterst tzen zur Zeit UNIX Versionen die PAM Pluggable Authentication Modules verwenden Auf der CD befinden sich Bin rdateien f r folgende Betriebssystemversionen e SuSE Linux bzw openSUSE ab Version 8 3 e Solaris ab Version 9 Zur Installation des SecOVID Einmalpasswortschutzes in Ihrem lokalen UNIX Netz loggen Sie sich an den UNIX Hosts deren Passwort berpr fungsmethoden Sie verbessern wollen als root ein und f hren Sie jeweils folgende Schritte durch e Installation des PAM SecOVID Authentifikationsmoduls Kopieren Sie die Datei UNIX clients pam pam_ovid_auth so nach usr lib security Solaris bzw lib security Linux Kopieren Sie die Datei etc SecOvid ovidcomm pub vom SecOVID Server
114. e selbst verantwortlich Die Gew hrleistungsdauer f r die Software l uft sechs Monate nach Erwerb der Software ab W hrend der Gew hrleistungsdauer ist der Garantieservice f r den unver nderten Teil der Software durch fehlerbezogenen Softwareservice kostenfrei Softwareservice steht mindestens ein Jahr lang nach der allgemeinen Verf gbarkeit der Software zur Verf gung Wenn die Software innerhalb eines Jahres nach Erwerb der Lizenz nicht wie zugesichert funktioniert und KOBIL Systems das Problem mit einer Korrektur Einschr nkung oder Umgehung nicht l sen kann sind Sie berechtigt die Software an KOBIL Systems oder den KOBIL Systems Wiederverk ufer von dem Sie die Software erworben haben zur ckzugeben Sie erhalten den Kaufpreis zur ck Diese Gew hrleistung ersetzt alle sonstigen geltenden Gew hrleistungsbedingungen seien Sie ver ffentlicht oder stillschweigend g ltig einschlie lich aber nicht begrenzt auf die implizierte Gew hrleistung f r die Handels blichkeit und die Verwendungsf higkeit f r einen bestimmten Zweck Mit diesen Gew hrlei stungsbedingungen werden ausdr cklich bestimmte Rechte erteilt und au erdem k nnen noch andere Rechte gelten die von Rechtsordnung zu Rechtsordnung variieren Einige Rechtsordnungen erlauben nicht den Aus schluss von stillschweigenden Gew hrleistungsanspr chen oder deren Beschr nkung so dass der die obige Ausschluss Beschr nkung nicht anwendbar ist In diesem Fall sind solche Gew hrl
115. ecOVID_unblockPIN SecOVID_usertype type const char username PINUnblockCallback PINCallback unsigned short CTN const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_generateCard SecOVID_usertype type const char username PINVerificationCallback PINCallback unsigned short CTN int DEFAULT gen_nr 0 int DEFAULT forceGen 0 SecOVID_gentype DEFAULT gen_type SecOVID_LENGTH_8 const SecOVIDConnHandle DEFAULT connection NULL gen_nr automatically forced to 9 if type admin int SecOVID_importDB const char importfile const char logfile SecOVID_usertype type int InsertCardCallback int KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 94 unsigned short DEFAULT CTN 1 const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_exportDB const char exportfile const char logfile SecOVID_usertype type const char const DEFAULT names NULL unsigned short DEFAULT CTN 1 const SecOVIDConnHandle DEFAULT connection NULL Use names NULL to export _all_ users admins int SecOVID_generateSofttoken SecOVID_usertype type const char username const char tokendir const char pinfile unsigned short DEFAULT CTN 1 SecOVID_softtype DEFAULT st SecOVID_Softtoken_PIN int DEFAULT add_to_file 1 int DEFAULT weak 0 const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_generateEmergencyStatic const char username char password int DEFAULT hours 1 const SecOVIDC
116. efiniert der Benutzer geh rt keiner Gruppe an e Gruppennamel Gruppenname2 M gliche Generatorentypen e Undefined Undefiniert e Unknown Unbekannt e Chipcard Chipkarte e Chipcard 6 digit Chipkarte f r 6 stellige Einmalpassw rter e Token PIN SecOVID Token mit PIN Schutz nicht mehr unterst tzt e Token 6 digit PIN SecOVID Token f r 6 stellige Einmalpassw rter mit PIN Schutz nicht mehr un terst tzt e Token SP SecOVID Token mit Server PIN e Token 6 digit SP SecOVID Token f r 6 stellige Einmalpassw rter mit Server PIN Token PIN SP SecOVID Token mit PIN Schutz und Server PIN nicht mehr unterst tzt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 86 Token 6 digit PIN SP SecOVID Token f r 6 stellige Einmalpassw rter mit PIN Schutz und Server PIN nicht mehr unterstiitzt e Token SecOVID Token Token 6 digit SecOVID Token f r 6 stellige Einmalpassw rter e SoftToken SecOVID SoftToken Soft Token SP SecOVID Soft Token mit Server PIN e Static Statisches Notfallpasswort e Alias Reiner Alias ohne eigenen Generator Bei der Migration eines RSA ACE Server muss dem Generatortyp eine zus tzliche Option ace angef gt werden Dieses Flag signalisiert dem SecOVID Server dass die Benutzerauthentifizierung durch den RSA ACE Server vorgenommen wird Administratordaten ndern update adminlogin string1 new login string2 new lastname string3 ne
117. ehe Handbuch zu Ihrer Anwendung sch tzenden Anwendung andere Anwendungen siehe 2 3 B 2 Editieren Sie c etc SecOvid clients F r RADIUS Clients ETT Eintragen des Rechners der zu sch tzenden An wendung im SecOVID Server Eintra gen der IP Adresse des Clients und des shared secret F r RSA Clients unter Windows Editieren Sie Konfiguration der zu c WinNT system32 drivers etc ovid_config B 2 1 B 24 sch tzenden Anwendung und kopieren Sie die vom SecOVID Server er B 2 3 B 24 F r RADIUS Clients und zeugte Datei ovid_comm pu b vom Server als EZS TACACS Clients siehe c WinNT system32 drivers etc ovid_comm pub Handbuch des betreffen auf den Client BEZA den Produktes i a Eintragen der SecOVID Server IP Adresse und des shared secret F r RSA Clients Eintra gen von IP Adresse Portnummer und Public Key des SecOVID Servers KAPITEL 2 INSTALLATION 20 2 1 SecOVID Serversystem Im vorliegenden Handbuch bezeichnen wir mit dem SecOVID Serversystem die Gesamtheit aller Dateien die zum SecOVID Server inkl SecOVID Datenbank und zu den SecOVID Administrationstools geh ren 2 1 1 Installationsvoraussetzungen Voraussetzungen f r die Installation und Inbetriebnahme des SecOVID Servers e Eine der folgenden Plattformen PC i86 SuSE Linux bzw openSUSE 8 3 oder neuer PC i86 Windows 2000 ab SP3 XP ab SP1 2003 Server oder Vista SUN SPARC Solaris 9 oder neuer e CD ROM
118. eim Starten des Kommandozeilentools automatisch nach einem Chipkarten terminal gesucht wird Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel wird nicht automatisch nach einem Chipkartenterminal gesucht d h im jeweiligen Kommando m sste explizit angegeben werden an wel chem COM Port das Chipkartenterminal installiert ist Der Wert O bedeutet dass die Chipkarten PIN bei neu anzulegenden Benutzern rein numerisch sein soll nur Ziffern Der Wert 1 bedeutet dass die Chipkarten PIN bei neu anzulegenden Benutzern alphanumerisch sein soll Buchstaben und Ziffern Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel bestehen k nftig zu verwendende Chipkarten PINs nur aus Ziffern Der Wert O bedeutet dass die Chipkarten PUK bei neu anzulegenden Benutzern rein numerisch sein soll nur Ziffern Der Wert 1 bedeutet dass die Chipkarten PUK bei neu anzulegenden Benutzern alphanumerisch sein soll Buchstaben und Ziffern Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel bestehen k nftig zu verwendende Chipkarten PUKs nur aus Ziffern Diese Zeile enth lt die L nge der Chipkarten PIN f r neu anzulegenden Benutzer Im Beispiel sind Chipkarten PINs f r neu anzulegende Benutzer sechsstellig Diese Zeile enth lt die L nge der Chipkarten PUK f r neu anzulegende Benutzer Im Beispiel sind Chipkarten PUKs f r neu anzulegende Benutzer sechsstellig Es k nnen bis zu 10 vers
119. ein rlogin auf einen Solaris Rechner nur noch unter Angabe eines g ltigen Einmal passwortes m glich sein Dann editieren Sie die Datei etc pam conf entsprechend Ihres Entschlusses Falls Benutzer beim rlogin statt eines UNIX Passwortes ein Einmalpasswort vorlegen sollen so ersetzen Sie die Zeile in der festgelegt wird dass ein UNIX Passwort eingegeben werden muss durch eine entsprechende SecOVID Zeile Ersetzen Sie also in der Datei etc pam conf die Zeile rlogin auth required lib security pam_unix so 1 durch die Zeile rlogin auth required lib security pam_ovid_auth so Auf der CD finden Sie in der Datei UNIX clients pam pam conf folgendes Konfigurationsbeispiel ident pam conf 1 19 95 11 30 SMI PAM configuration Authentication management login auth required usr lib security pam_unix so 1 login auth required usr lib security pam_dial_auth so 1 rlogin auth sufficient usr lib security pam_rhosts_auth so 1 rlogin auth requisite usr lib security pam_unix so 1 rlogin auth required usr lib security pam_ovid_auth so dtlogin auth required usr lib security pam_unix so 1 rsh auth required usr lib security pam_rhosts_auth so 1 other auth required usr lib security pam_unix so 1 Account management login account requisite usr lib security pam_unix so 1 dtlogin account required usr lib security pam_unix so 1 other account required usr lib security pam_unix so 1 Session management other session require
120. einbarung betrifft Verbraucherschutzrechte die gesetzlich unabdingbar sind KOBIL Systems kann Ihre Lizenz beenden wenn Sie die Bedingungen in dieser Vereinbarung nicht einhalten In diesem Fall erlischt auch Ihre Berechtigung zur Nutzung der Software Sie verpflichten sich die geltenden Exportgesetze und bestimmungen einzuhalten Sie und KOBIL Systems verpflichten sich im Rahmen dieser Vereinbarung zu einer Verj hrungsfrist von zwei Jahren nach Eintreten des Klagegrunds Gesetzliche Fristen bleiben unber hrt Weder Sie noch KOBIL Systems sind verantwortlich f r nicht erf llte Verpflichtungen auf Grund h herer Gewalt Kapitel 6 Support Falls Sie technischen Support ben tigen konsultieren Sie bitte zun chst die FAQ Liste frequently asked que stions unter www kobil com Hilft dies nicht weiter wenden Sie sich an Ihren H ndler der Ihnen First Level Support gew hrt Adresse des Herstellers KOBIL Systems GmbH Pfortenring 11 D 67547 Worms www kobil com Wenn Sie Support in Anspruch nehmen halten Sie bitte die folgenden Informationen verf gbar Falls Sie per E Mail Kontakt aufnehmen senden Sie die folgenden Informationen unbedingt mit 1 Die Nummer Ihres Support Vertrages 2 Ihre SecOVID Softwareversionsnummer Sie finden diese Nummer auf Ihrer SecOVID CD ROM 3 Die ausf hrlichen Versionsinformationen ber SecOVID Server und SecOVID Administrationstool Sie erhalten diese Versionsinformationen unter Linux mit dem Komm
121. einem anderen Server zu kopieren Zur Unterst tzung dieser M glichkeit k nnen sie sich jeweils einen connec tion handle zur ckgeben lassen der dann in allen weiteren Funtionsaufrufen benutzt werden sollte Wenn Sie sicher sind dass Sie auch zuk nftig mit einer Datenbankverbindung auskommen k nnen Sie hier stets NULL bergeben bzw in C diesen letzten Parameter einfach weglassen Um die Verbindung zur Datenbank wieder zu schlie en benutzen Sie die Funktion int SecOVID_close SecOVIDConnHandle DEFAULT connection NULL F r bestehende Verbindungen k nnen Sie mit den Funktionen int SecOVID_getAdminName char admin SecOVIDConnHandle DEFAULT connection NULL int SecOVID_getAdminGroups int grp SecOVIDConnHandle DEFAULT connection NULL auf den Namen des Administrators der die Verbindung aufgebaut hat bzw auf seine Gruppenzugeh rigkeit zugreifen Dabei sollten die Parameter admin bzw grp jeweils auf den Beginn eines ausreichend gro en Arrays zeigen f r admin also typischerweise wenigstens 16 Byte und f r grp wenigstens 8 Byte 3 1 4 2 Verbindung zum Kartenleser Um die schon angesprochene Verbindung zum Kartenleser aufzubauen bzw abzubauen und im Bedarfsfall die PIN zu verifizieren bzw mit Hilfe der PUK freizuschalten stehen die folgenden Funktionen zur Verf gung DLLIMPEXP int SecOVID_SearchCardTerminalIndex int SecOVID_SearchA11CardTerminalIndices void SecOVID_SetCardTerminalIndex int index
122. einmalig den SecOVID Server in Ihrem Firmennetzwerk zu installieren In der Praxis haben sich u a folgende Router oder Einwahlsysteme als vollkommen problemlos im Zusam menspiel mit dem SecOVID System erwiesen Windows 2000 XP 2003 RAS RADIUS Cisco Router RADIUS und TACACS Ascend Router RADIUS Bsp Ascend MAX 4000 Bintec Router RADIUS Kopplung mit einem Virtual Private Network VPN Wenn Sie m chten dass Ihre Benutzer nach der Einwahl gesichert mit Ihrem Firmennetz kommuniziert Verschl sselung der bertragenen Daten und berpr fung der Datenintegrit t so installieren Sie zus tz lich zu Firewall Router oder Einwahlserver siehe oben ein VPN SecOVID arbeitet mit allen g ngigen VPNs zusammen In der Praxis haben sich u a folgende VPNs als vollkommen problemlos im Zusammenspiel mit SecOVID erwiesen Check Point VPN 1 Stonesoft StoneGate NCP VPN Gateway RADIUS F Secure VPN Cisco VPN Gateway Conware VPN Gateway Starke Authentifikation f r Ihr e Business KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 14 e Online Bereitstellung von Informationen oder Internet Applikationen f r einen ausgew hlten Personen kreis Durch die Anbindung von Webservern z B Apache Server oder des MS ISA Servers an SecOVID kann der Zugriff auf einzelne Verzeichnisse des Webservers dem SecOVID Schutz unterstellt werden Somit k nnen Sie beispielsweise daf r sorgen dass nur registrie
123. eistungen auf die Dauer der Gew hrleistungsperiode befristet Nach Ablauf dieser Periode gibt es keine Gew hrleistung mehr 5 5 Haftungsbeschr nkung Unabh ngig vom Grund eines Schadensersatzanspruches gegen die KOBIL Systems einschlie lich grundlegen dem Vertragsbruch Fahrl ssigkeit falscher Darstellung oder anderem Rechtsbruch ist die Haftung der KOBIL Systems wie nachfolgend aufgef hrt begrenzt auf 1 Schadenersatz f r Personensch den und Sch den an Immo bilien und nicht immateriellen beweglichen Sachen und 2 andere direkte Sch den bis zu einer Summe von EUR 12 500 oder entsprechender Betrag in der Landesw hrung bzw auf die Geb hren f r die Software die Gegen stand des Anspruchs ist KOBIL Systems haftet nicht f r spezielle mittelbare oder Folgesch den oder andere gesch ftliche Folgesch den einschlie lich entgangenem Gewinn oder entgangenen Einsparungen selbst wenn die KOBIL Systems oder Ihr Wiederverk ufer ber die M glichkeit solcher Sch den informiert wurde KOBIL Systems haftet nicht f r 1 den Verlust oder die Besch digung von Daten 2 irgendwelche Schadensersatzan spr che basierend auf Anspr chen Dritter Diese Haftungsbeschr nkung gilt auch f r Entwickler von Software die an KOBIL Systems geliefert wird Dies ist die H chstgrenze f r die KOBIL Systems und ihre Lieferanten gemeinsam haftbar gemacht werden k nnen KAPITEL 5 LIZENZVEREINBARUNG 118 5 6 Allgemein Keine Bestimmung in dieser Ver
124. eiterter Helpdesk bzw Helpdesk werden dann nur noch die Men punkte aufgez hlt die diese Admninstratoren Typen verwenden k nnen ohne n her auf die Punkte einzugehen Die Men leiste als Administrator Die Men leiste eines Administrators enth lt folgende Men punkte Programm e Konfiguration Festlegen der Erreichbarkeit von SecOVID Datenbank und Chipkartenterminal sowie Vorgabe der Default werte die im Programm benutzt werden Dazu steht ein Dialog mit f nf Karteikarten zur Verf gung Durch Anklicken des OK Buttons wird gepr ft ob die eingestellten Werte sinnvoll sind Falls die SecOVID Datenbank oder das Chipkartenterminal nicht erreichbar sind erhalten Sie eine entsprechende Warnung Die Seite Datenbank Unter Datenbank IP tragen Sie die IP Adresse oder den Namen des Computers ein auf dem der SecOVID Server l uft Die sicherheitssensitive Datenbank wird so konfiguriert dass nur von bestimmten Rechnern aus per Administrator Chipkarte Remotezugriff m glich ist Die Datei etc SecOvid db_allow enth lt die IP Adressen aller Rechner die auf die SecOVID Datenbank zugreifen d rfen Unter Datenbank Port tragen Sie die Port Nummer ein auf welcher der SecOVID Server ber sein Interface secoviddb siehe etc services auf Anfragen wartet Standard Wert 1113 Bitte beachten Sie F r den SecOVID Server ist die Port Nummer ma geblich die in der Datei etc services hinter secoviddb vermerkt is
125. eliefert e OTP Erzeugung auf Knopfdruck e Anzeige des OTPs am Display e Diebstahlschutz Zwei Faktor Authentisierung durch optionale ServerPIN e Eingabe des OTPs durch den Benutzer in die Anmeldemaske der Anwendung ggf mit ServerPIN SecOVID SoftToken e Benutzer individueller geheimer Schl ssel wird bei Erstellung des Soft Tokens generiert e OTP Erzeugung nach PIN Eingabe am mobilen Endger t Zwei Faktor Authentisierung e Anzeige des OTPs am Display des mobilen Endger ts e Eingabe des OTPs durch den Benutzer in die Anmeldemaske der Anwendung SecOVID Reader III mit SecOVID Chipkarte e Benutzer individueller geheimer Schl ssel wird bei Personalisierung der Chipkarte generiert e Chipkarten k nnen zentral oder dezentral massenpersonalisiert werden e OTP Erzeugung nach Eingabe der Chipkarten PIN am SecOVID Reader III e Offline Modus Anzeige des OTPs am Display des SecOVID Reader III und manuelle Eingabe in die Anmeldemaske der Anwendung e Online Modus bertragung des OTPs an den PC mit der GetPWD Anwendung e Die Chipkarte kann auch mit weiteren Anwendungen genutzt werden z B PKI KOBIL mIDentity mit SecOVID Chipkarte im SIM Format e Benutzer individueller geheimer Schl ssel wird bei Personalisierung der Chipkarte generiert e Chipkarten k nnen zentral oder dezentral massenpersonalisiert werden e OTP Erzeugung nach Eingabe der Chipkarten PIN e Automatisches Einf gen des OTP in die Anmeldemaske der Anwendung Simple Sig
126. em Fall wird der Client wenn er vom ersten Server keine Antwort bekommt die Anfrage automatisch an den zweiten Server richten Um sich dagegen abzusichern dass durch momentane Lastspitzen die den Hauptserver zu Unrecht unerreichbar scheinen lassen die Synchronit t der beiden Server gef hrdet wird tragen sie in diesem Fall bitte zus tzlich in der Datei etc SecOvid db_allow auf dem designierten Backup Server einen mirror Eintrag ein der alle Anfragen auf den Hauptserver spiegelt so dass nun beide Server alle Anfragen zum jeweils anderen spiegeln Beachten Sie dabei dass alle Konfigura tionsdateien z B users tacacs und clients und insbesondere die Datenbank ovid_data auf beiden Servern KAPITEL 2 INSTALLATION 36 synchron sein m ssen Dies ist insbesondere beim initialen Starten des Systems und wenn einer der beiden Rech ner nach einem Ausfall wieder hochgefahren wird ein nicht ganz triviales Problem Im laufenden Betrieb sorgt das automatische Spiegeln der Anfragen daf r dass zumindest die Datenbank ovid_data auf beiden Rechnern synchron bleibt f r die sonstigen Konfigurationsdateien m ssen Sie allerdings selbst daran denken diese auf beiden Rechnern zu ndern und gegebenenfalls auf beiden Rechnern den SecOVID D mon anzuhalten und neu zu starten bzw ihn durch Senden des HUP Signals zu veranlassen die Konfigurationsdateien neu einzulesen Wenn einer der beiden Server neu gestartet wird w hrend der andere l uft ist zu beachten d
127. en Chipkarten oder Token Daten Ein tr ge aus der Datenbank 2 Nach Anklicken des Men punktes erscheint eine Tabelle die in den zwei ersten Spalten den Namen und den Generator Typ der anonymen Daten enth lt Durch Dr cken der CheckBoxen Chipkarte bzw Token wird die SecOVID Datenbank nach weiteren freien SecOVID Daten durchsucht und die ersten zwei Spalten der Tabelle werden erg nzt 3 Durch Klicken des ACE Buttons w hlen Sie die RSA ACE Daten aus welche Sie vorher aus der ACE Server Datenbank exportiert und mit dem Tool ace2secovid konvertiert hatten die den SecOVID Daten zugewiesen werden sollen 4 Die ausgew hlten Datens tze werden automatisch einem SecOVID Datensatz zugeordnet Vorschlag KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 68 Match to ACE Data E I Chipkarten IV Token Daten Generator Typ assigned to Benutzername 12000023 12000024 12000025 12000026 12000027 12000028 12000029 12000030 12000031 12000032 12000033 12000034 12000035 12000036 12000037 12000038 12000039 12000040 12000041 Status AED ly free ED y Free CESE ly free CAGE free AE y fre AED Free 4D y Free D Free SED Free Dre EBD free Di fre EE l free QED Free Dre HEE free Bir ED Free 36 SecOVID Daten geladen 12 Benutzer importiert bbb cce ddd eee tff 999 hhh m Mi kkk Il UNNA Name 999 Vorname 999
128. en Die Software ist Eigentum der KOBIL Systems GmbH oder eines Lieferanten von KOBIL Sy stems sie ist urheberrechtlich gesch tzt und wird lizenziert nicht verkauft Unter Software sind im Sinne dieser Vereinbarung die Originalsoftware und alle vollst ndigen oder teilwei sen Kopien hiervon zu verstehen Software besteht aus maschinenlesbaren Anweisungen Daten akustischem optischem Inhalt z B Grafiken Text Aufnahmen oder Bilder und zugeh rigem lizenziertem Material 5 1 Lizenz Nutzung der Software Sie erhalten von der KOBIL Systems ein nicht ausschlie liches Recht zur Nutzung der Software Sie sind berech tigt 1 die Software im Rahmen der erworbenen Berechtigungen zu nutzen und 2 f r den Verwendungsumfang erforderliche Kopien zu erstellen und zu installieren sofern Sie den Copyrightvermerk und eventuelle andere Eigentumshinweise auf jeder Kopie oder teilweisen Kopie der Software anbringen Bei Erwerb dieser Software als Upgrade endet die Berechtigung zur Nutzung der Software auf dessen Basis das Upgrade erfolgte Sie ver pflichten sich dass jeder Benutzer die Software nur bestimmungsgem verwendet und die Bedingungen dieser Vereinbarung beachtet Sie sind nicht berechtigt 1 die Software in anderer Weise als hierin beschrieben zu nutzen zu kopieren zu ndern oder weiterzugeben 2 die Software zu disassemblieren oder zu decompilieren oder in anderer Weise zu bersetzen sofern eine solche bersetzung nicht durch a
129. en Das WAP Gateway von T Mobile stellt dabei folgende Anforderungen um eine Verbindung aufzubauen 1 Anfragen an den Server werden standardm ig an Port 80 bzw 8080 f r eine ungesicherte HTTP Verbindung gestellt 2 Anfragen bei gesicherten HTTPS Verbindungen werden standardm ig an Port 443 gestellt 3 Bei gesicherten HTTPS Verbindungen muss das austellende Root Zertifikat vom Gateway als vertrau ensw rdig eingestuft sein KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 100 4 Werden auf dem Server access Listen verwendet so m ssen bestimmte IP Adressen ber die das Gateway kommuniziert Zugriff erhalten Genauere Informationen erhalten Sie vom Betreiber des Gateways Insbesondere Punkt 3 muss besondere Beachtung finden da es in manchen F llen nicht ausreicht das passende Root Zertifikat zu verwenden Ein solcher Fall liegt dann vor wenn das Serverzertifikat nicht direkt von einem der Root Zertifikate signiert wurde sondern eine Zwischeninstanz enth lt Es kann sein dass dieses Zertifikat der Zwischeninstanz im Gateway unbekannt ist und somit der Verbindungswunsch seitens des Gateways abge lehnt wird Um ein Zwischenzertifikat im Gateway bekannt zu machen muss der Tomcat Server dieses beim Verbindungsaufbau bertragen Somit kann das Gateway die Zertifikatskette bis zur Root vervollst ndigen und die Verbindung wird akzeptiert Das bertragen solcher Zertifikatsketten wird im Keystore erm glic
130. en Der Administrator greift remote ber eine eigene Web Applikation auf das Kommandozeilentool zu welches remote den Server administriert Administrations Bibliothek Schlie lich steht der gesamte Umfang der Administrationstools auch in Form einer Bibliothek zur Integration in eigene Verwaltungsprogramme zur Verf gung Auch hier finden die gleichen Sicherheitsmechanismen wie f r die Administrationstools Verwendung 1 4 1 2 Datenbank Die erforderlichen Authentifikationsdaten der SecOVID Benutzer werden in einer f r die SecOVID Anwendung Performance optimierten internen Datenbank gespeichert Benutzerprofile Berechtigungslisten k nnen RADIUS und TACACS konform in entsprechenden Dateien gespeichert werden KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 9 1 4 2 Personalisierung 1 4 2 1 Personalisierung von Chipkarten Der Betreiber des SecOVID Systems erwirbt leere Chipkarten d h Chipkarten ohne jegliche Anwendungsdaten und schreibt selbst mit Hilfe der SecOVID Administrationstools die Applikation Einmalpasswortgenerator auf die Chipkarte Zur Personalisierung also zum initialen Schreiben des Einmalpasswortgenerators auf die Chipkarte stehen folgende M glichkeiten zur Verf gung a Manuelles Einlegen jeder einzelnen Chipkarte Die Benutzer f r die ein Einmalpasswortgenerator auf eine Chipkarte geschrieben werden soll werden selektiert im SecOVID Administrationstool mit GUI per Mausklick im Kommandozeilen Administra t
131. en sollten Sie berlegen welche Client Software nun vor bergehend nicht funktionieren wird und ob ggf Ma nahmen wie Umkonfigurationen notwendig sind um diesen Ausfall zu berbr cken Zur Deinstallation der aller auf Windows Rechnern installierten Module nutzen Sie die betriebssystemseiti ge Unterst tzung zur Deinstallation von Software Start gt Einstellungen gt Systemsteuerung gt Software gt Deinstallation gt Entfernen Zur Deinstallation des Unix Schutzes falls Sie ihn installiert haben m ssen Sie die PAM Konfigurationsdatei dahingehend editieren dass das Modul pam_ovid_auth so nicht mehr und gegebenenfalls ein anderes PAM Modul z B pam_unix so wieder benutzt wird vgl Abschnitt P 3 9 Verifizieren Sie dann dass Sie sich nun ohne Einmalpasswort anmelden k nnen Danach k nnen Sie auf den Clients die Dateien usr lib security pam_ovid_auth so etc SecOvid ovidcomm pub und etc SecOvid ovid_config ent fernen Wenn die M glichkeit des Remote Zugriffs f r Ihr internes Netzwerk stark genutzt wird sollten Sie auch Router oder Firewalls oder sonstige relevante TACACS oder RADIUS Clients zun chst umkonfigurieren Evtl vorhandene Webserver und sonstige Clienten k nnen Sie wahrscheinlich auch nach der Deinstallation des Servers bei Auftreten von Problemen umkonfigurieren idealerweise konfigurieren Sie aber auch diese so um dass sie unabh ngig vom SecOVID Server funktionieren bevor Sie sich daran machen den Serve
132. en Informationen zum Benutzer den Benutzernamen editierbar Name und Vorname editierbar weitere Generatoren die PIN die auf die Karte des Benutzers geschrieben wurde bzw beim Anlegen eines Generators auf die Karte geschrieben wird editierbar die bei der Verwendung eines Tokens mit PIN Schutz eingegeben werden muss die als Server PIN verwendet wird die PUK die auf die Karte geschrieben wurde bzw beim Anlegen eines Generators auf die Karte geschrieben wird die Seriennummer des Tokens bzw der Chipkarte der Generator der vom Benutzer zum Erzeugen eines Einmalpasswort verwendeten wird die Gruppe n in der der Benutzer Mitglied ist wann die Karte Token erstellt wurde wann der Benutzer sich beim SecOVID Server zuletzt angemeldet hatte das letzte Einmalpasswort des Benutzers die SecOVID Server Systemzeit zu welcher der ggf f r eine gewisse Zeitspanne gesperrte Benutzer sich wieder mit korrektem Einmalpasswort authentifizieren kann unter Status ob der Benutzer gesperrt wurde oder nicht Im letzten Fall gibt z B 2 Fehler die Anzahl der Fehlversuche hier 2 seit dem letzten erfolgreichen Einloggen an Neuer Benutzer Sie erhalten ein Men in welchem Sie Benutzername Name und Vorname des neu anzulegenden Be nutzers eintragen Durch das Markieren einer oder mehrerer Gruppen in der Auswahlbox wird dem Benutzer die selektierte n Gruppe n zugewiesen Di
133. en SecOVID RSA Clients z B alle UNIX Hosts die durch SecOVID gesch tzt werden bekannt machen m ssen Kopieren Sie dazu die Datei etc SecOvid ovidcomm pub an die vorgesehenen Stellen auf den RSA Clientrechnern 3 1 2 Bedienung des SecOVID Administrationstools Im folgenden beschreiben wir die Bedienung des SecOVID Administrationstools Admintool zur Benutzer und Kartenverwaltung Beachten Sie dass Sie zur Bedienung des Administrationstools entweder ein registrierter Administrator mit Administrator Chipkarte sein oder lokal auf derselben Maschine auf der der SecOVID Server l uft arbeiten m ssen Die SecOVID Administratoren werden ebenfalls mit diesem Tool verwaltet Daher m ssen Sie bei einer ersten Installation zun chst das Administrationstool auf dem SecOVID Server installieren und lokal d h vom Rech ner des SecOVID Servers aus SecOVID Administratoren und Chipkarten f r diese Administratoren erzeugen Danach k nnen Sie das SecOVID Administrationstool auf weiteren Rechnern installieren und mit Hilfe der Administrator Chipkarten remote auf den SecOVID Server zugreifen Hinweis Aus Sicherheitsgr nden starke Authentifikation des Administrators und Verschl sse lung aller bertragenen Daten ist eine Remote Administration des SecOVID Servers ausschlie lich per Administrator Chipkarte m glich Die lokale Administration des SecOVID Servers ist sowohl mit als auch ohne Administratorchipkarte m glich Wir empfehlen allerdin
134. en Sie auch die Prozess ID des SecOVID D mons bestimmen und dann den Prozess mittels kill lt Prozess ID gt stoppen z B ergibt sich unter Linux folgender Ablauf ps x grep secovid 228 S 0 00 etc Sec0vid secovid kill 228 w hrend dieselbe Operation unter Solaris wie folgt aussehen k nnte ps e grep secovid 228 0 00 secovid kill 228 Starten und Stoppen des SecOVID Servers unter WinNT e Der SecOVID Server kann unter Systemsteuerung gt Verwaltung gt Dienste gestartet bzw gestoppt wer den Wahlweise k nnen in einer Eingabeaufforderung auch die Kommandos net start secovid bzw net stop secovid benutzt werden Editieren der SecOVID Datenbank Jegliches Editieren und Anschauen der SecOVID Datenbank wird ber das SecOVID Administrationstool vorgenommen Zum Starten des Administrationstools muss der SecOVID D mon etc SecOvid secovid Unix bzw der SecOVID Service Win32 laufen denn dieser enth lt den Datenbankserver ndern der SecOVID Server Startoptionen Zum ndern der Startoptionen editieren sie auf UNIX Systemen das Startskript secovid sh indem sie die gew nschten Optionen einfach an das Startkommando secovid anh ngen Auf Windows Systemen tragen Sie die gew nschten Parameter in die Datei secovid arg im Verzeichnis etc SecOvid ein ggf m ssen Sie diese Datei zun chst erzeugen beachten Sie dass Sie je nach verwendetem Editor die Endung txt entfernen m ssen wobei jede Option in eine eigene
135. en schon laufenden Hauptserver zu kontaktie ren Schl gt dies fehl beendet sich der SecOVID D mon Ist der Hauptserver erreichbar so wird die Konfigurationsvariable Init betrachtet ist diese auf 1 gesetzt so l dt der Backupserver die Konfigu rationsdateien vom Hauptserver und leitet seine Konfiguration automatisch aus der des Hauptservers ab L uft auf dem Hauptserver bereits ein SecOVID D mon so bernimmt der Backupserver nun einfach seine Datenbank und nimmt die Arbeit auf andernfalls werden die Dateien ovid_data von Haupt und Backupserver zu einer gemeinsamen Version verschmolzen bevor beide Server die Arbeit aufnehmen e Der secbak D mon auf dem Hauptserver 1 Wenn der Hauptserver bemerkt dass er keine Netzwerkverbindung in die Au enwelt hat stoppt er seinen SecOVID D mon secovid Zudem wechselt der Hauptserver der nun nicht mehr als SecOVID Hauptserver agiert zur IP Adresse FirstIP 2 Bei einer Unterbrechung der Netzwerkverbindung des Hauptservers zur Au enwelt wird der Backup server die Aufgabe des Hauptservers bernehmen Wird zu einem sp teren Zeitpunkt die defekte Netzwerkverbindung wieder repariert bleibt der ehemals als Hauptserver fungierende Rechner bei seiner Dummy Adresse FirstIP so dass er dem jetzt als Hauptserver agierenden Rechner nicht in die Quere kommt aber dennoch f r den Administrator f r eine Reparatur via Remote Login auf die Adresse FirstIP zur Verf gung steht 3 Hat der Hauptserver
136. ents die Profile der RADIUS Benutzer etc SecOvid users die Profile der TACACS Benutzer etc SecOvid tacacs der Schl ssel f r RSA Clients etc SecOvid ovidcomm pub Nach Abarbeitung der geschilderten Schritte und Neustart von Haupt und Backupserver haben Sie das SecOVID Backupsystem installiert und in Betrieb genommen Das bedeutet die SecOVID Benutzerdaten des Hauptser vers liegen ab jetzt automatisch redundant auf dem Backupserver vor Von jetzt an leitet der SecOVID Server n mlich alle Passwortanfragen und Administrationsanweisungen automatisch an den Backupserver weiter wel cher die Anfragen und Anweisungen genauso abhandelt wie der Hauptserver Achtung Anfragen die vom Backupserver ausgehend zum Hauptserver geschickt werden werden nicht an den Backupserver zur ckgespiegelt Vermeiden Sie es daher am besten das Administrationstool berhaupt auf dem Backupserver zu verwenden evtl mit Ausnahme des Einspielens Aktualisierens der Datenbank wie oben beschrieben oder einen Authentifikations Client auf dem Backupserver zu installieren KAPITEL 2 INSTALLATION 40 2 2 2 2 Installation des Hochverfiigbarkeitssystems Strategie 1 Zur Installation der Hochverf gbarkeit Ausfallsicherheit ohne manuellen Eingriff des SecOVID Systems m ssen Sie entweder Haupt und Backupserver und alle Clients geeignet konfigurieren Strategie 1 oder den SecOVID Backup D mon sowohl auf dem Rechner des Hauptservers als auch auf dem Rechner
137. enutzen wollen m ssen Sie zun chst die Datei Idap conf anlegen in der Sie beschreiben m ssen wie der Benutzername der Nachname und der Vorname die in der SecOvid Datenbank eingetragen werden sollen aus den LDAP Attributen des Benutzers in Ihrer LDAP Datenbank abgeleitet werden sollen Sobald dies geschehen ist k nnen Sie nach Auswahl des Men punktes in dem Fenster das sich dann ffnet spezifizieren welche Benutzer aus welcher LDAP Datenbank importiert werden Die genaue Syntax hierf r ist abh ngig vom verwendeten LDAP Server Syntax der Datei 1dap conf Abgesehen von Leerzeilen und Kommentarzeilen die mit beginnen muss die Datei ldap conf genau 3 Zeilen der Form lt Variable gt lt LDAP Attributname gt ALL BUT lt Zahl gt enthalten wobei die von und eingeschlossenen Teile optional sind F r lt Variable gt sind dabei die 3 Werte login name und given name zul ssig lt LDAP Attributname gt bezeichnet den Namen eines Attributs in Ihrer LDAP Konfiguration Dabei wird normalerweise das gesamte Attribut ber nommen wobei im Falle des von login automatisch alle Zeichen in Kleinbuchstaben umgewandelt werden W nschen Sie diese Umwandlung nicht oder wollen Sie sie auch f r name oder given name verwenden so k nnen Sie dies durch das Symbol anzeigen Falls das Attribute wie z B im Falle des common name cn aus mehreren Worten besteht so ist es unter Umst nden w nschenswert nicht alle W rter zu
138. enutzer die Generatoren der ausgew hlten Benutzer ebenfalls g ltig sein sollen Nachdem Sie dies getan haben erscheint ein Fenster das nochmal zeigt wessen Generatoren Sie jetzt bearbeiten Im rechten Fenster sind dabei die Generatoren aufgef hrt die bereits f r diesen Benutzer g ltig sind im linken Fenster sind die Generatoren aufgef hrt die sie hinzuf gen wollen Um nun einen Generator wirklich f r einen Benutzer freizuschalten m ssen Sie ihn vom linken in das rechte Fenster bewegen und k nnen ihn dort mittels der Buttons Auf und Ab einsortieren Achtung Beachten Sie dass hierbei die Passw rter jeden Benutzers der auf der rechten Seite unterhalb eines anderen Benutzers steht auch f r diesen anderen Benutzer akzeptiert werden der Besitzer des untersten Generators kann sich also mit allen rechts aufgef hrten Namen anmelden soweit diese im System vorhanden sind Beachten Sie au erdem dass zur Verifikation eines Passworts die Generatoren in der aufgef hrten Reihen folge von oben nach unten durchprobiert werden Um eine m glichst schnelle Bearbeitung zu gew hrleisten und um Komplikationen zu minimieren die entstehen k nnen wenn ein Passwort zuf llig f r mehrere Ge neratoren g ltig sein sollte sollten Sie die Generatoren nach der H ufigkeit mit der sie benutzt werden sortieren das meistbenutzte zuoberst In den meisten F llen wird die Reihenfolge mit Blick auf die Zugriffsrechte egal sein wenn Sie etwa
139. er auch folgender Gestalt sein Licence for ovid radius KOBIL Test Lizenz Users 20 valid till Mon Aug 5 14 55 55 2002 Your licence expired It was valid till Mon Aug 5 14 55 55 2002 Die installierte Lizenzdatei ist in diesem Beispiel zeitlich nicht mehr g ltig Besorgen Sie sich ber Ihren SecOVID H ndler eine g ltige Lizenzdatei und installieren Sie diese siehe unten 5 Falls Sie eine g ltige Lizenzdatei installieren m chten gehen Sie wie folgt vor a Kopieren Sie die g ltige Lizenzdatei ovid_licence ins Installationsverzeichnis cp UNIX ovid_licence INSTALL_DIR b Starten Sie den SecOVID Server erneut beispielsweise durch etc rc d rc2 d S6bsecovid restart c berzeugen Sie sich davon dass der SecOVID Server l uft z B durch Eingabe von 8 ps aux fgrep secovid 6 Die Installation Ihres SecOVID Servers ist abgeschlossen Fahren Sie mit der Installation des SecOVID Administrationstools siehe Abschnitt fort Bemerkung Folgende Dateien werden vom SecOVID Server beim ersten Start im Verzeichnis INSTALL_DIR erzeugt e ovidcomm key Der private Schl ssel des SecOVID Servers f r die gesicherte Kommunikation mit den RSA Clients Dieser wird vom SecOVID Server f r die Entschl sselung von Passwortanfragen verwendet Der SecOVID Server erzeugt das Paar aus privatem und ffentlichem Schl ssel bei seinem ersten Start und legt die betreffenden Dateien an Somit findet die Schl sselerzeugung bei Ihnen vor Ort sta
140. er ein RADIUS Server der Passwortanfragen seinerseits nach geeigne ter Konfiguration zwecks berpr fung an den SecOVID Server weiterleitet Dar ber hinaus haben Sie in der Firewall sowie im RADIUS bzw TACACS bzw SecOVID Server je nachdem mit wem die Firewall direkt kommuniziert ein shared secret einzutragen Stellen Sie sicher dass die RADIUS konforme Kommunikation zwischen Firewall und SecOVID Server nicht durch eine weitere Firewall behindert wird Das bedeutet die ggf in der Mitte vorhandene Firewall muss all UDP Pakete durchlassen die von der zu st rkenden Firewall zum SecOVID Server auf dessen RADIUS Port in der Regel Port 1812 siehe den Eintrag radius in der Datei etc services des SecOVID Servers gesendet werden Zudem muss die mittlere Firewall alle UDP Pakete durchlassen die vom SecOVID Server an die zu st rkende Firewall undefinierter Port zur ckgesendet werden Entsprechendes gilt f r TCP Pakete auf den TACACS Port in der Regel Port 49 des SecOVID Servers sofern Sie TACACS Clients verwenden 3 2 5 Konfiguration Schutz der Einwahl ber Windows 2000 XP 2003 RAS Wollen Sie Benutzern die M glichkeit bieten sich Ihrem Windows 2000 XP 2003 System einzuw hlen wobei die Authentifikation ber SecOVID Einmalpassw rter erfolgen soll so k nnen Sie dies einfach mit dem Routing and Remote Access Service RRAS erreichen Hinweise zur Installation finden Sie in Abschnitt Ein Benutzer der sich von einem Client Rechn
141. er einw hlt bergibt dann beim Einw hlvorgang Benutzername und Einmalpasswort statt Benutzername und Windows Passwort und wird dar ber authentifiziert Wir beschreiben nun die Konfiguration des RRAS Moduls auf dem Windows 2000 Server Die Konfiguration des RRAS Moduls unter Windows XP 2003 verl uft analog Die Konfiguration erfolgt zun chst so als ob sich die Benutzer mit ihrem Windows Benutzerpasswort einw hlen sollten Sie k nnen anschlie end die notwendigen Einstellungen vornehmen damit Benutzername und Passwort der Benutzer ber die RADIUS Schnittstelle an den SecOVID Server weitergeleitet werden Konkret w hlen Sie zur Konfiguration des RRAS Moduls auf Ihrem Windows Server Netzwerkumgebung rechte Maustaste und anschlie end Eigenschaften und Dienste aus Markieren Sie Routing and Remote Access Service und klicken Sie auf Eigenschaften F hren Sie hier die folgenden Schritte aus e Klicken Sie auf Add und registrieren Sie die gew nschten Modem RAS Verbindungen e Unter Configure markieren Sie lediglich Receive calls as a RAS server e Unter Network stellen Sie die Server Settings ein Markieren Sie unter Allow remote clients running alle Netzwerkprotokolle die Sie f r Clients un terst tzen m chten z B TCP IP und IPX Nehmen Sie zu jedem markierten Netzwerkprotokoll KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 106 unter dem Button Configure die notwendigen Netzeinstellungen vor und definieren
142. er seine IP Adresse beibehalten kann Auch wenn Sie vermeiden wollen die ggf inaktive RADIUS Schnittstelle des ACE Servers zu aktivieren be steht die M glichkeit die Benutzer auf das SecOVID System zu migrieren Kontaktieren Sie in diesem Fall bitte Ihren KOBIL Partner der Ihnen eine geeignete L sung vorschlagen wird Auf hnliche Art und Weise kann die Migration von anderen RADIUS basierten Authentifikationssystemen auf KOBIL SecOVID erfolgen Kontaktieren Sie bitte Ihren KOBIL Partner KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 103 3 2 Clientseite 3 2 1 Konfiguration eines RADIUS Servers Wie Sie Ihren RADIUS Server gemeint ist hier der RADIUS Server eines anderen Herstellers geeignet konfi gurieren und im laufenden Betrieb bedienen entnehmen Sie bitte der Dokumentation Ihres RADIUS Servers Der SecOVID Server stellt bzgl der Authentifikation und Autorisierung von Benutzern einen vollwertigen RADIUS Server dar der insbesondere auch statische Passw rter authentifizieren kann Daher kann der SecOVID Server in der Regel die heutige Rolle Ihres ggf vorhandenen RADIUS Servers eines anderen Herstellers ber nehmen Dennoch k nnen Sie nat rlich Passwortanfragen zun chst durch einen anderen RADIUS Server ent gegennehmen um diese dann von dort automatisch an den SecOVID Server weiterzuleiten Wie Sie Ihren RADIUS Server konfigurieren um ihn als entsprechenden Proxry Server zu konfigurieren entnehmen S
143. erdaten indem Sie auf Haupt und Backupserver entsprechende mirror Eintr ge setzen so dass k nftig alle Passwort und Administrationsanfragen die einen der beiden Rechner erreichen auf den anderen Server gespiegelt werden siehe Abschnitt 3 Machen Sie bei allen SecOVID Clients den Backupserver als zweiten Authentifikationsserver bekannt Eintragen der IP Adresse und eines shared secret siehe Abschnitt B 2 2 4 Registrieren Sie bei beiden Servern alle SecOVID Clients Eintragen der IP Adresse und des shared secret siehe Abschnitt B 1 1 5 Beenden Sie die SecOVID D mons secovid auf dem designierten Haupt und dem designierten Backupserver 6 Starten Sie dann den SecOVID Backup D mon secbak zun chst auf dem Hauptserver anschlie end auf dem Backupserver oder booten Sie die beiden Rechner zun chst den Hauptserver dann den Backupserver Strategie 2 Hochverf gbarkeit Clients kennen nur Hauptserver Rollenwechsel verbunden mit IP Wechsel Wir nehmen an Sie wollen Ihr SecOVID System wie folgt konfigurieren Sie m chten die SecOVID Benutzerdaten redundant auf einem Backupserver halten Zudem wollen Sie einen intelligenten Mechanismus installieren der Ihnen Hochverf gbarkeit gew hrleistet ohne dass Sie manuell eingreifen m ssen Sobald der SecOVID Hauptserver nicht mehr verf gbar ist soll dabei der Backupserver automatisch die Rolle des Hauptservers einnehmen und insbesondere gelenkt durch ein KOBIL Programm welches im Hint
144. ergrund l uft dessen IP Adresse annehmen Der ehemals als Haupt server fungierende Rechner soll sobald er wieder netzwerktechnisch sichtbar ist selbst bemerken dass nun bereits die Rolle des Hauptservers besetzt ist Daher soll er jetzt seinerseits die Rolle des Backupser vers einnehmen Allen SecOVID Clients z B Router Firewalls ist lediglich ein SecOVID Hauptserver bekannt Von der Existenz eines Backupservers wissen die SecOVID Clients nichts Um die geschilderte Situation zu realisieren gehen Sie wie folgt vor 1 Installieren Sie falls noch nicht geschehen den SecOVID D mon secovid auf den beiden Rechnern die Hauptserver bzw Backupserver werden sollen Hierzu verwenden Sie das Skript UNIX install sh von Ihrer SecOVID CD 2 Sorgen Sie f r Redundanz der SecOVID Benutzerdaten indem Sie auf dem Hauptserver entspre chende mirror Eintr ge setzen so dass k nftig alle an den Hauptserver gerichteten Passwort und Administrationsanfragen auf den Backupserver gespiegelt werden siehe Abschnitt P 2 2 1 KAPITEL 2 INSTALLATION 46 3 Installieren Sie das SecOVID Hochverfiigbarkeitssystem Starten von UNIX install_backupserver sh auf designiertem Hauptserver und designiertem Backupserver siehe Abschnitt 2 2 2 3 4 Nehmen Sie die miteels des Konfigurationstools etc SecOvid secbakconf auf beiden Rechner die notwendigen Konfigurationseintr ge in den Dateien etc SecOvid secbak conf vor 5 Beenden Sie die SecOVID D mons sec
145. ern Bei Verwendung eines Passwortgenerators mit Server PIN z B SecOVID Token mit Server PIN kann dieser Men punkt genutzt werden um die aktuelle Server PIN f r einen Benutzer zu ndern In dem erscheinenden Dialogfeld muss die Server PIN zwei Mal eingegeben werden Administratoren Datenbank Hiermit k nnen Sie zwischen der Verwaltung von Benutzern und Administratoren hin und herschalten Die Verwaltung von Administratoren ben tigen Sie insbesondere um einen neuen Administrator und eine neue Administratorkarte zu erzeugen Ausgew hlte Benutzer Alle Benutzer anzeigen Hiermit k nnen Sie zwischen den beiden m glichen Ansichten der Datenbank hin und herschalten so dass entweder nur die gerade ausgew hlten oder alle Benutzer angezeigt werden Beachten Sie dass die Suchfunktion automatisch in die Ansicht umschaltet in der nur die ausgew hlten Benutzer angezeigt werden Chipkarten e Karte erzeugen Anlegen eines Einmalpasswortgenerators auf der Karte Selektieren Sie zun chst die Benutzer auf deren Karten Sie Einmalpasswortgeneratoren schreiben wollen Klicken Sie dann den genannten Men punkt an Die selektierten Benutzer werden nun der Reihe nach abgearbeitet In einem Fenster sehen Sie jeweils f r welchen Benutzer nun ein Einmalpasswortgenerator auf eine Karte geschrieben werden soll Sie k nnen jeweils durch Anklicken des OK Buttons den Schreib vorgang f r den angezeigten Benutzer akzeptieren durch Anklicken von
146. ern des SecOVID Servers In der Datei etc services Unix bzw c WINNT system32 drivers etc services win32 werden die verschiedenen Interfaces des SecOVID D mons zu Portnummern zugeordnet An dieser Stelle sollten Sie sicherstellen dass die von SecOVID benutzten Portnummern von keinem anderen D mon verwendet werden Die Datei etc services bzw c WINNT system32 drivers etc services win32 enth lt folgende f r SecOVID relevante Defaulteintr ge tacacs 49 tcp tacacs 49 udp radius 1812 udp secovid 1647 udp secoviddb 1113 udp KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 56 A Bemerkung radius wird unter Windows standardm ssig der Port 1812 zugewiesen Der SecOVID D mon wartet nun an dem Port namens radius im vorliegenden Fall also unter Portnum mer 1812 auf RADIUS konforme Passwortanfragen und am secovid Port Portnummer 1647 auf RSA verschl sselte Passwortanfragen Das Administrationstool greift ber den secoviddb Port Port 1113 auf die im Arbeitsspeicher residierende Datenbasis zu Starten und Stoppen des SecOVID Servers unter Unix Systemen e Starten Sie starten den SecOVID D mon durch Eingabe des Kommandos etc rc d rc2 d S65secovid start Linux bzw etc rc2 d S65secovid start Solaris oder etc SecOvid secovid sh e Stoppen Sie stoppen den SecOVID D mon durch Eingabe des Kommandos etc rc d rc2 d S65secovid stop Linux bzw etc rc2 d S65secovid stop Solaris Alternativ k nn
147. ern rein numerisch sein soll nur Ziffern Der Wert 1 bedeutet dass die Chipkarten PUK bei neu anzulegenden Benutzern alphanumerisch sein soll Buchstaben und Ziffern Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel bestehen k nftig zu verwendende Chipkarten PUKs nur aus Ziffern Diese Zeile enth lt die L nge der Chipkarten PIN f r neu anzulegenden Benutzer Im Beispiel sind Chipkarten PINs f r neu anzulegende Benutzer sechsstellig Diese Zeile enth lt die L nge der Chipkarten PUK f r neu anzulegende Benutzer Im Beispiel sind Chipkarten PUKs f r neu anzulegende Benutzer sechsstellig Es k nnen bis zu 10 verschiedene Einmalpasswortgeneratoren auf eine Chipkarte geschrieben werden Passwortgenerator Nr 0 bis Passwortgenerator Nr 9 Der Wert 1 in Zeile 9 bedeutet dass beim Schreiben oder L schen eines Einmalpasswortgenerators auf eine Chipkarte immer der in Zeile 10 spezifizierte Default Generator verwendet werden soll Der tats chlich zu verwendende Passwortgenerator kann in der eigentlichen Anweisung zum Schreiben oder L schen auf der Chipkarte nochmals angepasst werden Der Wert O bedeutet dass beim Schreiben oder L schen eines Einmalpasswortgenerators auf der Chipkarte kein Default Generator benutzt werden soll Andere Werte als O oder 1 sind nicht zul ssig In obigem Beispiel ist kein Default Generator gesetzt Diese Zeile enth lt den zu verwendenden Einmalpasswortgenerator Nr 0
148. ethode auf dem PDA installieren Installationsvoraussetzung Es muss eine Java Runtime auf dem Ger t installiert werden um die Applikation benutzen zu k nnen F r die Palm OS Version 3 5 beziehen Sie bitte das Paket MIDP for Palm OS http java sun com products midp4palm F r die Palm OS Version 5 2 beziehen Sie bitte das Paket IBM s WebSphere Micro Environment KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 99 http www palmone com us support jvm 3 1 7 4 Download per PDA mit den Betriebssystemen Windows CE PocketPC Im Gegensatz zu PDAs die unter dem Betriebssystem Palm OS laufen ben tigen wir f r PDAs mit den Betriebs systemen Windows CE bzw Pocket PC keine spezielle Applikation F r diese Ger te gibt es eine Applikation die f r alle Benutzer identisch ist Diese Applikation ist zusammen mit einer kurzen Bedienungsanleitung im winCE Verzeichnis der SecOVID CD enthalten Nat rlich muss man auch hier eine Personalisierung durchf hren Dies geschieht indem man den zuvor exportierten geheimen SecOVID SoftToken Datensatz auf das zu personali sierende Ger t kopiert W hrend der Installation der Applikation auf Ihrem PDA wird in dem nichtfl chtigen Speicherbereich ein Verzeichnis namens Secovid angelegt Nichtfl chtiger Speicherbereich bedeutet dass es sich dabei um einen Speicherbereich handelt der auch ohne Stromversorgung die Daten sicher beh lt Genau in die ses Verzeichnis kopieren
149. fad zur Export Datei kann bei jedem Exportvorgang nochmals angepa t werden Der Default Eintrag ist also das aktuelle Verzeichnis Zeile 12 optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad der beim Importieren von Benutzereintr gen verwendet wird Der Pfad zur Import Datei kann bei jedem Importvorgang nochmals angepa t werden Der Default Eintrag ist also das aktuelle Verzeichnis Zeile 13 optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default Pfad zur Log Datei die Probleme beim Importieren und Exportieren von Benutzereintr gen festh lt Der Pfad zur Log Datei kann bei jedem Importvorgang nochmals angepa t werden Der Default Eintrag ist OvidLog log Zeile 14 optional d h diese Zeile k nnen Sie zun chst leer lassen Diese Zeile enth lt den Default SecOVID Administratornamen Der Eintrag hat nur Relevanz wenn Sie im Kommandozeilentool nicht explizit den Administratornamen mit bergeben Hinweis Die Datei Prefs cfg k nnen Sie auch mit dem SecOVID Administrationstool GUI erzeugen Star ten Sie hierzu das SecOVID Administrationstool GUI und nehmen Sie die gew nschten Einstellungen ber den Men punkt Programm gt Konfiguration vor Die Datei Prefs cfg wird dann im lokalen Verzeichnis auf der Festplatte erzeugt Die Gruppendatei groups cfg In der Gruppendatei groups cfg k nnen den Gruppennummern Gruppennamen z
150. fikation des Benutzers und es muss zweimal die neue PIN eingegeben werden Nach erfolgreicher Verifikation der alten PIN wird die neue PIN aktiviert Des Weiteren ist es wie bei dem SecOVID Token m glich die Einmalpassworte mit einer Server PIN zu kombi nieren 1 4 Administration und Personalisierung 1 4 1 Administration 1 4 1 1 Administrationstools Administrationstool mit GUI Zur Verwaltung der SecOVID Benutzer Tokens Soft Tokens und SecOVID Chipkarten kann das SecOVID Administrationstool mit GUI graphischer Oberfl che eingesetzt werden Dieses ist f r die Betriebssysteme Windows Linux und Solaris verf gbar Die Administration kann lokal am Server oder remote erfolgen Die Kommunikation zwischen Administrationstools und dem SecOVID Server wird ver schl sselt Das Administrationstool mit GUI bietet ASCII LDAP und ADS Schnittstellen zum Import sowie eine ASCII Schnittstelle zum Export von Userdaten Die wichtigsten Eigenschaften KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 7 e Graphische Sicht auf SecOVID Benutzer und SecOVID Administratoren welche in der SecOVID Datenbank gespeichert sind Angezeigt werden Benutzername login Name Vorname Gruppenzugeh rigkeit F r Benutzer Einmalpasswort Generatortyp F r Administratoren Rolle Rechte des Administrators Helpdesk erweiterter Helpdesk oder voller Admin F r Benutzer Status freigeschaltet gesperrt Anzahl Fehlversuche in Folge Z
151. gendes zu Anfang ein DEFAULT Packet Type Access Request Proxy To Realm SecOVID KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 97 Um z B EAP mit FreeRADIUS zu behandeln und die eigentliche Authentifizierung mit SecOVID vorzunehmen lassen wir den FreeRADIUS Server alle Requests behandeln die schon als EAP Anfragen erkannt wurden oder das Attribute EAP Message enthalten DEFAULT Auth Type EAP EAP Message ANY Proxy To Realm SecOVID Zus tzlich sollten Sie wenn Sie PEAP benutzen wollen den Eintrag proxy_tunneled_request_as_eap no in der Datei usr local etc raddb eap conf innerhalb des peap Abschnitts eintragen Beachten Sie auch das f r EAP TTLS und PEAP einige Konfigurationsarbeit am FreeRADIUS Server erforderlich ist insbeson dere muss ein Server Zertifikat mit zugeh rigen Schl sseln erzeugt werden und diese Dateien m ssen in den entsprechenden Abschnitten der Datei usr local etc raddb eap conf eingetragen werden 3 1 6 Erstellung der SoftToken Applikationen f r Mobiltelefone und PDAs Den SecOVID Midlet Generator verwenden Sie um aus erstellten SoftToken Datens tzen kst welche mittels SecOVID Admintool exportiert wurden Soft Token Applikationen im folgenden Midlet genannt zu erstellen Diese Midlets k nnen dann auf allen Ger ten ausgef hrt werden auf denen ein Runtime Environment der J2ME Java 2 Micro Edition installiert ist In diesem Fall handelt es sich dabei um ja
152. gs die lokale Administration ohne Administrator Chipkarte durch entsprechende Konfiguration siehe unten zu verbieten 3 1 2 1 Erstmaliges Arbeiten mit dem Administrationstool Wenn Sie zum ersten Mal mit dem SecOVID Administrationstool arbeiten so beachten Sie bitte folgendes e Installieren Sie das SecOVID Administrationstool zun chst lokal auf dem Rechner des SecOVID Server Zur Remote Administration des SecOVID Servers ben tigen Sie eine SecOVID Administratorchipkarte diese kann anfangs nur lokal ausgestellt werden siehe oben e Konfigurieren Sie das Administrationstool so dass Sie eine Verbindung zum SecOVID Server aufnehmen k nnen Men punkt Programm gt Konfiguration e Anlegen von Einmalpasswort Benutzern mit Chipkarte Legen Sie einen Benutzer zun chst in der SecOVID Datenbank an Men punkt Datenbank gt Neuer Benut zer Schreiben Sie dann einen SecOVID Einmalpasswortgenerator auf die f r den Benutzer vorgesehene Chipkarte Men punkt Chipkarten gt Karte erzeugen Details folgen weiter unten e Anlegen von Einmalpasswort Benutzern mit SecOVID Token Importieren Sie die zu den SecOVID Tokens geh rende Datei mit den geheimen Tokendaten Men punkt Token gt Token importieren In der Ansicht sehen Sie dass die Seriennummern der Tokens nun auch als Benutzernamen dienen und die Textfelder f r Nachname und Vorname leer sind Benennen Sie nun die Benutzernamen um und tragen Sie Nachnamen und Vornamen der tats chlichen Be
153. h Servers Lizenzdatei ETT notwendig Starten des Administrati etc SecOvid SecOvid_admin sh onstools ggf Nachkonfi 1 2 gurieren Test von Administrations etc SecOvid radping u username password tool und SecOVID Server S SecovidServerIP serverPort K secretkey ELT Benutzer mit Karte bzw etc SecOvid tacping u username password anlegen oder Token S SecovidServerIP K secretKey bzw Daten importieren etc SecOvid ovid_ping u username password Passwortanfragen an SecOVID Server stellen mit radping tacping oder ovid_ping siehe und im Falle eines RADIUS Clients oder eines TACACS Installation Ihrer zu Clients siehe Handbuch zu Ihrer Anwendung 2 3 B 2 sch tzenden Anwendung Apache WWW Server UNIX apache_install sh andere Anwendungen siehe P 3 B 2 KAPITEL 2 INSTALLATION 18 Arbeitsschritt aufzurufendes Installationsskript Programm Details siehe Abschnitt e F r RADIUS Clients Eintragen des Rechners der zu sch tzenden An wendung im SecOVID Server Eintra gen der IP Adresse des Clients und des shared secret Editieren Sie etc SecOvid clients ETT Konfiguration der zu sch tzenden Anwendung F r RADIUS Clients und TACACS Clients siehe Handbuch des betreffen den Produktes i a Eintragen der SecOVID Server IP Adresse und des shared secret F r RSA Clients Eintra gen von IP Adresse Portnummer und Public Key des SecOVID Servers
154. heckbox Standard Generator benutzen wenn Sie w nschen defaultm ig einen von 0 verschiedenen Vorgabewert f r den anzulegenden bzw zu l schenden Passwort Generator zu erhalten Sie k nnen bis zu zehn verschiedene Passwortgeneratoren auf einer Chipkarte anlegen x Unter Passwort Generator k nnen Sie ausw hlen welches dieser Vorgabewert sein soll Dieser Punkt ist nur dann aktiv wenn zuvor die Checkbox Standard Generator benutzen aktiviert wurde KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 64 x Unter Standard Soft Token k nnen Sie w hlen ob SoftToken Benutzer mit einem Standard SoftToken oder mit einem SoftToken in Verbindung mit einer kombinierten Server PIN ausge stattet werden sollen x Unter Generator typ ndern k nnen Sie den Men punkt Datenbank gt Generator Typ ndern aktivieren bzw deaktivieren Beachten Sie dass alle Einstellungen die Sie auf dieser Seite vornehmen nur die Vorgabewerte beein flussen Beim Erzeugen eines Generators Karte haben Sie stets noch Gelegenheit diese Vorgabewerte zu ndern Die Seite Reporting Wenn Sie auf dem SecOVID Server einen Webserver und die entsprechende Software von der CD installieren k nnen Sie die Datei en ovid proto lt Datum gt automatisch auswerten lassen und die Ergebnisse dieser Auswertung mit dem Men punkt Report erstellen anzeigen lassen s u Auf dieser Seite k nnen Sie konfigu
155. hende positive Meldung an den Client und setzt den Status des entsprechenden Benutzers in der SecOVID Datenbank auf SecOVID Benutzer vorher lautete der Status ACE Benutzer K nftig akzeptiert der SecOVID Server f r diesen Benutzer nur noch SecOVID Einmalpassw rter der Benutzer wurde ohne weiteren administrativen Eingriff automatisch auf das SecOVID System migriert Hierzu war nach einmaligem Vorbereitungsaufwand f r alle Benutzer nichts weiter notwendig als dass der Benutzer das ihm bereits u U seit langem vorliegende SecOVID Token oder SecOVID Smart Card benutzt l Analog kann die Migration von anderen RADIUS basierten Authentifikationssystemen auf das SecOVID System erfolgen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 102 Migration RSA SecurlD zu KOBIL SecOVID Aktuelle Situation Situation mit KOBIL SecOVID RSA KOBIL RSA SecurlD SecOVID Token SecurlD KOBIL PN SecOVID Server ERLID ACE E Duoz VPN Gateway Server Men Salamay ee Firewall irewall ACE Server Wir schildern nun detailliert welche Schritte durch den Administrator in welcher Reihenfolge durchzuf hren sind um mit minimalem Aufwand die Migration von beispielsweise 10000 ACE Benutzern auf das SecOVID System vorzubereiten 1 Importiere mit Hilfe des SecOVID Administrationstools die geheimen SecOVID Token Daten von 10000 SecOVID Tokens in die SecOVID Datenbank 2 Markiere die
156. hlen 0 1 9 Fehlt dieser Parameter so wird die im Konfigurationsfile angegebene Nummer als Default benutzt F r Administratoren wird immer der Generator Nummer 9 verwendet Bitte beachten Sie auch die Hinweise zum Punkt Karte erzeugen in Kapitel B 1 2 4 Applikation l schen delete_card admin login string L scht die gesamte SecOVID Applikation des angegebenen Benutzers oder Administrators von dessen Chipkarte alle Pa wortgeneratoren PIN PUK Pa wortgenerator l schen delete_generator admin login stringlist genno N L scht den angegebenen Pa wortgenerator und sonst nichts auf der Chipkarte des angegebenen Benutzers Ist kein Pa wortgenerator explizit angegeben so wird der Default Generator gel scht siehe Konfigurationsfile F r Administratoren wird immer der Schl ssel zur Anmeldung als Administrator gel scht PIN zur cksetzen unblock_pin admin login stringlist Setzt die PIN auf der Chipkarte des angegebenen Benutzers oder Administrators auf den Wert zur ck der f r den Benutzer bzw Administrator in der SecOVID Datenbank gespeichert ist SoftToken f r Administrator erzeugen generate_softtoken adminlogin string F r den angegebenen Administrator wird ein SoftToken erzeugt Dieses Softtoken wird in der Datei string kst gespeichert Beachten Sie dass die PIN des angegebenen Administrators die in der Datenbank gespeichert ist benutzt wird um das File zu verschl sseln Aus Sicherheitsgr nden sollten
157. ht indem der keyEntry nicht nur das Serverzertifikat sondern eben eine solche Zertifikatskette enth lt Da es mit dem keytool allerdings nicht m glich ist eine solche Zertifikatskette zu importieren muss man das Skript keysto re sh verwenden um den Keystore anzupassen Beim Erzeugen des Server Requests wurde bereits ein Keystore erstellt der ein dummy Zertifikat und den privaten Schl ssel enth lt Nachdem der Request von einer Zertifi zierungsstelle signiert ist erhalten Sie als Antwort ein Serverzertifikat und die ben tigten Zwischenzertifikate bis zum Root Zertifikat Diese Zertifikate liegen in einer Datei vor die z B folgendes Aussehen hat userca BEGIN CERTIFICATE END CERTIFICATE serverca BEGIN CERTIFICATE END CERTIFICATE rootca BEGIN CERTIFICATE END CERTIFICATE Das Skript keystore sh kann aus einem gegebenen Keystore in Verbindung mit dieser Zertifikatsdatei einen neuen Keystore erstellen welcher im Tomcat Server verwendet werden kann Benutzung des Skriptes keystore sh Das keystore Skript kann mit drei verschiedenen Parametern aufgerufen werden Mit dem Parameter help wird eine kurze Anleitung ausgegeben Wird keystore sh mit dem Parameter request aufgerufen so wird ein neues Schl sselpaar generiert es wird ein neuer Keystore angelegt und es wird eine Datei namens request pem erstellt die zur Zertifikatsbeantragung ben tigt wird Der letzte und eigentlich wichtigst
158. hten Sie dabei dass ovid_data bak und ovid_data new f r den internen Gebrauch reserviert sind und dass Sie SecOVID Datenbasen nicht durch einfaches Kopieren auf einen Rechner mit anderer Architektur aufspielen k nnen e Log Datei anzeigen Mit diesem Men punkt k nnen Sie die Log Datei OvidLog log anzeigen in der z B bei Import oder Export von Daten oder auch beim automatischen Anlegen von Benutzern eventuelle Fehlermeldungen protokolliert werden Gegebenenfalls erscheint jeweils ein ausdr cklicher Hinweis auf diese Datei e Report erstellen Wie bereits erw hnt k nnen Sie die Logdateien die SecOVID anlegt teilweise automatisch auswerten lassen Dazu installieren Sie einen WebServer auf dem SecOVID Server sowie die passenden Module aus dem Unterverzeichnis admin ReportServer des Verzeichnisses f r Ihre Platform linux solaris oder win32 auf der CD Schlie lich konfigurieren Sie wie oben beschrieben das Admintools so dass es diesen Webserver findet Wenn Sie nach diesen Vorarbeiten nun den Men punkt Report erstellen ausw hlen ffnet sich ein Fenster in dem Sie ausw hlen k nnen f r welchen Zeitraum Sie welche Art von Anfragen auswerten wollen und ob Sie nur eine bersicht ber die Anzahl solcher Anfragen oder aber eine Liste der Anfragen oder Beides sehen wollen Nachdem Sie in diesem Fenster auf Erstellen geklickt haben ffnet sich Ihr Webbrowser und zeigt die gew nschten Informationen an
159. htig oder gar nicht angezeigt werden Sie k nnen dieses Problem gegebenenfalls umgehen indem Sie die Umgebungsvariable explizit setzen mittels LANG de_DE export LANG Unter englischem Solaris kann je nach Version hier eine Fehlermeldung erfolgen In diesem Falle k nnen Sie mittels LANG de export LANG die Verwendung deutscher Texte erzwingen Sie starten das SecOVID Administrationstool GUI durch Eingabe von KAPITEL 2 INSTALLATION 26 cd etc SecOvid SecOvid_admin sh amp Falls Sie das Administrationstool in einer englischsprachigen Umgebung starten erscheint eine harmlose War nung dass das Tool keine Datei mit expliziten Ubersetzungen der englischsprachigen Originaltexte ins Englische finden kann Diese Warnung best tigen Sie gegebenenfalls einfach mit OK Die Bedienungsanleitung f r das Administrationstool GUI finden Sie in Abschnitt B 1 2 Unter Win32 Systemen Sie starten das SecOVID Administrationstool GUI ber Start gt Programme gt KOBIL Systems gt SecOVID Administrationstool Falls Sie das Administrationstool in einer englischsprachigen Umgebung starten erscheint eine harmlose War nung dass das Tool keine Datei mit expliziten bersetzungen der englischsprachigen Originaltexte ins Englische finden kann Diese Warnung best tigen Sie gegebenenfalls einfach mit OK Die Bedienungsanleitung f r das Administrationstool GUI finden Sie in Abschnitt B 1 2 Starten des SecOVID Kommandozeilentools Beachten Si
160. icht frei Ist hingegen der Wert off gesetzt so gibt der Apache Server die Webseite bei Vorlage eines g ltigen Einmalpasswortes f r die Anzahl der Sekunden frei die hinter dem Eintrag SecOvidTimeout eingetragen ist auch wenn der Endbenutzer das Abspeichern von Cookies verboten hat Aus Sicherheitsgr nden empfehlen wir den Wert on zu setzen und den Endanwendern nahezulegen das Abspeichern von Cookies durch den Browser zuzulassen Warnung Bei diesem Feature kann es zu folgenden Problemen kommen Der Apache Webserver f hrt bei einem Link der Form lt a href safedoc meyer privat gt mehrere Zugriffe aus n mlich jeweils einen Zugriff in die Verzeichnisse safedoc meyer und privat Anschie end wird nach einer Datei index html im Verzeichnis safedoc meyer privat gesucht Insgesamt werden in unse rem Beispiel demnach drei Zugriffe durchgef hrt Befindet sich die Datei htaccess im Verzeichnis safedoc wird das Cookie bei dem Zugriff auf safedoc meyer privat nicht rechtzeitig bertragen Daher wird dem Benutzer kein Zugriff gestattet L sung des Problems Ersetzen Sie den Link bei dem das Problem auftritt z B lt a href safedoc meyer privat gt durch lt a href safedoc meyer privat index html gt Damit beseitigen Sie dieses Problem Zudem beschleunigen Sie den Zugriff auf das betreffende Ver zeichnis Ihres Webservers SecOvidTimeout definiert die Zeit in Sekunden f r die der Endanwender bei Vorlage eines g ltigen Einmal
161. ider vorkonfi guriert Eventuell muss man per Hand noch die Verbindungssicherheit aktivieren Steht die Verbindung zum Server so wird der Benutzer durch die Startseite aufgefordert seine Benutzerdaten einzugeben Diese Daten wurden ihm durch einen PIN Brief welcher vom Admintool erstellt wurde mitgeteilt Gibt er die Zugangsda ten korrekt ein wird er vom Servlet zu seinem Verzeichnis weitergeleitet von wo er dann das Midlet beziehen kann Nach dem Download befindet sich abh ngig vom jeweiligen Mobiltelefon unter den Applikationen des Mobiltelefons eine weitere Anwendung namens Secovid F hrt man diese Anwendung aus erscheint ein Men welches die Eintr ge Pin ndern und OTP erzeugen enth lt W hlt man Pin ndern muss erst die alte und dann zweimal die neue Pin eingegeben werden Es erfolgt eine Meldung die die nderung best tigt M chte man ein neues OTP generieren muss man die aktuelle PIN eingeben worauf das n chste g ltige OTP angezeigt wird 3 1 7 3 Download per PDA unter PalmOS Benutzer von Palm Ger ten laden sich ihre Applikation vom gleichen Server herunter indem sie eine Verbin dung mittels eines normalen Browsers herstellen Der Server erkennt dass der Verbindungswunsch von keinem Handy kommt und leitet den Benutzer dementsprechend zu dem Verzeichnis weiter in dem die Applikation f r Palm PDAs liegt Hat der Benutzer die Anwendung heruntergeladen kann er sie ber die gewohnte Synchroni sationsm
162. ie Datenbank sich bei der n chsten Anmeldung eines solchen Benutzers ohnehin wieder synchronisieren wird wenn nicht gerade zuf llig die Suchtiefe berschritten wurde 2 2 1 4 Hochverf gbarkeit Strategie 2 In diesem Unterabschnitt zeigen wir auf dass das SecOVID System ber das reine Backup System hinaus so konfiguriert werden kann dass im Falle des Ausfalls des SecOVID Hauptservers automatisch geeignete Aktionen veranlasst werden F r diese Zwecke gibt es den SecOVID Backup D mon Serverprozess secbak der auf dem Hauptserver und auf dem Backupserver installiert wird Mit dem SecOVID Backup D mon l sst sich die oben vorgestellten Strategie 2 implementieren Hinweis Der secbak D mon startet seinerseits den SecOVID D mon secovid Stellen Sie also sicher dass k nftig nicht mehr der D mon secovid sondern statt dessen der D mon secbak automatisch beim Booten des Rechners gestartet wird Das Verhalten des SecOVID Backup D mons secbak h ngt von den Eintr gen der Konfigurationsdatei etc SecOvid secbak conf ab Wir beschreiben im folgenden das Verhalten des SecOVID Backup D mons auf dem Haupt und dem Backupserver Dabei gehen wir in drei Schritten vor e Zun chst beschreiben wir das Verhalten des SecOVID Backup D mons beim Starten Zun chst pr ft der Rechner in einer Orientierungsphase ob Hauptserver und oder Backupserver bereits im Netz verf gbar sind In Abh ngigkeit von der Konfiguration und der Situation synchronisie
163. ie bitte dem Handbuch Ihres RADIUS Servers Stellen Sie sicher dass die RADIUS konforme Kommunikation zwischen RADIUS Server und SecOVID Server nicht durch eine Firewall behindert wird Das bedeutet die Firewall muss alle UDP Pakete durchlassen die vom RADIUS Server zum SecOVID Server auf dessen RADIUS Port in der Regel Port 1812 siehe den Eintrag radius in der Datei etc services des SecOVID Servers gesendet wer den Zudem muss die Firewall alle UDP Pakete durchlassen die vom SecOVID Server an den RADIUS Server undefinierter Port zur ckgesendet werden Beispiel Nehmen wir an ihre Endbenutzer m ssten sich bei Ihrer RADIUS f higen Firewall authentifizieren ehe Sie Zugang zu einem lokalen Netzwerk erhalten Nehmen wir weiter an ein Teil Ihrer Endbenutzer solle sich mit SecOVID Einmalpassw rtern ein anderer Teil solle sich mit statischen Passw rtern authentifizieren Die Fire wall soll alle Passwortanfragen an Ihren RADIUS Server eines anderen Herstellers als KOBIL senden Dieser RADIUS Server soll dann ber die G ltigkeit der statischen Passw rter selbst entscheiden w hrend er die Ein malpasswortanfragen an den SecOVID Server weiterleitet Dann haben Sie folgendes zu tun e Konfiguration Ihrer Firewall siehe Handbuch oder Dokumentation Ihrer Firewall Konfigurieren Sie Ihre Firewall so dass Sie Zugriffsversuche auf das lokale Netzwerk erst nach Passwort berpr fung zul sst Stellen Sie f r alle Endbenutzer die
164. ie vom Internet Service Provider von Klaus Schmidt sowie von dessen Hausbank beim Online Banking akzeptiert werden Authentifikation durch das Trust Center der Deutschen Telekom Die Einmalpassw rter von Passwortgenerator 1 berechtigen zum Remotezugriff auf das Firmennetz unter dem Benutzernamen schmidt w hrend die Passw rter von Generator 2 zum ent sprechenden Zugang f r den Benutzer root berechtigen Die Person Klaus Schmidt besitzt also eine einzige Karte die Passw rter f r verschiedene Zwecke Einsatzorte und verschiedene Accounts produziert Warnung 1 Falls Sie den Einmalpasswortgenerator des Benutzers schmidt auf einer Karte anlegen m chten die bereits einen Passwortgenerator enth lt so muss der Benutzer schmidt in der Datentabelle die PIN dieser Karte besitzen bzw falls in der Datentabelle f r den Benutzer schmidt keine PIN registriert ist muss jetzt exakt die PIN der Karte angegeben werden Andernfalls wird der Schreibvorgang scheitern siehe unten 2 Das Trust Center der Deutschen Telekom benutzt f r seine Karten den Passwortgenerator 0 Wenn Sie Ihren Benutzern also die M glichkeit offenhalten wollen sich einen Passwortgenerator dort einrichten zu lassen so verwenden Sie bitte ausschlie lich die Generatoren 1 bis 9 Nach der Auswahl des Passwortgenerators werden Sie zum Einlegen einer Chipkarte in das Chipkarten terminal Terminal der Firma KOBIL aufgefordert Falls Sie eine Chipkarte in das Chipkartenterminal ei
165. ignete Informatio nen zeigen dem Endanwender an welche Art von Passwort einzugeben ist Beispielsweise wird der Endanwender ggf mit Secovid OTP zur Eingabe eines SecOVID Einmalpasswortes one time password aufgefordert Bitte beachten Sie erneut dass ein Einloggen nur m glich ist wenn die Dateien ovid_config und ovid_comm pub an den erwarteten Stellen vorhanden sind Beachten Sie insbesondere dass diese Dateien f r den jeweiligen Be nutzer lesbar sein m ssen damit er beispielsweise xscreensaver wieder beenden kann siehe Abschnitt 2 3 9 3 2 8 Konfiguration eines RSA Clients Hier gelten sinngem die Erl uterungen aus Abschnitt 2 1 7 Wenn ein RSA Client Passwortanfragen an den SecOVID Server weiterleiten soll so m ssen Sie e die IP Adresse des SecOVID Servers und die Portnummer auf der der SecOVID Server RSA Anfragen entgegennimmt vgl Eintrag secovid in etc services auf dem SecOVID Server eintragen In der Regel geschieht dies durch Editieren der Datei ovid_config IP Adresse und Portnummer sind dann durch Doppelpunkt zu trennen e den Public Key des SecOVID Servers eintragen In der Regel haben Sie hierzu die Datei etc SecOvid ovidcomm pub des SecOVID Servers an die richtige Stelle zu kopieren Ein Beispiel f r die durchzuf hrenden Schritte finden Sie in Abschnitt 2 1 7 Dort wird das einfache RSA Clientprogramm ovid_ping konfiguriert 3 3 Das GetPWD Programm 3 3 1 Linux und Solaris Wenn der Benutzer das Prog
166. ine PUK enth lt so bleibt die PUK auf dieser Karte erhalten Sie ist nicht von der Karte auslesbar kann daher nicht in die Datenbank eingetragen werden Die Folge Sie k nnen die Karten PIN unter Verwendung dieses Benutzer Eintrags nicht mehr zur cksetzen wenn die PIN z B wiederholt falsch eingegeben wurde und deswegen gesperrt ist Das L schen eines Einmalpasswortgenerators oder der gesamten SecOVID Applikation alle Einmalpasswortgeneratoren auf der Karte ist dennoch bei Kenntnis der Karten PIN m glich Auf TCOS KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 74 2 0 Karten bleibt in diesem Falle allerdings die PUK zur ck die nur mit Kenntnis der PUK entfernt werden kann Hinweis Mit diesem Men punkt legen Sie insbesondere auch die Chipkarten f r SecOVID Administratoren an Beachten Sie in diesem Fall dass f r die Administratoren stets automatisch der Einmalpasswort Generator Nr 9 verwendet wird e Key Generator l schen L schen eines einzelnen Einmalpasswortgenerators auf der SecOVID Chipkarte Alle brigen Daten wie PIN PUK sonstige Passwortgeneratoren oder sonstige nicht SecOVID spezifische Daten verbleiben auf der Karte Selektieren Sie zun chst die Benutzer auf deren Karten Sie Einmalpasswortgeneratoren l schen wollen Klicken Sie dann den genannten Men punkt an Die selektierten Benutzer werden nun der Reihe nach abgearbeitet In einem Fenster sehen Sie jeweils f r welchen Benutzer nun ein
167. inem Timeout beendet wird und OVID_ERROR_PIN_MISMATCH wenn beim Freischalten der PIN nicht zweimal hin tereinander die gleiche neue PIN eingegeben wird 3 1 4 3 High Level Operationen Um die Funktion der Administrationstools abzubilden stehen die folgenden Funktionen zur Verf gung int SecOVID_getNo0fUsers SecOVID_usertype type int DEFAULT groups SecOVID_defaultGroup const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_create SecOVID_usertype type const char username char name char vorname const int group char DEFAULT PIN NULL int DEFAULT pinlen 6 char DEFAULT PUK NULL SecOVID_puktype DEFAULT puk_type SecOVID_secure const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_batchcreate SecOVID_usertype type const char username int start int end const int group char DEFAULT PIN NULL int DEFAULT pinlen 6 char DEFAULT PUK NULL SecOVID_puktype DEFAULT puk_type SecOVID_secure const SecOVIDConnHandle DEFAULT connection NULL NULL for PIN PUK implies to generate a random PIN PUK puklen 1 implies to use the standard length implied by puk_type int SecOVID_LDAPcreate const char serverIP int LDAPport const char suffix const char filter const char username KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 93 const char password const char logfile SecOVID_LDAP_mode DEFAULT mode SecOVID_LDAP_ADD int DEFAULT pinlen 6 SecOVID_p
168. inen Remote Dienst in Anspruch nehmen wollen und sich dazu authentifizieren m ssen Diese RADIUS Clients f hren die Benutzerauthentifikation nicht selbst durch sondern delegieren die se Aufgabe an einen f r das Netz zentralen Rechner den RADIUS Server Die wesentlichen Bestandteile der Kommunikation zwischen RADIUS Server und RADIUS Client sind verschl sselt mit der Ausnahme der bert ragenen Benutzernamen Der SecOVID Server ist ein RADIUS Server RADIUS Version 2 der jedoch Einmalpasswortanfragen pr fen kann und ber weitere Schnittstellen TACACS und RSA Schnittstelle verf gt Wie die meisten RADIUS Server kann auch der SecOVID Server Passwortanfragen an einen weiteren RADIUS Server weiterleiten und somit f r ausgew hlte Benutzer als Proxy Server dienen Der SecOVID Server kann wie jeder RADIUS Server statische Passw rter berpr fen Benutzerprofile speichern und alle m glichen RADIUS Attribute handhaben TACACS Terminal Access Controller Access Control System ist ein von Cisco entwickelter de facto Standard f r eine zentralisierte Benutzerauthentifikation und autorisierung in gro en Rechnernetzen TACACS folgt den gleichen Prinzipien wie RADIUS Der SecOVID Server kann als TACACS Server mit erweiterter Funk tionalit t angesehen werden Der SecOVID Server kann Passwortanfragen ber ein drittes propriet res Interface das RSA Interface entgegen nehmen Bei Benutzung dieser RSA Kommunikation verschl sselt der SecOVID C
169. inistrator Chipkarten oder authentifiziert den Administrator an der SecOVID Datenbank Installation unter Win32 Systemen Zur Installation der Administrationstools unter Win32 Systemen ge hen Sie wie folgt vor 1 Starten Sie von der Installations CD das Setupprogramm f r die Treiber Ihres KOBIL Chipkartenterminals Treiber Setup KOBILTreiberSetup exe Folgen Sie den Anweisungen des Setupprogramms und schlie en Sie das Chipkartenterminal an wenn Sie dazu aufgefordert werden 2 Starten Sie von der Installations CD das Setupprogramm fiir die Administrationstools win32 admin Setup_admintools exe Folgen Sie den weiteren Anweisungen des Setupprogramms Starten des SecOVID Administrationstools GUI Beachten Sie dass das Admintool GUI nur Be nutzer und Karten verwalten kann falls der SecOVID Server in Betrieb ist Eine Remote Administration ist nur m glich wenn Sie bereits ber eine am SecOVID Server registrierte SecOVID Administratorchipkarte verf gen Unter UNIX Systemen Achtung Das Starten des SecOVID Administrationstools GUI erfordert auf UNIX Systemen die graphische Oberfl che X Zur Auswahl der Sprache und des Zeichensatzes wertet das Administrationstool die Umgebungsvariable LANG aus Dabei kann es in Abh ngigkeit vom System und dem Wert der Variablen zu leichten Problemen kommen die sich etwa darin u ern dass eine deutsche Version des Administrationstools gestartet wird jedoch Texte die Umlaute enthalten nicht ric
170. inistratoren k nnen zudem verschiedene Rollen zugewiesen werden Helpdesk rein lesender Zugriff erweiterter Helpdesk lesender Zugriff Benutzer sperren und entsperren Voller Administrator Vollzugriff Unterst tzte Plattformen e PC Intel i86 SuSE Linux bzw openSUSE 8 3 oder neuer e PC Intel i86 Windows 2003 Server e PC Intel i86 Windows 2000 ab Service Pack 3 e PC Intel i86 Windows XP ab Service Pack 1 e PC Intel i86 Windows Vista e Sun Sparc Solaris 9 oder neuer KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 12 1 5 2 Backup System und Hochverf gbarkeit optional Werden die Benutzeranmeldungen in den verschiedensten Anwendungen ber einen einzigen Authentifikati onsserver abgewickelt so ist die st ndige Verf gbarkeit dieses Authentifikationsservers extrem wichtig Der SecOVID Server erweist sich in der Praxis als extrem stabil Es k nnte aber einen physikalischen Schaden an der Netzwerkverbindung zum SecOVID Server oder an der Hardware z B Festplatte des SecOVID Servers ge ben wodurch der SecOVID Server ausfiele Das SecOVID System verf gt ber ein ausgekl geltes Backup und Hochverf gbarkeitssystem das optional in Betrieb genommen werden kann und die dauerhafte Verf gbarkeit eines SecOVID Servers mit aktuellen Benutzerdaten gew hrleistet Backup System Durch eine L sung auf Applikationsebene k nnen Sie die SecOVID Benutzerdaten auf meh reren Rechnern redundant halten Backup System Werde
171. int SecOVID_OpenCardTerminalConnection unsigned short CTN int SecOVID_CloseCardTerminalConnection unsigned short CTN int SecOVID_GetCardTerminalStatus unsigned short CTN int SecOVID_GetCardTerminalHasPinPad unsigned short CTN int SecOVID_ResetChipcard unsigned short CTN int SecOVID_VerifyCardPIN unsigned short CTN unsigned char pin_len const unsigned char pin int SecOVID_UnblockCardPIN unsigned short CTN unsigned char puk_len const unsigned char puk unsigned char pin_len const unsigned char pin KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 92 Dabei dienen die ersten drei Funktionen dazu nachzusehen an welchem Port ein eventueller Kartenleser angeschlossen ist bzw auszuw hlen welcher Port fiir die weiteren Befehle benutzt werden soll dabei findet SecOVID_SearchCardTerminalIndex den ersten freien Leser legt diesen gleichzeitig als den zu verwendenden Leser fest und gibt den Index des Lesers zur ck Hierbei zeigt abweichend von der blichen Konvention f r die R ckgabewerte O an dass kein Leser gefunden wurde SecOVID_SearchAllCardTerminallndices gibt ebenfalls abweichend von der blichen Konvention eine 32 Bit Zahl zur ck bei der das i te Bit von rechts gesetzt ist wenn an Port ein Leser gefunden wurde Nach Aufruf dieser Funktion kann man mit SecOVID_SetCardTerminalIndex ausw hlen welchen Leser man nun wirklich verwenden will Die n chsten beiden Funktionen ffne
172. intrag hinter secovid in etc services auf dem Rechner des SecOVID Servers enthalten IP Adresse und Portnummer sind durch Doppelpunkt zu trennen Auf Windows Systemen muss die Datei mit einer leeren Zeile newline enden Die Datei k nnte folgenden Inhalt haben 192 168 88 181 1647 e In ovidcomm pub muss der Public Key des SecOVID Servers stehen Kopieren Sie ggf die Datei etc SecOvid ovidcomm pub des SecOVID Servers Mit ovid_ping k nnen Sie dann folgenderma en Einmalpasswort Anfragen an den SecOVID Server schicken etc SecOvid ovid_ping u username password Dabei ist username ein im SecOVID Server registrierter Benutzer und password ein f r diesen User g ltiges Einmalpasswort In der Ausgabe von ovid_ping bedeutet Acked acknowledged dass die Kombination Username Passwort korrekt war w hrend Rejected die Ablehnung des SecOVID Servers anzeigt Die Ausgabe Timed out zeigt Ihnen an dass die gesicherte Kommunikation zwischen ovid_ping und dem SecOVID Server nicht funktioniert hat beispielsweise weil ovid_ping nicht wie erforderlich den Public Key des SecOVID Servers verwendet hat oder weil der SecOVID Server nicht erreichbar ist 2 2 SecOVID Backup und Hochverf gbarkeitssystem Das SecOVID Backupsystem und Hochverf gbarkeitssystem gew hrleistet dass auch im St rungsfall Ausfall des SecOVID Hauptservers die aktuellen Benutzerdaten der SecOVID Datenbank sowie ein SecOVID Server st ndig zur Verf gung s
173. ion erfolgt f r Mobiltelefone durch einen Download per WAP bzw f r PDAs unter dem Betriebssystem Palm OS 3 5 oder neuer per https Download PDAs mit den Betriebssystemen Pocket PC bzw Windows CE stellen insofern eine Ausnahme dar als es f r diese Ger te eine Anwendung gibt die f r alle Benutzer identisch ist Aus diesem Grund muss man hier keine Midlets generieren und somit auch nicht den SecOVID Midlet Generator verwenden Die Personalisierung erfolgt durch das Kopieren des durch das Administrationstool exportierten geheimen Datensatzes auf das jeweilige Zielger t N heres entnehmen Sie bitte den Kapiteln und B 1 6 1 4 2 3 Personalisierung von SecOVID Tokens SecOVID Tokens werden hingegen bereits bei der Produktion in sicherer Umgebung personalisiert program miert Der Kunde erh lt zusammen mit den SecOVID Tokens eine Diskette mit den dazugeh rigen Datens tzen zum Import in den SecOVID Server Der Kunde ordnet den SecOVID Tokens nachtr glich mit dem SecOVID Administrationstool die Benutzernamen zu 1 5 Der SecOVID Server Der SecOVID Server ist die Serversoftware die Passw rter im allgemeinen Einmalpassw rter berpr ft Au thentifikation Berechtigungslisten des Benutzers speichert Autorisierung und die Benutzer Zugriffe protokol liert Accounting KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 10 Der SecOVID Server ist dazu in der Lage weil er Zugriff auf die SecOVID Datenbank hat in der f r jeden Benutzer
174. ionstool per Angabe der Benutzernamen Anschlie end m ssen die Chipkarten einzeln in das am Ad ministrationsrechner angeschlossene Chipkartenterminal eingelegt werden ehe der Schreibvorgang der wenige Sekunden in Anspruch nimmt beginnen kann g gt Automatisches Beschreiben einer Vielzahl von Chipkarten Mittels des SecOVID Administrationstools oder des textbasierten Administrationstools k nnen SecOVID Benutzerdaten exportiert werden Verschl sselung der Daten so dass die Einmalpasswortgeneratoren anschlie end in einem Zug mittels einer Chipkartenkodiermaschine auf Chipkarten geschrieben werden k nnen Optional kann hierbei zeitgleich der Kartenk rper der Chipkarte bedruckt werden Name des Inhabers Foto usw c Dezentrale Massenpersonalisierung mit Hilfe des mIDentity Manager Professional 1 4 2 2 Personalisierung von mobilen Endger ten Soft Tokens Der Systembetreiber erstellt auch SecOVID SoftTokens selbst und berspielt diese anschlie end auf die mobilen Endger te Dazu verwendet er das SecOVID Administrationstool um die entsprechenden Benutzer auszuw hlen und f r diese die geheimen Soft Token Datens tze zu erzeugen welche die Grundlage zur Applikationserstellung bilden Im n chsten Schritt kommt der SecOVID Midlet Generator zum Einsatz welcher dazu dient aus den geheimen Datens tzen die zugeh rigen SoftToken Applikationen zu generieren welche dann auf dem jeweiligen Endger t installiert werden Die Installat
175. kation normale Passw rter d h Passw rter die selten oder nie ge ndert werden eingesetzt wurden Viele Software und Hardwareprodukte z B moderne Firewalls und Router verf gen bereits ber eine RADIUS Schnittstelle In diesem Falle arbeiten solche Produkte nach geeigneter Konfiguration auf Anhieb so wie gerade beschrieben mit dem SecOVID System zusammen Andere Produkte die in der Standardversion noch nicht ber eine RADIUS Schnittstelle verf gen z B einige Webserver bieten h ufig die M glichkeit ein spezielles RADIUS Authentifikationsmodul nachzuinstallieren und arbeiten anschlie end in gew nschter Weise als NAS mit dem SecOVID Server zusammen Zudem existieren Produkte denen ein von KOBIL entwickeltes RSA Authentifikationsmodul nachinstalliert werden kann so dass diese Produkte ber die RSA Schnittstelle mit dem SecOVID Server kommunizieren k nnen Das SecOVID System eignet sich hervorragend f r folgende Einsatzbereiche In Klammern ist jeweils die ver wendete Kommunikationsschnittstelle zum SecOVID Server angegeben Sicheres lokales Login in Ihrem Firmennetzwerk SecOVID verbessert die schwache Authentifikation der heutigen Netzwerk Betriebssysteme e Citrix MetaFrame Presentation Server RADIUS e Linux open SuSE Version 8 3 oder neuer eigenes PAM Modul RSA e UNIX Solaris 9 oder neuer eigenes PAM Modul RSA KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 13 Sicheres Remote Login f r Ihre Filialen Au endie
176. kupIP wechselt Die FirstIP Adresse nimmt der Hauptserver also nach dem Booten ein um in einer Orientierungsphase zu pr fen ob bereits die Rolle des Hauptservers vergeben ist Normalerweise ndert der Rechner nach dieser Orientierungsphase seine IP Adresse wie oben beschrieben Falls die Rolle des SecOVID Hauptservers bereits vergeben ist wei der secbak D mon dass er einen Ausfall hatte und bernimmt die Rolle des Backupservers wobei er zu dessen IP Adresse wechselt Falls die Rolle des SecOVID Hauptservers noch nicht vergeben ist bernimmt der Rechner nun die IP Adresse des Hauptservers und wartet auf den Backupserver um die Datenbanken zu verschmelzen oder startet den SecOVID D mon secovid in Abh ngigkeit von der Konfigurationsvariablen ForceStart Zuvor KAPITEL 2 INSTALLATION 38 sorgt der secbak D mon f r ein Kopieren der nun ben tigten Dateien f r SecOVID Lizenz db_allow und clients e Der secbak D mon auf dem Backupserver Beim ersten Start des secbak D mons auf dem Backupserver werden alle notwendigen Dateien vom SecOVID Hauptserver bernommen Dann wird in einstellbaren Zeitintervallen kontrolliert ob der SecOVID D mon auf dem Hauptserver l uft Falls bei einer solchen Kontrolle festgestellt wird dass der SecOVID D mon auf dem Hauptserver nicht l uft und der Rechner des Hauptservers netzwerktechnisch nicht er reichbar ist nimmt der Backupserver fortan die Rolle des Hauptservers ein und wechselt dabei zur
177. l kein manuelles Abtippen notwendig ist 1 3 2 SecOVID Token Das SecOVID Token ist ein kompaktes Ger t welches dem Benutzer auf Knopfdruck ein OTP erzeugt Es stellt dieses auf dem Display dar Der Anwender hat weiter nichts zu tun als das im Display angezeigte Einmalpasswort ber die Tastatur seines PCs oder Notebooks einzugeben ggf zusammen mit der optionalen Server PIN die als Diebstahlschutz dient und vom SecOVID Server gepr ft wird Technische Daten e 1 Taste zur OTP Erzeugung e Display 1x8 nummerisch und Grafik Symbole e Stromversorgung Knopfzelle CR 2025 1 3 3 SecOVID SoftToken Das SecOVID SoftToken erm glicht es Einmalpassw rter one time passwords OTP softwarebasierend auf mobilen Endger ten zu generieren Zu solchen Ger ten z hlen Mobiltelefone Voraussetzung WAP WTLS java f hig sowie markt bliche PDAs ab Palm OS 3 5 Pocket PC 2002 Diese L sung stellt eine Alternative zu den bisherigen hardwarebasierenden Ger ten wie dem SecOVID Reader SecOVID Reader Plus oder dem SecOVID Token dar und bietet dem Benutzer des SecOVID Systems gr tm gliche Flexibilit t Nach der Installation der SofToken Applikation auf dem jeweiligen mobilen Endger t ist es m glich durch Ein gabe einer vierstelligen PIN Einmalpassworte zu generieren und diese auf dem Display des Ger tes darzustellen Die einzugebende PIN kann zudem jederzeit durch den Benutzer ge ndert werden Dazu erfolgt eine Abfrage der alten PIN zur Veri
178. lches eine komfortable Administration erm glicht Die Inbetriebnahme dieses graphischen Tools setzt unter UNIX Systemen voraus dass die graphische Oberfl che X l uft Ggf m ssen Sie also zun chst einen X Server installieren oder starten e Kommandozeilentool Hier handelt es sich um ein rein textbasiertes Tool welches Sie von der Kommandozeile aus starten Das Kommnadozeilentool bietet alle grundlegenden Funktionen des Administrationstools GUI Sinnvolle Einsatzbereiche und die Benutzung des Kommandozeilentools erl utern wir in Abschnitt B 1 3 Achtung Eine Remote Administration Admintool und SecOVID Server auf verschiedenen Rechnern ist nur mit Administrator Chipkarte m glich Diese wird ben tigt um eine sichere Kommunikation durchzuf hren Einen ersten SecOVID Administratoraccount mit Administrator Chipkarte k nnen Sie nur mit Hilfe eines lokal installierten Administrationstools anlegen Daher m ssen Sie eines der beiden Administrationstools bis weilen nennen wir sie der Einfachheit halber Admintools in jedem Fall lokal auf dem Rechner des SecOVID Servers installieren Installation unter UNIX Systemen Sowohl f r ein Update einer bestehenden Installation als auch f r eine Neuinstallation gehen Sie wie im folgenden beschrieben vor 1 Falls noch nicht geschehen mounten Sie die Installations CD so dass Programme auf der CD ROM ausf hrbar sind 2 Starten Sie das Skript UNIX install_admintool sh von der CD ROM
179. legen dass der neue Eintrag f r das gerade generierte Soft Token dieser Datei hinzugef gt werden soll ohne diesen Parameter erfolgt eine Fehlermeldung falls die Datei bereits existiert und es wird kein Soft Token erzeugt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 88 Notfall Passwort setzen generate_static login string1 password string2 days N F r den angegebenen Benutzer wird ein statisches Notfall Passwort erzeugt Diese Funktion kann z B dazu dienen einem Benutzer der seinen Einmalpasswortgenerator zu Hause vergessen hat dennoch den Zugriff zu erm glichen Dabei wird eine eventuell gesetzte Server PIN mit diesem Notfall Passwort berschrieben so dass der Benutzer nach Ablauf des G ltigkeitszeitraums ggf seine Server PIN wieder neu setzen muss Mit dem Parameter password kann explizit das Notfall Passwort bergeben werden defaultm ig wird ein Passwort aus 8 zuf lligen alphanumerischen Zeichen generiert und ausgegeben Mit dem Parameter days kann spezifiziert werden wie lange das Passwort g ltig sein soll DefaultWert ist 1 Tag Nach Ablauf der angegebenen Anzahl von Tagen gelten automatisch nur noch die Einmalpassw rter des bisherigen Generators ggf in Verbindung mit dem Notfall Passwort als neuer Server PIN Diese Server PIN kann nat rlich wieder in der blichen Weise ge ndert werden Beachten Sie dass das Notfall Passwort ebenfalls automatisch ung ltig wird sobald der Benutzer erst
180. lient seine Passwortanfrage mit dem ffentlichen Schl ssel des SecOVID Servers Nur der SecOVID Server kann die Anfrage mit seinem privaten Schl ssel entschl sseln Seine Antwort an den SecOVID Client signiert der SecOVID Server mit sei nem privaten Schl ssel Das Verwenden des RSA Protokolls ist vorteilhaft wenn der SecOVID Client nicht in gesch tzter Umgebung steht wie beispielsweise ein UNIX Rechner in einem gro en Computerarbeitsraum Das RADIUS Protokoll h tte hier genau wie das TACACS Protokoll den Nachteil dass der zum Entschl sseln notwendige Schl ssel Shared Secret evtl auf dem SecOVID Client ausgesp ht werden k nnte Der SecOVID Server protokolliert jede Passwort Anfrage Unter welchem Benutzernamen wurde wann von wel chem SecOVID Client z B RADIUS Client aus eine Passwortanfrage an den SecOVID Server gerichtet Was war das Resultat der Passwort berpr fung Die wesentlichen Features des SecOVID Servers auf einen Blick Authentifikation RADIUS und TACACS konform e Alle Authentifikationen werden von einem einzigen Security Server dem SecOVID Server durch gef hrt e Einfachste Integration des SecOVID Servers in existierende IT Infrastrukturen auf Grund der Kom munikationsschnittstellen des SecOVID Servers RADIUS KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 11 TACACS RSA 1024 Bit Unterst tzte Authentifikationsverfahren statisches Passwort PAP CHAP MSCHAP Einmalpasswort
181. ls SecOVID Hauptserver und als SecOVID Backupserver dienen sollen Der secbak D mon l dt nach dem Starten die Konfigurationsdatei etc SecOVID secbak conf 2 2 3 2 Das Startskript Die Datei secbak_start_script ist das Startupskript f r den secbak D mon Kopieren Sie diese Datei in das Verzeichnis in dem sich alle anderen Initskripte befinden etc rc d und setzen Sie einen Softlink auf etc rc d rc d S65secovid bzw unter Solaris auf etc rc d S65secovid L schen Sie den Link auf das Startskript oder die Datei zum Starten des secovid D mons die Datei S65secovid in den Verzeichnissen etc rc d rcx d bzw etc rc d denn der SecOVID D mon wird k nftig vom secbak D mon gestartet 2 2 3 3 Die Konfigurationsdatei secbak conf Der SecOVID Backup D mon l dt nach dem Starten seine Konfigurationsdatei etc SecOvid secbak conf ber diese Datei teilen Sie dem Rechner beispielsweise mit ob er normalerweise als Hauptserver oder Backup server fungieren soll Beachten Sie dass Hauptserver und Backupserver unterschiedlich konfiguriert werden m ssen also unterschiedliche Dateien secbak conf besitzen m ssen Die Bearbeitung der Dateien secbak conf k nnen Sie im wesentlichen mittels des GUI Programms secbakconf vornehmen im folgenden wollen wir am Beispiel einer Konfigurationdatei secbak conf wie sie auf einem Rech ner vorliegen k nnte der normalerweise die Rolle des Hauptservers einnehmen soll einige Hinweise zur manuellen Konfigu
182. mals wieder ein korrektes Einmalpasswort ggf mit dem Notfall Passwort als neuer Server PIN verwendet Alias Link setzen alias login string1 referred string2 Dem angegebenen Benutzer wird es erm glicht auch den Generator des string2 bezeichneten Benutzers zu be nutzen um sich zu authentifizieren Beachten Sie dass jeder Benutzer nur einen solchen Alias Link haben kann wenn Sie den Befehl ein zweites Mal verwenden wird der schon vorhandene Link berschrieben Insbesondere k nnen sich durch Weglassen von string2 erreichen dass ein vorhandener Link wieder gel scht wird Beachten Sie dass es m glich ist eine Kette von Links zu bilden dass dann jedoch nicht nur alle Generatoren von Benutzern in dieser Kette f r den ersten Benutzer verwendet werden k nnen sondern jeder Generator f r alle Benutzer weiter vorne in der Kette g ltig ist Dies ist kein Problem wenn sie Dummy Benutzer verwenden die es im System nicht gibt um es einem Benutzer zu erm glichen mehrere verschiedene Generatoren zur Anmeldung zu benutzen Es kann jedoch zum Problem werden wenn Sie es erm glichen wollen dass sich ein Benutzer mit demselben Token unter verschiedenen Benutzernamen anmelden kann z B zur Verwaltung von System Accounts wie Administrator LDAP Benutzer importieren add Idap Server IP LDAP Port Suffix Filter LDAP User LDAP Password Von dem LDAP Server mit IP Adresse Server IP der an Port LDAP Port auf LDAP Anfragen beantwortet
183. me Mit diesem Kommando wir der Hostname des Hauptservers Rechner mit der IP Adresse OvidIP gesetzt Dieses Kommando wird durch den Backup D mon secbak aufgerufen wenn der vorlie gende Rechner die Rolle des Hauptservers einnimmt e BackupPort Die Portnummer ber welche die Backup D mons secbak miteinander kommunizieren Set zen Sie auf den Rechnern die als Hauptserver und Backupserver dienen sollen die gleiche Portnummer e ClientsServer Die clients Datei des Hauptservers Nimmt der vorliegende Rechner die Rolle des Hauptservers an wird auf dem Rechner ein Softlink von ClientsServer nach etc SecOvid clients gesetzt e ClientsBackup Die clients Datei des Backupservers Nimmt der vorliegende Rechner die Rolle des Backupservers an wird auf dem Rechner ein Softlink von ClientsBackup nach etc SecOvid clients gesetzt e DballowServer Die db_allow Datei des Hauptservers Nimmt der vorliegende Rechner die Rolle des Hauptservers an wird auf dem Rechner ein Softlink von DballowServer nach etc SecOvid db_allow gesetzt e DballowBackup Die db_allow Datei des Backupservers Nimmt der vorliegende Rechner die Rolle des Backupservers an wird auf dem Rechner ein Softlink von DballowBackup nach etc SecOvid db_allow gesetzt e ForceStart Dieser zus tzliche Parameter kann auf den Wert 1 gesetzt werden um den Start des Haupt server zu erzwingen auch wenn der Backupserver nicht erreichbar ist Achtung Ohne diesen Parameter bzw wenn er a
184. mindestens einer der angegebenen Apache internen Gruppen angeh rt und durch den SecOVID Server authentifiziert werden konnte Die Liste der Gruppennamen kann beliebig lange sein Existieren keine weiteren Eintr ge die mit require beginnen so werden keine anderen als die hier genannten Benutzer Einlass erhalten auch wenn sie durch den SecOVID Server authentifiziert werden konnten 4 Stellen Sie ggf durch einen entsprechenden Eintrag in der Datei etc hosts sicher dass der SecOVID Server unter obigem Namen bekannt ist 192 168 88 164 my_secovid_server my_domain de my_secovid_server 5 Editieren Sie die bereits vorhandene Datei usr local apache 1 3 26 conf httpd conf so dass die folgenden Eintr ge an den entsprechenden Stellen vorhanden sind LoadModule secovid_auth_module libexec mod_auth_secovid so AddModule mod_auth_secovid c lt Directory usr local apache 1 3 26 htdocs gt AllowOverride All EN lt Directory gt 6 Tragen Sie in der Datei etc SecOvid clients ein shared secret f r den SecOVID Server ein Falls die Datei noch nicht existiert legen Sie eine entsprechende Datei an Tragen Sie das gleiche shared secret auf dem SecOVID Server in dessen Datei etc SecOvid clients ein Informationen zur Syntax der Datei finden Sie in Abschnitt BLI 7 Starten Sie den Apache Server mit usr local apache 1 3 26 bin apachectl startssl Testen der Funktionalit t des WWW Zugriffsschutzes Angenommen www mycom
185. mt der Rechner nun dessen Rolle ein wobei er zur IP Adresse BackupIP wechselt Zuvor besorgt sich der Rechner noch die aktuellen Benutzerdaten vom Hauptser ver durch einen initialen Verschmelzungs oder Kopiervorgang je nachdem ob der SecOVID D mon auf dem Hauptserver bereits l uft oder nicht Falls der als Backupserver vorgesehene Rechner in seiner Ori entierungsphase feststellt dass die Rolle des Hauptservers noch nicht besetzt ist benachrichtigt er den SecOVID Administrator per Mail ber den Ausfall des Hauptservers F r eine initiale Besetzung der Rolle des Backupservers muss der Hauptserver verf gbar sein f r das initiale Kopieren der Benutzerdaten Daher beh lt der als Backupserver vorgesehene Rechner seine IP Adresse FirstIP Damit fungiert der Rechner nun weder als Hauptserver noch als Backupserver Er stellt jede weitere Kontrollt tigkeit ein 2 2 2 Installation Hinweis Die Installation des Backup Systems ist nur auf Rechnern m glich auf denen das SecOVID Serversystem bereits mittels des Installationsskriptes UNIX install sh von der SecOVID CD installiert wurde 2 2 2 1 Installation des Backupsystems Zur Installation des SecOVID Backupsystems d h alle Benutzerdaten sollen redundant auf mindestens einem SecOVID Backupserver gehalten werden gehen Sie wie folgt vor e Loggen Sie sich als root auf dem Hauptserver und auf dem Backupserver ein e Zum Spiegeln aller an den Hauptserver gerichteten Authentifikations und
186. n Maustaste bei gedr ckter Strg Taste Sie w hlen einen weiteren Benutzer aus oder entfernen einen Benutzer aus der Auswahl Bet tigen der linken Maustaste bei gedr ckter Shift Taste Sie w hlen auf einmal eine Serie von weiteren Benutzern aus Ziehen Sie die Maus bei gedr ckter linker Maustaste ber Benutzereintr ge Sie w hlen auf einmal eine Serie von Benutzern aus wobei alle anderen Benutzer aus der Auswahl entfernt werden Falls Sie w hrend dieser Operation die Strg Taste gedr ckt halten werden die Benutzer zu bisherigen Auswahl hinzugef gt Benutzen Sie die Suchfunktion Die bei der Suche gefundenen Benutzer sind nun zus tzlich zu den bereits selektierten Benutzern markiert Selektion von Benutzern aufheben Sie k nnen die Selektion eines Benutzers aufheben indem Sie den betreffenden Benutzereintrag in der Da tentabelle bei gedr ckter Strg Taste mit der linken Maustaste anklicken Die Selektion aller markierten Benutzer heben Sie auf indem Sie die Esc Taste dr cken Alternativ k nnen Sie zun chst mit der linken Maustaste auf einen beliebigen Benutzereintrag in der Datentabelle klicken nun ist nur dieser Benutzer selektiert und anschlie end die Selektion dieses Benutzers wie oben beschrieben aufheben 3 1 2 7 Lokale Richtlinien f r Benutzernamen Um daf r zu sorgen dass alle Benutzernamen die von den Administrationstools oder der Administrations Bibliothek erzeugt werden
187. n On e Die Chipkarte kann auch mit weiteren Anwendungen genutzt werden z B PKI Jedes Passwort wird nur ein einziges Mal vom System akzeptiert Einmalpasswort so dass der Benutzer beim n chsten Anmeldevorgang erneut eine Anfrage an sein Token bzw seine Chipkarte zu starten hat Au enstehende Hacker k nnen nicht in das System einbrechen da sie nicht ber ein Token oder eine Chipkarte mit in der SecOVID Datenbank registrierten geheimen Informationen verf gen und g ltige Passw rter ohne ein solches Token oder eine Chipkarte in der Praxis nicht vorhergesagt werden k nnen Zudem kennen Hacker nicht die geheime PIN bzw die ServerPIN mit der die Chipkarten bzw die SecOVID Token der Benutzer gesch tzt sind Bei SecOVID basiert die Authentifikation demnach auf zwei Faktoren Zwei Faktor Authentifikation 1 Etwas was der Benutzer besitzt Token SoftToken oder Chipkarte 2 Etwas was der Benutzer wei die geheime PIN Komponenten eines funktionierenden Gesamtsystems mit SecOVID KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 5 Auf Benutzerseite e Wahlweise pro Benutzer ein SecOVID Token SoftToken mit Handy PDA oder Chipkarte mit SecO VID Reader III oder KOBIL mIDentity e Keine spezielle Software Der Benutzer verwendet die Software die er bisher benutzt hat bzw GetPWD Anwendung KOBIL mIDentity Software f r mehr Komfort Auf Serverseite e Die SecOVID Server Software f r Authentifikation Autorisierung und Accounting
188. n Per sonalisierungsmaschine sofort neue Karten f r die selektierten Benutzer erzeugen Ist allerdings irrt mlich ein Benutzer selektiert der bereits eine Karte besitzt so wird seine alte Karte ung ltig falls Sie in dem R ckfrage Fenster best tigen dass Sie f r diesen Benutzer tats chlich eine neue Karte erzeugen wollen OTP Generator 000000001 000000002 000000003 000000004 OTP Type Token Token Token Token Server PIN Server PIN Server PIN Server PIN KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 69 Wie beim Export aus der Datenbank wird die erzeugte Datei entweder Klartext Format haben oder verschl sselt sein Gegebenenfalls m ssen Sie insbesondere die Administrator Chipkarte einlegen und die PIN eingeben Drucke PS Formular Druckt die ausgew hlten Benutzer Daten automatisch in ein PIN Brief Formular Nach Auswahl dieses Men punktes erscheint ein Fenster in dem Sie ausw hlen k nnen welche Daten Sie f r die ausgew hlten Benutzer ausdrucken wollen und wo diese auf dem Papier platziert werden sollen F r die Platzierung sind jeweils der gew nschte Abstand vom oberen und vom linken Seitenrand anzugeben Konfigurieren Sie Ihren Drucker so dass er eine Postscript Testseite mit den korrekten Abst nden vom Rand ausdruckt In diesem Fall wird auch das genannte PIN Brief Formular korrekt auf dem Papier platziert Benutzer Information Sie erhalten ein Dialogfenster mit den folgend
189. n Rechner welche die Rolle des Hauptservers und des Backupservers bernehmen sollen jeweils wie folgt vor Loggen Sie sich als root ein Kopieren Sie die SecOVID Lizenzdateien f r Hauptserver und Backupserver auf die Festplatte des desi gnierten Hauptservers in das Verzeichnis etc Sec0vid Falls dies nicht bereits automatisch geschehen ist so mounten Sie Ihr CD ROM Laufwerk so dass Pro gramme auf der SecOVID CD ausf hrbar sind mount o exec cdrom Installieren Sie den SecOVID Backup D mon secbak auf dem Hauptserver und dem Backupserver durch Aufrufen des Installationsskriptes UNIX install_backupserver sh von der SecOVID CD Konfigurieren Sie mit Hilfe des mitinstallierten Programms secbakconf X11 basiert die beiden Rechner als Hauptserver bzw als Backupserver Automatisches Starten des SecOVID Backup D mons secbak Die Datei etc SecOvid secbak_start_script ist das Startupskript f r den secbak D mon Kopieren Sie diese Datei in das Verzeichnis in dem sich alle anderen Initskripte befinden etc rc d und setzen Sie einen Softlink auf etc rc d rc d S65secovid bzw unter Solaris auf etc rc d S65secovid L schen Sie den Link auf das Startskript oder die Datei zum Starten des secovid D mons die Datei S65secovid in den Verzeichnissen etc rc d rcx d bzw etc rc d denn der SecOVID D mon wird k nftig vom secbak D mon gestartet Booten Sie zun chst den Rechner der die Rolle des Hauptservers einnehmen soll
190. n SecOVID Benutzern und Chipkar ten eingesetzt werden Dieses weist fast die volle Funktionalit t des graphischen Tools GUI auf und ist ebenfalls f r die Betriebssysteme Windows Linux und Solaris verf gbar Das textbasierte Tool eignet sich bestens zur Integration der SecOVID Administration in bereits vorhandene kundenspezifische Administrationstools Syntax des Kommandozeilen Administrationstools SecAdm Optionen Parameterliste Erl uterung Das Programm l sst sich von der Kommandozeile aus mit Optionen und Parametern starten welche die gew nschte Aktion festlegen Das Programm liefert bei jeder Aktion R ckgabewerte zur ck die den Erfolg oder Misserfolg einer Aktion anzeigen Standardinput und Standardoutput k nnen durch die entsprechenden Operatoren umgeleitet werden Beispiel SecAdm new_user login stringl lastname string2 firstname string3 pin string4 legt einen neu en Benutzer mit den angegebenen Daten in der SecOVID Datenbank an Dabei ist die Angabe des Parameters login notwendig Die anderen Parameter sind optional Wenn keine pin angegeben ist wird automatisch eine zuf llige PIN generiert Das Kommandozeilen Administrationstool kann sowohl zur lokalen als auch zur Remote Administrierbarkeit des SecOVID Servers eingesetzt werden Es werden die gleichen Sicherheitsmechanismen wie im Administrati onstool mit GUI verwendet siehe oben Das Kommandozeilentool l sst sich sogar im Remote remote Modus betreib
191. n administrative nderungen auf dem SecOVID Hauptserver bzw dessen Datenbank vorgenommen dann werden automatisch die gleichen nderungen auf den SecOVID Backupservern durchgef hrt Zudem sendet der SecOV ID Hauptserver stets eine Kopie der erhal tenen Passwortanfragen an seinen Backupserver Jede Ver nderung der Benutzerdaten wird somit automatisch auf den Backup Rechnern nachgezogen so dass die SecOVID Backupserver immer ber aktuelle Benutzerdaten verf gen Hochverf gbarkeit Im Falle eines Ausfalls des SecOVID Hauptservers k nnten Sie manuell einen der Backup Server zum Hauptserver machen oder Sie k nnen automatisch Hochverf gbarkeit des SecOVID Systems erzie len indem der Backup Server beim Ausfall des Hauptservers automatisch an dessen Stelle einspringt Im letzte ren Falle haben Sie vielf ltige Konfigurationsm glichkeiten Beispielsweise kann der Backupserver bei entspre chender Konfiguration beim Ausfall des Hauptservers dessen IP Adresse bernehmen so dass die anfragenden SecOVID Clients z B Firewall nur eine einzige IP Adresse f r den Authentifikationsserver kennen Alternativ k nnte der Backup Server beim Ausfall des Hauptservers unter einer anderen IP Adresse erreichbar sein In diesem Falle ist daf r zu sorgen dass den anfragenden SecOVID Clients diese IP Adresse bekannt ist 1 6 Anwendungsszenarien SecOVID kann immer dann mit geringem Integrationsaufwand eingesetzt werden wenn bisher zur Benutzerau thentifi
192. n bzw schlie en die Verbindung zum Kartenleser dabei ist besonders zu beachten dass die Verbindung immer geschlossen werden sollte wenn der Leser vor bergehend nicht mehr ben tigt wird da andernfalls andere Applikationen nicht auf den Kartenleser zugreifen k nnen SecOVID_GetCardTerminalStatus gibt Informationen ber den Zustand des Lesers zur ck bei 0 liegt keine Karte im Leser 3 bedeutet dass eine Karte vorhanden ist aber noch nicht mittels SecOVID_ResetChipcard aktiviert wurde 5 bedeutet dass eine Karte vorhanden und aktiviert ist SecOVID_GetCardTerminalHasPinPad gibt 1 zur ck wenn der Leser eine Tastatur zur PIN Eingabe hat 0 sonst Mit SecOVID_VerifyCardPIN bzw SecOVID_UnblockCardPIN kann die PIN verifiziert bzw freigeschaltet wer den Zu beachten ist hier insbesondere dass die bergabe eines NULL Pointers f r pin oder puk oder einer 0 f r pin_len oder puk_len bedeuten dass die PIN und ggf PUK ber die Tastatur des Lesers eingege ben werden sollen Dies funktioniert nat rlich nur dann wenn der Leser auch eine Tastatur hat Besonde re Beachtung verdienen die Return Werte dieser Funktionen neben dem blichen OVID_OK und einem eher allgmeinen Fehler wie OVID_ERROR_CHIPCARD sind auch folgende Werte m glich OVID_ERROR_PIN_LAST_TRY OVID_ERROR_PIN_LOCKED OVID_ERROR_PIN_MISSING OVID_ERROR_PIN_CANCELLED wenn die Eingabe am Le ser abgebrochen wurde OVID_ERROR_PIN_TIMEOUT wenn das Warten auf die Eingabe am Leser mit e
193. n die Grup penzugeh rigkeit ge ndert werden soll In der linken Auswahlspalte sehen Sie die Gruppen die Sie einem Benutzer Administrator zuweisen k nnen in der rechten die Schnittmenge der Gruppen der selektierten Eintr ge in der Datenbank Durch die beiden Pfeittasten werden dann die Zuweisungen ge ndert Warnung Werden bei einem Benutzer alle Gruppen entfernt so wird der User als undefiniert undef in der Daten bank gef hrt Nur noch der Superadmin kann auf diesen Benutzer zugreifen bzw ihm eine neue Gruppe zu weisen Entfernt ein Administrator seine eigene Gruppenangeh rigkeit so wird die Verbindung zum SecOVID Server unterbrochen Der Administrator kann sich nicht mehr auf dem SecOVID Server erfolgreich ein loggen Nur ein Superadmin kann dem Administrator wieder eine Gruppe zuweisen e Gruppenname Lokale Zuordung eines Gruppennamens zu einer Gruppennummer Durch einen Doppelklick oder einen rechten Mausklick kann der Gruppenname ediert werden Der zugeordnete Gruppenname wird nun in allen Dialogen bzw Ansichten anstatt der Gruppennummer verwendet Hilfe e Info Sie sehen ein Infofenster mit der Erreichbarkeit des Herstellers Die Men leiste als Erweiterter Helpdesk Die Men leiste eines erweiterten Helpdesks enth lt folgende Men punkte e Programm Konfiguration Beenden e Datenbank Ansicht aktualisieren Benutzer Information Benutzer sperren Benutzer entsperren Benutzer s
194. n mit den Administrationstools installiert Beachten Sie das auch diese Bibliothek ebenso wie die Administrationstools die Bibliothek f r die lokalen Richtlinien bez glich der Benutzernamen unterst tzt Hinweis F r verschiedenen Aktionen der Bibliothek z B zur Personalisierung von Chipkarten m ssen die Treiber f r das angeschlossene KOBIL Chipkartenterminal gefunden werden Unter UNIX Systemen m ssen Sie hierzu die Umgebungsvariable LD_LIBRARY_PATH korrekt setzen oder die Datei libct so in eines der Verzeich nisse kopieren dass per Default durchsucht wird z B usr lib Auf Windows Systemen wird erwartet dass der Treiber in einem Verzeichnis gefunden werden kann das in einem der Verzeichnisse der Umgebungsvariable PATH enthalten ist Die Funktionen dieser Bibliothek lassen sich in 4 Gruppen unterteilen die wir nun der Reihe nach vorstellen werden Die meisten Funktionen geben im Erfolgsfall OVID_OK zur ck auf Abweichungen werden wir im folgen den hinweisen und im Fehlerfall einen der Fehlercodes die zu Beginn der Datei admininterface h aufgelistet sind und deren Bezeichnung selbsterkl rend ist 3 1 4 1 Verbindung zur SecOVID Datenbank Mit folgenden Funktionen wird eine Verbindung zur SecOVID Datenbank aufgebaut int SecOVID_connectCard const char adminname const char server const char port const unsigned short CTN SecOVIDConnHandlex DEFAULT connection NULL int SecOVID_connectSoft const char adminname const cha
195. n vergessen haben KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 76 F r die ausgw hlten Benutzer wird jeweils in einem eigenen Dialog ein statisches Notfallpasswort gesetzt mit dem sich der Benutzer anstelle seines blichen Einmalpassworts anmelden kann Dieses Passwort ist nur f r den im Dialog eingestellten Zeitraum g ltig nach Ablauf der Zeit gilt automatisch wieder nur noch das Einmalpasswort Das Einmalpasswort wird ebenfalls wieder g ltig falls sich der Benutzer vor Ablauf der Frist unter Verwendung eines Einmalpassworts authentifiziert Achtung Beachten Sie dass das statische Notfallpasswort die Server PIN berschreibt falls eine solche verwendet wird d h nach Ablauf des Notfallpassworts oder auch bei einer Anmeldung mit Einmal passwort und Server PIN vor Ablauf der G ltigkeitsdauer des Notfallpassworts wird das Notfallpasswort anstelle der bisherigen Server PIN erwartet Diese neue Server PIN kann nat rlich in der blichen Weise ge ndert werden A Bemerkung Dieser Men punkt ist nur in der Administratoren Ansicht aktiviert e Aliasnamen hinzuf gen l schen Ordnet die ausgew hlten Generatoren einem weiteren noch auszuw hlenden Datensatz als zus tzliche Ge neratoren zu Hiermit kann man z B einem Benutzer mehrere Generatoren zuordnen oder einen Generator f r mehrere Benutzer verwenden Wenn Sie diesen Punkt ausw hlen ffnet sich ein Fenster in dem Sie eingeben k nnen f r welchen B
196. nehmen m ssen falls dieser Name nicht f r Haupt und Backupserver derselbe ist RestartRouting Der Befehl zum Erstellen des Routing Generell geht das Routing verloren wenn man die IP Adresse des Rechners umsetzt Mittels dieses Befehls wird das Routing nach jedem Wechsel der IP Adresse des vorliegenden Rechners repariert MailSend Das Kommando mit dem automatisch Mails an den SecOVID Administrator gesendet werden um ihn ber Unregelm igkeiten bzgl der Verf gbarkeit von Haupt oder Backupserver zu unterrich ten Dies ist nat rlich nur m glich falls prinzipiell Mails vom vorliegenden Rechner aus geschickt werden k nnen Der Defaulteintrag bash etc SecOvid Alert sh ist ein Beispiel Hier wird f r die Benachrich tigung des Administrators das Skript etc SecOvid Alert sh ausgef hrt Sie k nnen hier noch andere Befehle in das Skript einf gen KAPITEL 2 INSTALLATION 44 e CopyUserProfiles Diese Variable darf die Werte O oder 1 haben Im Fall CopyUserProfiles 1 werden die Dateien etc SecOvid users und etc SecOvid tacacs vom vorliegenden Rechner alle CheckTime Sekunden auf den Backupserver kopiert sofern der vorliegende Rechner die Rolle des Hauptservers besetzt e BackupHostname Mit diesem Kommando wird der Hostname des Backupservers Rechner mit der IP Adresse BackupIP gesetzt Dieses Kommando wird durch den Backup D mon secbak aufgerufen wenn der vorliegende Rechner die Rolle des Backupservers einnimmt e OvidHostna
197. nen der SecOVID Server oder Clientsoftware installiert war folgende Eintr ge aus der Datei etc services entfernen bzw auskommentieren tacacs 49 tcp tacacs 49 udp radius 1812 udp secovid 1647 udp secoviddb 1113 udp Kapitel 5 Lizenzvereinbarung Die gelieferte bzw eingerichtete Software und die dazugeh rige Dokumentation sind urheberrechtlich durch KOBIL Systems gesch tzt Die Nutzung und das Kopieren beider Produkte darf nur in Einklang mit den Lizenzbedingungen Internationale Nutzungsbedingungen und unter Einbezug des Copyright vorgenommen werden Die Software und das mitgelieferte Handbuch darf Dritten nicht zur Verf gung gestellt werden Dar ber hinaus ist es nicht gestattet die durch KOBIL Systems eingef hrten Titel berschriften und Bezeichnungen weiter zu verwenden Jede unbefugte Nutzung oder Reproduktion der Software oder der Dokumentation wird juristisch verfolgt Die Informationen die in der Software oder in dem Handbuch enthalten sind erheben nicht den Anspruch auf Vollst ndigkeit 2003 by KOBIL Systems GmbH Alle Rechte vorbehalten Hergestellt in Deutschland Internationale Nutzungsbedingungen der KOBIL Systems Lesen Sie vor dem Verwenden der Software diese Vereinbarung sorgf ltig durch KOBIL Systems erteilt Ihnen die Lizenz f r diese Software nur wenn Sie die Bedingungen dieser Vereinbarung akzeptiert haben Durch die Ver wendung der Software erkl ren Sie sich mit diesen Bedingungen einverstand
198. nlegen f r die noch keine PIN definiert ist was z B bei einer noch unbenutzten Chipkarte der Fall ist so wird nun die PIN Nummer auf der Karte als PIN angelegt die f r den Benutzer vorab definiert wurde Ein Rechtsklick auf den Benutzereintrag zeigt die definiert PIN an Wurde vorab keine PIN de finiert so m ssen Sie oder der Benutzer jetzt die Karten PIN eingeben Wenn Sie eine Chipkarte in das Chipkartenterminal einlegen auf der bereits ein PIN File vorhanden ist so stellen Sie sicher dass die f r den Benutzer vorab registrierte oder jetzt einzugebende PIN mit der PIN auf der Karte bereinstimmt ansonsten wird der Versuch einen Einmalpasswortgenerator auf die Karte zu schreiben scheitern Der entsprechende SecOVID Passwortgenerator wird nun angelegt Die erforderlichen Zufallswerte Triple DES Schl ssel und initiales Passwort Ciphertext werden dabei durch den Zufallszahlengenerator der Chipkarte erzeugt und auf Chipkarte sowie in der Datenbank abgespeichert Je nachdem ob betreffende Nummern schon auf der Karte vorliegen oder nicht werden die in der Datenbank f r den Benutzer regi strierten Werte f r PIN und PUK auf die Karte geschrieben Die PUK Personal Unblocking Key kann sp ter sozusagen als Super PIN dazu benutzt werden um eine neue PIN auf der Karte einzutragen wenn der Benutzer seine PIN vergessen haben sollte s u Warnung Falls Sie eine Karte einlegen die bereits einen Einmalpasswortgenerator also bereits e
199. nstmitarbeiter und Kunden Telearbeit Remote Access ber das Internet Wenn Sie Benutzern die Einwahl in Ihr Firmennetz ber das Internet erm glichen wollen so werden Sie typischerweise eine moderne Firewall einsetzen welche solche Benutzer authentifiziert Mit SecOVID Einmalpassw rtern k nnen Sie die bislang schwache Authentifikation entscheidend st rken und somit unberechtigte Benutzer von Ihrem Netzwerk fernhalten Dabei haben weder Ihre Benutzer noch Sie in Ihrem Firmennetzwerk spezielle Software zu installieren In der Praxis haben sich u a folgende Firewalls als vollkommen problemlos im Zusammenspiel mit dem SecOVID System erwiesen Check Point Firewall 1 RADIUS Symantec Axent Raptor RADIUS Watchguard RADIUS Cisco PIX RADIUS Einwahl ber das Telefonnetz Wenn Sie Benutzern die Einwahl in Ihr Firmennetz ber das Telefonnetz erm glichen wollen so werden Sie eine heute g ngige L sung ausw hlen Beispielsweise k nnen Sie unter Windows den RAS Remote Access Service einrichten Oder Sie installieren einen modernen Router der die Telefonanrufe der Benut zer entgegennimmt die sich in Ihr Firmennetzwerk einloggen m chten In beiden F llen kann SecOVID die bislang schwache Authentifikation entscheidend verbessern Dabei haben weder Sie in Ihrem Firmen netzwerk noch Ihre Benutzer weitere spezielle Hard oder Software zu installieren Ihre Benutzer sind somit vollkommen mobil Nat rlich haben Sie
200. nternet betrieben werden In Abschnitt ist im Detail beschrieben wie der ISA Server mit SecOVID abgesichert werden kann Falls Sie den ISA Server 2006 oder neuer verwenden k nnen Sie die sogenannte Kerberos Constraint Delegation verwenden um vom Benutzer lediglich den Usernamen und das OTP abzufragen und dennoch IIS seitig eine KAPITEL 2 INSTALLATION 48 komplette Windows Authentisierung vorliegen zu haben Fragen Sie nach dem KOBIL Integration Guide f r den Microsoft ISA Server 2 3 8 Installation des Internet Security and Acceleration Server mit SecOVID Authentifikationsmodul Der Microsoft ISA Server 2006 unterst tzt RADIUS bereits von Hause aus bitte fordern Sie den ISA Server Integration Guide bei KOBIL an Mit dieser Version des ISA Servers ist auch die Kerberos Constraint Delegation verf gbar mit der eine externe Authentisierung nur mit Username OTP m glich ist also ohne Eingabe des Windows Passworts 2 3 9 Installation und Konfiguration Schutz eines UNIX Netzes Sie k nnen an allen Stellen an denen bisher UNIX Systeme Passwortabfragen zur Benutzerauthentifikation gemacht haben statische UNIX Passw rter durch Einmalpassw rter ersetzen oder erg nzen Auf diese Weise kann die Passwortabfrage insbesondere bei den folgenden Anwendungen modifiziert werden lokales login an der Konsole und damit auch telnet rsh und teilweise rlogin ferner rlogin xdm und xscreensa ver oder xlock Beachten sie das nicht alle Programm
201. ntr gen aus fremden Datenquellen LDAP ADS ACE Server ASCII Tabelle e Drucken eines PIN Briefes e ndern der Server PIN eines Token Users f r den Benutzer ber ein separates Webinterface m glich b Aktionen mit Chipkarten f r SecOVD Administratoren und SecOVID Benutzer e Erzeugen Personalisieren bis zu zehn Passwort Generatoren auf einer Chipkarte e L schen eines Passwort Generators L schen aller Generatoren e Freischalten einer gesperrten Chipkarte mittels PUK KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 8 e Resynchronisierung einer Chipkarte oder eines Tokens c Gruppenverwaltung Zuweisung einer oder mehrerer Gruppen zu Benutzern und Administratoren E Sortierfunktionen Alphabetisches Sortieren nach verschiedenen Keys wie Loginname Nachname etc Suchfunktionen Suchen nach verschiedenen Kriterien o zur Konfigurierbarkeit e Erreichbarkeit der SecOVID Datenbank e L nge von PIN und PUK auf den zu personalisierenden SecOVID Chipkarten e Erreichbarkeit des Chipkartenlesers COM Port zum Personalisieren von Chipkarten Remote Administrierbarkeit Mit starker chipkartenbasierter Authentifikation des Administrators Challenge Response und anschlie Bender Verschl sselung aller zu bertragenden Daten Triple DES 168 Bit 0 Kommandozeilen Administrationstool Alternativ zum graphischen Administrationstool kann ein rein textbasiertes Administrationstool Kommandozeilentool zur Verwaltung vo
202. nur root Lese und Schreibzugriff auf die Datei haben Die Datei k nnte z B folgenden Inhalt haben localhost skjdageregz 192 168 88 167 kdj sfg kl3jdfg 192 168 88 161 k1dfgj12 WM 9cf 53 KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 54 etc SecOvid ovid_ping ist ein einfaches RSA Client Programm mit dem Benutzername und Einmal passwort testweise an den SecOVID Server geschickt werden k nnen Bitte achten Sie darauf dass auf dem Rechner auf dem Sie ovid_ping starten die Dateien etc SecOvid ovidcomm pub und etc SecOvid ovid_config existieren Informationen ber den notwendigen Inhalt der beiden Datei en finden Sie in Abschnitt 2 1 7 Testen Sie mit diesem Programm ob falsche Einmalpassw rter vom SecOVID Server abgelehnt und korrekte akzeptiert werden etc SecOvid ovid_ping u username password z B etc SecOvid ovid_ping u testuser 98423623 etc SecOvid radping ist ein einfaches RADIUS Client Programm mit dem Benutzername und Einmal passwort testweise ber das RADIUS Interface an den SecOVID Server geschickt werden k nnen Testen Sie mit diesem Programm ob falsche Einmalpassw rter vom SecOVID Server abgelehnt und korrekte akzeptiert werden radping u username password S SecovidServerIP serverPort K secretKey z B radping u smith 26011735 S 192 168 1 1 K secret etc SecOvid tacping ist ein einfaches TACACS Client Programm mit dem Benutzername und Ein malpasswort testweise
203. nutzer ein rechter Mausklick auf den Benutzereintrag Information anklicken und die betreffenden Textfelder ndern Eine detaillierte Beschreibung finden Sie weiter unten KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 60 3 1 2 2 Starten des Administrationstools Bei Starten des Programms muss bereits der SecOVID Server in Betrieb sein Zudem muss auf Nicht Windows Systemen die graphische Oberfl che X laufen Starten Sie das Administrationstool unter Unix durch die Kommandofolge cd etc SecOvid SecOvid_admin sh bzw unter Win32 durch Win32 Programme gt KOBIL Systems gt SecOVID admintools gt WxOVID Sie erhalten nun ggf die Aufforderung Ihre Administrator Chipkarte einzulegen und die PIN ber die Tastatur des Chipkartenterminals einzugeben Best tigen Sie dies mit OK und geben Sie die PIN ein sobald das Termi nal diese anfordert Dabei wird implizit vorausgesetzt dass sich derselbe Administrator wie beim letzten Mal anmelden will Wenn dies nicht der Fall ist oder wenn Sie keine Administrator Chipkarte haben oder wenn die eingegebene PIN falsch war erscheint ein Dialog in dem Sie Abbrechen w hlen k nnen um auch ohne Anmeldung mit dem Server kommunizieren zu k nnen Dies ist aus Sicherheitsgr nden allerdings nur m glich wenn das Admintool lokal auf demselben Rechner wie der SecOVID Server l uft und wenn die Adresse 127 0 0 1 in der Datei db_allow eingetragen ist Aus Sicherheitsgr n
204. objectClass den Wert Person hat damit lassen sich z B administrative Eintr ge ausfiltern Im Falle des IPlanet LDAP Servers m ssen Sie dieselbe Anfrage als objectClass Person co dieren w hrend im Falle von Microsofts ADS dieses Standardattribut einen abweichenden Namen hat so dass Sie dort f r denselben Zweck amp objectCategory person verwenden m ssen Beachten Sie dass die in dieser Maske eingetragenen Werte bis auf das eventuell vorhandene Passwort in der Datei Idap cfg gespeichert werden e Datenbank exportieren Exportiert die selektierten Benutzer in eine Datei Diese Export Datei kann dabei in dem Fenster das sich nach Auswahl dieses Men punktes ffnet ausgew hlt werden Wenn Sie lokal mit leerem Administrator namen angemeldet sind dann wird die Exportdatei in einem Klartext Format exportiert das ohne gro e Schwierigkeiten manuell oder maschinell bearbeitet werden kann Beachten Sie dabei die Doppelpunkte zur Trennung der Felder eines Datenbank Eintrags voneinander sowie die erste Zeile die nur aus einem Doppelpunkt besteht und so anzeigt dass dies eine Klartext Datei ist Sind Sie mit einem nicht leeren Administratornamen angemeldet so m ssen Sie Ihre Administrator Chipkarte einlegen und die PIN am Chipkartenterminal eingeben In diesem Falle wird die Export Datei in verschl sselter Form auf die Platte geschrieben e Match to LDAP Mit diesem Men punkt k nnen Sie noch anonymen freien SecOVID Daten
205. ollversionen zu probieren z B mittels der Optionen 1 oder 2 meistens funktioniert zumindest eine Version doch e In OpenSSH 3 7 1p2 und evtl auch in neueren Versionen ist die PAM Unterst tzung serverseitig default m ig ausgeschaltet und muss explizit durch Hinzuf gen der Zeile UsePAM yes zur Datei sshd_config eingeschaltet werden KAPITEL 2 INSTALLATION 52 2 3 10 Installation eines RSA Clients Falls Sie den SecOVID Einmalpasswortmechanismus in irgendeinem Produkt anwenden wollen welches ber eine RSA Schnittstelle verf gt so installieren Sie das betreffende Produkt und tragen Sie an der vorgesehenen Stelle die IP Adresse Portnummer und Public Key des SecOVID Servers ein In der Regel haben Sie dazu die Dateien ovid_config und ovidcomm pub zu editieren siehe Abschnitt 2 3 6 2 4 Das GetPWD Programm Der SecOVID Reader III erzeugt OTPs offline d h ohne Anschluss an den PC Dazu m ssen die OTPs entspre chend vom Display des Readers abgelesen und manuell in die Bildschirmmaske eingegeben werden Um diesen Vorganz etwas komfortabler zu gestalten gibt es ein kleines Programm das es dem Benutzer erm glicht ein Passwort mit Hilfe eines beliebigen an den Rechner angeschlossenen KOBIL Chipkartenterminals zu berech nen Nachdem man mit diesem Programm ein Passwort berechnet hat kann es einfach mit Mausklick in die gew nschte Eingabemaske eingef gt werden Auf diese Weise kann sich der Benutzer das manuelle Abtippen des Passwor
206. onnHandle DEFAULT connection NULL Diese Funktionen entsprechen genau den Funktionen des Kommanozeilen Administrationstools und sollten so mit keiner detaillierteren Erkl rung bed rfen Daher beschr nken wir uns darauf auf einige Besonderheiten hinzuweisen e SecOVID_getNoOfUsers gibt falls der R ckgabewert nicht negativ ist die Anzahl der Benutzer bzw Ad ministratoren in den spezifizierten Gruppen zur ck Ein negativer R ckgabewert enspricht einem der blichen Fehlercodes e SecOVID_generateSofttoken schreibt den Usernamen und die zugeh rige PIN in die mittels pinfile angegebene Datei Dabei bedeutet ein von 0 verschiedener Wert f r den Parameter weak dass das Soft Token ohne Zuhilfenahme von Zufallszahlen von der Chipkarte mittels eines softwarebasierten Pseudo Zufallszahlen Generators generiert wird Diese Option ist vom Standpunkt der Sicherheit nicht wirklich empfehlenswert in der Praxis aber h ufig n tzlich wenn gerade kein Kartenleser zur Hand ist 3 1 4 4 Low Level Zugriff Sollten diese Funktionen nicht ausreichen gibt es auch die M glichkeit auf die einzelne Komponenten des Datensatzes zuzugreifen und diese zu modifizieren Dazu dienen die Funktionen int SecOVID_newUser SecOVIDUserHandle user SecOVID_usertype type int SecOVID_getShortUser SecOVIDUserHandlex user SecOVID_usertype type int index int DEFAULT sort_index 0 int DEFAULT groups SecOVID_defaultGroup const SecOVIDConnHandle DEFAULT
207. ort sowie f r das Chipkartenterminal Klicken Sie auf den OK Button Jetzt werden alle Einstellungen auf Plausibilit t berpr ft Insbesondere wird berpr ft e ob am eingestellten Port ein KOBIL Chipkartenterminal gefunden wird Dieser Vorgang kann ca 3 Sekunden in Anspruch nehmen falls nicht automatisch nach einem Chipkartenterminal gesucht werden soll KAPITEL 2 INSTALLATION 31 e ob an irgendeinem Port ein KOBIL Chipkartenterminal gefunden wird Dieser Vorgang kann pro COM Port den ihr Rechner hat ca 3 Sekunden dauern falls die automatische Suche nach einem Chipkartenterminal aktiviert ist e ob der SecOVID Server angesprochen werden kann Im positiven Fall werden Ihnen alle im SecOVID Server registrierten Benutzer angezeigt u U sind noch keine Benutzer registriert Im negativen Fall erhalten Sie eine entsprechende Fehlermeldung berpr fen Sie die Einstellungen so wie die Installation des Chipkartenterminals Stellen Sie beim Versuch einer Remote Administration des SecOVID Servers zudem sicher dass Ihre Firewalls und sonstigen Paketfilter die Netzwerk Kommunikation zwischen SecOVID Admintool und SecOVID Server nicht behindern Das bedeutet die Firewall muss al le UDP Pakete durchlassen die vom SecOVID Admintool zum SecOVID Server auf dessen Datenbank port in der Regel Port 1113 siehe den Eintrag secoviddb in der Datei etc services des SecOVID Servers gesendet wird Zudem muss die Firewall alle UDP Pakete des
208. ovid auf dem designierten Haupt und dem designierten Backupserver 6 Starten Sie dann den SecOVID Backup D mon secbak zun chst auf dem Hauptserver anschlie end auf dem Backupserver oder booten Sie die beiden Rechner zun chst den Hauptserver dann den Backupserver 2 3 Clientseite Im folgenden beschreiben wir wie man verschiedene Clients f r SecOVID installiert Unter SecOVID Clients verstehen wir Software oder Hardwaresysteme die Passwortanfragen ber eine der drei dem SecOVID Server bekannten Schnittstellen RADIUS TACACS und RSA weiterleiten k nnen SecOVID Clients sind beispiels weise e RADIUS Server e Firewalls e Router e VPN Gateways Virtual Private Networks mit RADIUS oder TACACS Interface e Apache Webserver mit dem KOBIL eigenen RADIUS Authentifikationsmodul e die KOBIL eigenen PAM Module mit RSA Schnittstelle zum Schutz von UNIX Netzen Die mit markierten Komponenten SecOVID Clients sind zum Minimalbetrieb des SecOVID Systems nicht notwendig Installieren Sie daher nur die SecOVID Clients f r die Zielsysteme deren Benutzeridentifikation Sie verbessern m chten 2 3 1 Installation eines RADIUS Servers Falls Sie einen RADIUS Server eines anderen Herstellers RADIUS in Version 2 installieren m chten so folgen Sie bitte den Instruktionen im Handbuch bzw der Dokumentation Ihres RADIUS Servers Beachten Sie dabei bitte dass Sie den RADIUS Server wegen technischer Einschr nkungen des RADIUS Sys
209. pany de ist der Name Ihres gerade konfigurierten Apache Servers dann starten Sie mittels eines Browsers von einem anderen Rechner aus eine Anfrage auf den WWW Server KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 110 https www mycompany de Ihnen wird nun angeboten sich das Zertifikat von Ihrem WWW Server zu laden Folgen Sie hier den Anweisun gen auf dem Monitor und akzeptieren Sie das Zertifikat testweise Sie k nnen sich zu einem sp teren Zeitpunkt ein neues Zertifikat f r Ihren WWW Server organisieren Mit dem bereits vorinstallierten Zertifikat k nnen Sie vorab die Funktionsweise testen Bemerkung F r weitergehende Konfigurationshinweise konsultieren Sie die Dokumentation Ihres Apache Servers siehe www apache org Schutz von Webseiten durch Kombination von Zertifikaten und Einmalpassw rtern Falls sie den Schutz ihrer Webinhalte durch kombinierte Benutzung von Zertifikats und Einmalpasswort basierter Authentifikation gew hrleisten wollen so gehen Sie wie folgt vor 1 Legen Sie im zu sch tzenden Verzeichnis eine Datei htaccess an die folgende Zeilen enth lt SSLVerifyClient optional SSLOptions FakeBasicAuth StrictRequire AuthType Basic AuthName SecOvid AuthSecOvid my_secovid_server my_domain de SecOvidPort 1812 RequireSessionkey on SecOvidTimeout 60 SecOvidSSLClientsFile etc SecOvid sslclientsfile SecOvidAllowSSLClients meyer neis binisik tak require valid user 2 Legen Si
210. passwortes Zugriff auf SecOVID geschitzte Seiten erh lt die nicht per SSL bertragen werden KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 109 Nach Ablauf dieser Zeitspanne verliert der Endanwender sein Zugriffsrecht auf die gesch tzten Seiten und wird zur Eingabe eines neuen Einmalpasswortes aufgefordert e require user meyer gibt an dass der Apache Server eine Seite f r den User meyer freigeben soll der durch den SecOVID Server authentifiziert werden konnte mit der Ausnahme dass RequireSessionKey on gesetzt ist und der User das Abspeichern von Cookies verbietet Ihnen stehen weitere Konfigurationsm glichkeiten offen require valid user gibt an dass der Apache Server eine Seite f r einen beliebigen User freige ben soll der durch den SecOVID Server authentifiziert werden konnte mit der Ausnahme dass RequireSessionKey on gesetzt ist und der User das Abspeichern von Cookies verbietet require user meyer neis binisik w rde den Benutzern meyer neis und binisik den Zugriff auf das jeweilige Verzeichnis gestatten sofern einer dieser Benutzer ein g ltiges Einmalpasswort vor legt Existieren keine weiteren Eintr ge die mit require beginnen so werden keine anderen als die hier genannten Benutzer Einlass erhalten auch wenn sie durch den SecOVID Server authentifiziert werden konnten require group groupnamel groupname2 gibt an dass der Apache Server eine angeforderte Seite f r einen User freigeben soll der
211. quireSessionKey on SecOvidTimeout 60 require user meyer Diese Eintr ge haben folgende Bedeutung AuthType Basic ist ein Apache interner Eintrag AuthName definiert den Titel des Authentifizierungsfensters also des Fensters in dem der Endanwen der Benutzernamen und Einmalpasswort einzugeben hat um Zugriff auf eine Webseite zu erhalten AuthSecOvid definiert die IP Adresse oder den Namen des SecOVID Servers der die Authentifikation durchf hren soll SecOvidPort definiert die Portnummer des SecOVID Servers an welche Authentifizierungsdaten geschickt werden Geben Sie hier die Nummer des Ports ein an dem der SecOVID Server RADIUS Anfragen erwartet Ma geblich ist der Eintrag radius in der Datei etc services des SecOVID Servers RequireSessionKey Die gr tm gliche Sicherheit beim Zugriff auf Webseiten wird erreicht wenn der Endanwender z B durch entsprechende Konfiguration seines Browsers das Abspeichern von Cookies auf seinem Rechner erlaubt denn Cookies werden in unserem Kontext zum Generieren von Session Keys verwendet die eine zuverl ssigere Identifikation des Rechners des Endanwenders erlauben Der Eintrag RequireSessionKey legt fest was passieren soll wenn der Endanwender auf eine gesch tzte Seite zugreifen will aber das Abspeichern von Cookies verboten hat Folgt hinter dem genannten Eintrag on so ist ein Session Key f r die bertragung der Daten zwingend erforderlich und der Apache Server gibt die Webseite n
212. r server const char port const char tokenfile const char PIN SecOVIDConnHandle DEFAULT connection NULL int SecOVID_connectData const char adminname const char server const char port char softdata const char PIN SecOVIDConnHandle DEFAULT connection NULL Diese Funktionen bauen f r den Administrator mit dem angegebenen Namen eine Verbindung zur Datenbank auf dem angegebenen Server auf Dabei kann f r server entweder der Hostname oder die IP Adresse bergeben werden F r port mu die Nummer des Ports bergeben werden zu dem die Verbindung hergestellt werden soll z b 1112 Zur Authentifizierung kann entweder eine Chipkarte in einem Kartenleser zu dem bereits eine Verbindung besteht siehe unten benutzt werden oder wahlweise eine Datei mit einem SoftToken in diesem Fall ist der KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 91 Dateiname zu bergeben oder der Inhalt einer solchen Datei In beiden F llen ist die PIN zur Enschl sselung des SoftTokens mit zu bergeben w hrend wir im Fall der Chipkarte davon ausgehen dass die PIN der Karte bereits verifiziert wurde Der letzte Parameter dient im wesentlichen der Unterst tzung einer m glichen zuk nftigen Erweiterung der Bibliothek zur Zeit kann immer nur eine Datenbank Verbindung benutzt werden in Zukunft soll es m glich sein mehrere Verbindungen gleichzeitig zu benutzen zum Beispiel um Benutzerdaten leicht von einem Server zu
213. r Suche gefunden wurden sind anschlie end zus tzlich zu den vorher bereits selektierten Benutzern selektiert e Benutzer resynchronisieren Resynchronisieren von Benutzern Voraussetzung zum Resynchronisieren Die entsprechenden Benutzer m ssen gesperrt sein Hiermit wird individuell f r einen Benutzer die bliche Suchtiefe um einen Faktor 10 erh ht Der Benutzer muss dann allerdings zweimal hintereinander versuchen sich anzumelden wobei aufeinanderfolgende Einmalpassw rter angegeben m ssen Damit wird gew hrleistet das die Resynchro nisation tats chlich korrekt abl uft es k nnte innerhalb eines sehr gro en Suchintervalls ja ein Passwort wom glich zweimal vorkommen Auch wird verhindert dass ein Unbefugter hier bessere Chancen hat durch Raten eines Passwortes in das System einzudringen In der Statusspalte erscheint f r einen Benut zer den Sie gerade zur Resynchronisation ausgew hlt haben der Status Resynec 1 Sobald der Benutzer das erste der beiden Passw rter eingegeben hat ndert sich der Status auf Resync 2 Nach Eingabe des korrekten zweiten Passwortes ndert sich der Status wieder auf OK Ist das zweite Passwort nicht das unmittelbar auf das erste folgende so ndert sich der Status auf gesperrt Beachten Sie dass Aliasnamen siehe Beschreibung des Men punkts Aliasnamen hinzuf gen l schen in besonderer Weise behandelt werden Wenn Sie f r einen Benutzer testuser z B eine Chipkarte und mi
214. r nun die PIN auf der Karte zur ckgesetzt werden soll Sie k nnen jeweils durch Anklicken des OK Buttons den Vorgang f r den angezeigten Benutzer akzeptieren durch Anklicken von berspringen auf das Durchf hren des Vorgangs f r den angezeig ten Benutzer verzichten und zum n chsten selektierten Benutzer bergehen und durch Anklicken von Abbrechen den gesamten Vorgang des Zur cksetzens der PIN abbrechen Sie werden schlie lich zum Einlegen der Chipkarte des aktuell angezeigten Benutzers in das KOBIL Chipkartenterminal aufgefordert Anschlie end m ssen Sie eine neue Karten PIN definieren sofern f r den Benutzer keine PIN in der Datenbank registriert ist Sonstige Token Tokendaten importieren F gt die Tokendatens tze zur aktuellen SecOVID Datenbank hinzu Wenn Sie mit SecOVID Tokens arbeiten wollen m ssen Sie ber diesen Men punkt einmalig die auf einem Datentr ger erhaltenen geheimen Tokendaten in die SecOVID Datenbank importieren Handelt es sich bei den SecOVID Tokens um eine Teststellung so liegen die Tokendaten im Klartext vor und k nnen ohne Weiteres in die SecOVID Datenbank eingef gt werden Haben Sie die SecOVID Tokens gekauft so erhalten Sie die Tokendaten in der Regel verschl sselt Beim Versuch diese Daten zu impor tieren werden Sie aufgefordert Ihre KOBIL Kommunikationschipkarte in das angeschlossene KOBIL Chipkartenterminal einzulegen und die Karten PIN einzugeben Eine Entschl sselung
215. r trace Nehmen wir an dies w re der Inhalt Ihrer Datei etc pam d rlogin Bei einer rlogin Anfrage auf den Rechner findet der rlogin D mon in dieser Datei wie er Benutzer authentifizieren soll F r die Authentifikation sind nur die Zeilen relevant die mit auth beginnen Entsprechende Zeilen werden der Reihe nach abgearbeitet und logisch durch UND verkn pft Das bedeutet in unserem Beispiel Ausreichend die Zeile mit sufficient f r eine erfolgreiche Authentifikation ist ein positiver Entscheid durch das Authentifikationsmodul 1ib security pam_rhosts_auth so Dieses pr ft ob der Benutzer ohne ber pr fung eines Einmalpasswortes auf Grund der Adresse seines anfragenden Rechners vertrauensw rdig ist Falls dieses Modul nicht zu einem positiven Entscheid kommt m ssen alle anderen PAM Authentifikationmodule die in unserem Beispiel mit auth required oder auth requisite beginnen zu einem positiven Entscheid kom men damit der anfragende User eingeloggt wird Insbesondere muss der anfragende Benutzer also ein korrektes UNIX Passwort PAM Modul lib security pam_unix so und ein korrektes Einmalpasswort PAM Modul lib security pam_ovid_auth so vorlegen k nnen Kommt im Falle auth requisite das entsprechende Authentifikationsmodul zu einem negativen Ergebnis so wird der Benutzer sofort abgelehnt und die ggf noch folgenden Zeilen in der Konfigurationsdatei werden f r die Authentifikation nicht mehr abgearbeitet Hingegen werden
216. r zu deinstallieren Nun k nnen Sie den SecOVID Server wie in Abschnitt B I I beschrieben stoppen Wollen Sie ihn nur vor ber gehend deaktivieren so sorgen Sie nun daf r dass beim Booten des Rechners nicht mehr versucht wird den SecOVID D mon zu starten beispielsweise durch Entfernen der betreffenden Datei aus den Verzeichnissen mit den automatisch beim Booten ausgef hrten Skripten auf Linux System etwa mittels des Kommandos mv etc rc d rc2 d S65secovid etc Sec0vid S65secovid bak und auf Solaris System mittels mv etc rc2 d S65secovid etc Sec0vid S65secovid bak Zur Sicherung Ihrer Benutzer und Karten oder Tokendaten k nnen Sie nun ein Backup der Datei etc SecOvid ovid_data machen wenn Sie die Option einer sp teren Neu Installation aufrecht erhalten wol len k nnen Sie auch ein Backup der sonstigen Konfigurationsdateien im etc SecOvid Verzeichnis machen Zur Deinstallation des SecOVID Serversystems mitsamt dem Admintool entfernen Sie ggf die von SecOVID installierten Libraries aus den Verzeichnissen die Sie bei der Installation des SecOVID Servers und der SecOVID Administrationstools angegeben hatten Die Pfade zu den entsprechenden Verzeichnissen finden Sie in den Startupskripten etc SecOvid secovid sh und etc SecOvid SecOvid_admin sh Abschlie end l schen Sie nun die verbliebenen Dateien und Directories mittels 114 KAPITEL 4 DEINSTALLATION 115 rm rf etc SecOvid Nun k nnen Sie auch auf den Rechnern auf de
217. ramm getpwd startet erscheint ein Fenster auf dem Bildschirm in der kurzen War tezeit wird berpr ft was f r ein Chipkartenterminal angeschlossen ist und ob eine Chipkarte in das Terminal eingelegt ist Besitzt das angeschlossene Terminal eine Tastatur so muss der Benutzer wenn er ein Passwort erzeugen will den Button OTP dr cken und die PIN am Terminal eingegeben Wird ein Terminal ohne Ta statur verwendet so startet das Dialogfenster mit einem Eingabe Fenster in den man die PIN ber die Tastatur des Computers eingeben kann Bei jedem Dr cken des OTP Buttons wird nun ein SecOVID Einmalpasswort erzeugt Sobald das Einmalpasswort berechnet ist kann dieses mit Hilfe der Maus an der gew nschten Stelle eingef gt werden Unter UNIX Applikationen die Drag amp Drop unterst tzen geschieht dies indem man in das Passwort Fenster klickt in dem das Passwort durch Sternchen symbolisiert wird und das Passwort an die gew nschte Stelle zieht F r eine UNIX Applikation ohne Drag amp Drop Unterst tzung z B telnet in einem xterm wird das Passwort zudem als Standard Einf ge Text exportiert d h es l sst sich durch einen Klick auf die mittlere Maustaste einf gen Willman das Passwort im Klartext angezeigt haben so kann man diese Einstellung nach Dr cken des Optionen Button vornehmen Beim Erzeugen des n chsten Passworts wird das SecOVID Passwort nun im Klartext an gezeigt 3 3 2 Windows Wenn der Benutzer d
218. ration f r Notf lle geben und einige Details erl utern die ber die M glichkeiten des Konfigurations programms hinausgehen Die entsprechende Datei finden Sie nach Installation des SecOVID Backup D mons unter etc SecOvid secbak conf_mainserver_strategy3 Das Beispiel einer passenden Konfigurationsdatei f r einen Backupserver finden Sie unter etc SecOvid examples_secbak secbak conf_backupserver_strategy3 Schauen Sie sich auch die zu den anderen Hauptstrategien geh renden Konfigurationsdateien an etc SecOvid examples_secbak secbak conf_mainserver_strategy f r die als Hauptserver vorgesehenen Rechner und etc SecOvid examples_secbak secbak conf_backupserver_strategy f r die als Backupserver vorgese henen Rechner KAPITEL 2 INSTALLATION 42 BeServer 1 You are configured to be the main SecOVID server Strategy 2 Codes the strategy to be used Strategy 2 means on backup server Change IP if there are problems SSLCopy 0 Make a SSL Backup FirstIP 192 168 1 252 The IP we use when booting dummy address SecondIP 192 168 1 14 The IP we change to after working address OvidIP 192 168 1 14 The IP of the SecOVID main server BackupIP 192 168 1 114 The IP of the SecOVID backup server ServerLicence etc SecOvid ovid_licence_server BackupLicence etc SecOvid ovid_licence_backup CheckIP 192 168 1 2 The IP used for the online test PingMode 0 The method used for availabilty tests CheckPort 22 The port of CheckIP used for
219. rieren wie dieser Webserver erreichbar ist Unter ServerIP und Port tragen Sie die IP Adresse des SecOVID Servers und den Port ein unter dem der Webserver erreichbar ist Aktivieren Sie HTTPS falls Ihr Server auf dem angegebenen Port das HTTPS Protokoll benutzt x W hlen Sie bei Server Typ aus ob Sie einen Apache hnlichen Webserver mit Unterst tzung f r Perl oder einen 175 hnlichen Webserver mit Unterst tzung f r ASP benutzten x Unter Pfad f r Export tragen Sie den Pfad ein unter dem auf dem WebServer die generierten HTML Seiten gespeichert werden sollen Dies ist z B relevant wenn Sie sp ter nochmal alte Auswertungen anschauen wollen ohne Sie erst neu generieren zu m ssen x Unter SecOVID Pfad tragen Sie den Pfad ein in dem der SecOVID Server installiert ist und in dem die Log Dateien ovid proto abgelegt werden Beachten Sie dass eine neue Verbindung mit der Datenbank aufgebaut wird gegebenenfalls mit einem neuen Administratornamen nachdem Sie die nderungen auf diesen Seiten mit OK best tigt haben Hierzu m ssen Sie wieder die Administrator Chipkarte einlegen und die PIN am Kartenterminal eingeben Bemerkung Wollen Sie Ihre Datenbasis sichern oder l schen so verwenden Sie bitte die Tools und Kommandos die das Betriebssystem zum Kopieren und L schen von Dateien zur Verf gung stellt z B cp etc SecOvid ovid_data etc SecOvid ovid_data old_version Beac
220. rliegenden Fall also unter Portnummer 1812 auf RADIUS konforme Passwortanfragen und am secovid Port Portnummer 1647 auf RSA verschl sselte Passwortanfragen Das Administrationstool greift ber den secoviddb Port Port 1113 auf die im Arbeitsspeicher re sidierende Datenbasis zu KAPITEL 2 INSTALLATION 22 c Erstellen des Startupdateien etc rc d rc2 d S65secovid Bem Das Default Init Verzeichnis unter Solaris lautet etc rc2 d Genau wie alle Programme im Verzeichnis etc rc d rc2 d wird auch das Skript S65secovid automatisch beim Booten des Rechners ausgef hrt Dies f hrt zum Starten des SecOVID D mons Von Hand starten Sie den SecOVID D mon durch Eingabe von INSTALL_DIR secovid sh oder von etc rc d rc2 d S65secovid start 4 Im folgenden nehmen wir an dass der SecOVID Server in INSTALL_DIR installiert ist Versuchen Sie nun den SecOVID Server zu starten INSTALL_DIR secovid sh Der SecOVID Server berpr ft beim Starten jedes Mal die G ltigkeit der installierten Lizenzdatei INSTALL_DIR ovid_licence Das Ergebnis dieser berpr fung finden Sie in der SecOVID Log Datei Das Kommando cat INSTALL_DIR ovid proto k nnte folgendes ausgeben Licence for ovid radius KOBIL Demo Lizenz Users 20 valid till Fri Nov 14 11 00 19 2003 Die installierte Lizenzdatei berechtigt in diesem Beispiel zum Betrieb des SecOVID Servers f r bis zu 20 Benutzer bis zum 14 11 2003 Der letzte Eintrag in der SecOVID Log Datei k nnte ab
221. rt der SecOVID Backup D mon zun chst die SecOVID Datenbank danach bernimmt der Rechner anschlie end seine vorgesehene Rolle als Hauptserver oder Backupserver e Dann beschreiben wir die Rolle des Hauptservers und dessen Kontrollt tigkeit Der Hauptserver kontrol liert sich selbst und seinen Backupserver e Zuletzt beschreiben wir die Rolle des Backupservers und dessen Kontrollt tigkeit Der Backupserver kontrolliert sich selbst und seinen Hauptserver e Der secbak D mon beim Start Beim Start sollte der Rechner die IP Adresse FirstIP haben Der secbak D mon betrachtet zun chst den Wert der Konfigurationsvariablen BeServer KAPITEL 2 INSTALLATION 37 1 Steht diese auf 1 versucht der D mon ob er einen laufenden Hauptserver erreichen kann Ist dies der Fall so hat der Backupserver zuvor nach einen Ausfall des Hauptservers die Rolle des Hauptservers bernommen also wird der Rechner nun die Rolle des Backupservers bernehmen Andernfalls ber nimmt der Rechner jetzt die Rolle des Hauptservers Hat die Konfigurationsvariable ForceStart dabei den Wert 1 wird sofort der SecOVID D mon gestartet andernfalls wartet der Hauptserver zun chst auf den Backupserver und sobald dieser sich meldet verschmelzen die beiden Rechner ihre lokalen Kopien der Datenbank ovid_data zu einer einheitlichen aktuellen Version dann werden die SecOVID D monen auf beiden Rechnern gestartet 2 Steht BeServer auf 0 versucht der D mon ebenfalls ein
222. rte Benutzer Ihre Mitarbeiter oder Ihre Kun den auf sicherheitssensitive oder kostenpflichtige Informationen auf dem Webserver zugreifen k nnen Auf die gleiche Weise kann der Zugriff auf Internet Applikationen wie Outlook Web Access mit Einmal passw rtern gesch tzt werden Durch die Kopplung mit SSL Secure Socket Layer k nnen Daten nach erfolgter Authentifikation des Benutzers verschl sselt bertragen werden Optional k nnen ausgew hlte Benutzer mit Techniken der Public Key Kryptographie authentifiziert werden sofern die Benutzer ber ein g ltiges Zertifikat verf gen e Absicherung Ihres Internetbanking Systems e Absicherung Ihres Callcenter Dienstes z B Telefonbanking Starke Authentifikation in Ihrer eigenen Applikation Die Integration des SecOVID Einmalpasswortmechanismus in Ihre eigenen Applikationen k nnen Sie inner halb k rzester Zeit mit dem SecOVID Toolkit vornehmen Dieses finden Sie auf der SecOVID CD ROM unter Development Das SecOVID Toolkit besteht aus Headern Shared Objects und Dokumentation Die Shared Ob jects beinhalten RADIUS Clients die Sie aus Ihrer eigenen Applikation mit einer entsprechenden Parameterliste z B IP Adresse und Port des SecOVID Servers aufrufen k nnen Ein solcher RADIUS Client f hrt die kom plette RADIUS konforme Kommunikation mit dem SecOVID Server aus d h er kodiert die Passwort Anfrage im entsprechenden Format verschl sselt sie gem RADIUS Standard und sendet sie an den Sec
223. ruppe Generator Typ Status userd001 undef EJ OK user0002 Entwicklung da DK user0003 Entwicklung dan Resync 1 Vertrieb daR 2 Fehler user0005 Vertrieb Gesperrt Benutzer geladen 5 Administrator y Erweiterter Helpdesk KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 61 i SecOYID Admintool E i x Programm Datenbank Gruppe Hilfe Benutzer DE z 8 amp G gQ Benutzername Name Vorname Gruppe Generator Typ Status user undef eJ OK userZ Entwicklung a DK Entwicklung CE Gesperrt userd Vertrieb GERA Gespert user5 Vertrieb Gesperrt Benutzer geladen 5 ferw Helpdesk y Helpdesk Pe Programm Datenbank Gruppe Hilfe Benutzer DB z GQ Benutzername Name Vorname Gruppe Generator Typ Status userd001 undef EJ OK userD002 Entwicklung a OK user0003 Entwicklung E Gesperrt userO004 q Gesperrt user0005 Vertrieb D Gesperrt Fehlgeschlagen 0 Erfolgreich 1 Benutzer geladen 5 Helpdesk L Auf dem Bildschirm haben Sie nun eine Sicht auf Ihre Benutzer Die Sicht auf Ihre SecOVID Administratoren erhalten Sie ber das Men Datenbank gt Administratoren Datenbank oder ber die Auswahlbox in der Buttonleiste Sie sehen zu jedem Eintrag e den Benutzernamen Namen und Vornamen des Benutzers e welcher Gruppe der Benutzer angeh rt e welchen Passwortgenerator der Benutzer zum Erzeugen von SecOVID Einmalpassw rter verwendet e ob der Benutzer durch den Se
224. s Benutzerzertifikat muss der Benutzer implizit Gebrauch von seinem privaten Schl ssel machen Dieser muss unbedingt geheim bleiben Normalerweise wird der geheime Schl ssel des Benut zers auf dessen Festplatte gespeichert was ein gro es Sicherheitsrisiko darstellt Bei Verwendung des Produktes KOBIL Smart Key kann der geheime Schl ssel des Benutzers hochsicher auf der SecOVID Chipkarte des Be nutzers gespeichert werden Aus Sicherheitsgr nden empfehlen wir dringend die letztgenannte Variante KOBIL Smart Key leistet insbesondere die Anbindung des Browsers des Benutzers an dessen Chipkarte Beachten Sie dass zur Verwendung von Benutzerzertifikaten in jedem Fall Soft oder Hardware auf dem Computer des Benut zers installiert werden muss Dieses raubt dem Benutzer die totale Mobilit t d h die M glichkeit von einem beliebigen Rechner aus ohne jegliche Installation auf gesch tzte Webseiten zuzugreifen SecOVID gew hrleistet hingegen die genannte totale Mobilit t des Benutzers 3 2 6 2 Schutz von Webseiten durch Einmalpassw rter auf dem Apache Webserver Wir wollen im folgenden annehmen Ihr Apache Webserver Version 1 3 26 sei im Verzeichnis usr local apache 1 3 26 installiert Nach korrekter Installation von SecOVID Server WWW Server und Authentifikationsmodul k nnen Sie den Zugriff auf ganze Verzeichnisse sch tzen Die Webinhalte befinden sich im Verzeichnis usr local apache 1 3 26 htdocs Dieses Verzeichnis bezeichnen wir im folgenden
225. s Kleinbuchstaben oder immer mit einem Gro buchstaben beginnend der nur von Kleinbuchstaben gefolgt wird oder wie auch immer es in Ihrer Umgebung angemessen ist Warnung Falls Sie den Server zun chst ohne diese Option verwendet haben und Benutzer angelegt haben deren Benutzernamen sich nur in der Gro und Kleinschreibung unterscheiden z B test Test und TEST dann werden jeweils alle diese Benutzer bis auf den nach alphanumerischer Sortierung letzten gel scht wenn Sie den SecOVID Server mit dieser Option starten eventuell vorhandene Datens tze f r Chipkarten und Token gehen dabei verloren so dass diese Chipkarten bzw Token unbrauchbar werden Wenn Sie eine solche Umstellung vornehmen wollen empfiehlt es sich also zun chst die Benutzernamen so zu ndern dass keine Duplikate auftreten werden und sodann ein Backup der Datenbank anzulegen um gegebenenfalls eine M glichkeit zu haben bersehene Probleme zu korrigieren A Bemerkung Denken Sie daran dass Sie nach jedem Editieren des Files secovid sh Unix bzw secovid arg win32 den SecOVID Server neu starten m ssen damit die Anderungen bernommen werden Verwenden einer alten SecOVID Datenbasis Wenn Sie bereits ber eine SecOVID Datenbasis verf gen und diese vom Administrationstool oder vom SecOVID Server benutzt werden soll so gehen Sie wie folgt vor Beachten Sie dabei unbedingt die vorgegebene Reihenfolge Stoppen Sie den SecOVID Server Sichern Sie die akt
226. s Verfahren zur Generierung eines Einmalpasswortes geheimzuhalten Kapitel 2 Installation Um die von Ihnen gew nschte Anwendung mit dem SecOVID System abzusichern m ssen Sie einige Arbeits schritte durchf hren Die folgende Tabelle gibt Ihnen Aufschluss dar ber In der zweiten Spalte wird der Arbeits schritt benannt Die dritte Spalte enth lt das f r den jeweiligen Arbeitsschritt aufzurufende Installationspro gramm auf Ihrer CD UNIX bezeichnet dabei das Betriebssystem auf dem Sie den SecOVID Server installieren m chten linux oder solaris Die vierte Spalte verweist auf die Abschnitte des Handbuches in denen Sie detailliertere Informationen finden Bitte halten Sie bei der Installation die von uns empfohlene Reihenfolge ein Achten Sie darauf dass die von Ihnen verwendeten Softwarekomponenten Bestandteil der gleichen SecOVID Version sind Insbesondere ist der SecOVID Server ab Version 1 10 nicht kompatibel mit fr heren Versionen der RSA Clienten SecOVID Server bzw Admintool ab Version 2 0 sind nicht kompatibel mit fr heren Versionen von Server bzw Admintool 16 KAPITEL 2 INSTALLATION 17 Installation unter Linux Solaris Arbeitsschritt aufzurufendes Installationsskript Programm Details siehe Abschnitt e UNIX install sh Installation SecOVID 2 12 BJ Server Installation SecOVID UNIX install_admintool sh Administrationstools 2 13 Starten des SecOVID etc SecOvid secovid s
227. s Wiedereinspielen eines ehemals g ltigen Einmalpasswortes Denn Einmalpassw rter werden nur ein einziges Mal akzeptiert e Das Erraten eines g ltigen Einmalpasswortes Denn es gibt sehr viele 100 Millionen verschiedene M glichkeiten f r das jedes Mal scheinbar zuf llig gew hlte Einmalpasswort lDas entsprechende SecOVID Authentifikationsmodul KOBIL eSecure ist auf Anfrage erh ltlich KAPITEL 1 PRODUKTBESCHREIBUNG KOBIL SECOVID 15 Eine Brute Force Attacke d h das Durchprobieren aller m glichen Passw rter f r einen Benutzernamen Denn werden f r den gleichen Benutzernamen zehn ung ltige Passw rter in Folge eingegeben so wird der betreffende Benutzer dauerhaft gesperrt Des Weiteren wird nach jeder Falscheingabe ein Timeout hochgez hlt der den Benutzer tempor r sperrt Das hei t nach der ersten Falscheingabe muss der Benutzer 4 Sekunden warten bis er das n chste OTP angeben kann nach der zweiten Falscheingabe 8 Sekunden dann 16 Sekunden dann 32 Sekunden usw Dadurch werden Denial of Service Attacken abgewehrt die darauf abzielen Benutzerkonten zu sperren Der Versuch ein g ltiges Einmalpasswort aus mitgeh rten g ltigen Einmalpassw rtern zu berechnen Denn man kann mathematisch beweisen dass die Vorausberechnung eines k nftig g ltigen Passwortes durch einen Angreifer nur dann m glich w re wenn das symmetrische Verschl sselungsverfahren Triple DES mit einer Schl ssell nge von 168 Bit gebrochen w re Genau
228. sche Karte 5 PIN Verifikation fehlgeschlagen oder PIN zu kurz 6 Aktualisieren der Datenbank fehlgeschlagen bzw bei new_user_batch auch zu kurze oder zu lange PIN 17 Benutzer nicht vorhanden 8 Benutzer bereits vorhanden 9 Ung ltige Parameter 10 Ung ltige Anzahl von Parametern 10 Zu importierende Datenbankdatei nicht gefunden 11 File mit PINs f r Softtoken siehe Abschnitt konnte nicht geschrieben werden 12 Befehl verweigert Keine Berechtigung 13 Befehl verweigert Keine Berechtigung den Benutzer in alle gew hlten Gruppen aufzunehmen bzw aus allen nicht gew hlten Gruppen zu entfernen 14 Angegebene Gruppe existiert nicht bzw bei delete_card auch PIN konnte nicht zur ckgesetzt werden bzw bei add ldap Anfrage an den LDAP Server fehlgeschlagen 15 Aktualisierung der Datei mit den PINS f r Softtoken fehlgeschlagen 16 Erzeugen des Softtokens fehlgeschlagen 17 Falscher Admintype 18 Unzul ssige Verwendung von new gentype bzw new admintype 19 Benutzer kann nicht entsperrt werden da noch keinen gentyp bzw bei add ldap Konfigurationsfile ldap conf nicht gefunden 20 Die Operation ist f r diesen Benutzertyp nicht zul ssig z B Kartenoperation k nnen nur f r Chipkarte und nicht f r Softtoken ausgef hrt werden 21 Der referenzierte Alias Benutzer existiert nicht 22 Der anzulegende Generator existiert bereits auf der Chipkarte
229. t F r das Admintool ist der Port ma geblich der im vorliegenden Textfeld eingetragen ist Tragen Sie hier O ein so sucht das Admintool auf dem vorliegenden Rechner nach dem Eintrag secoviddb in der Datei etc services Falls ein solcher Eintrag existiert so verwendet nun auch das Admintool die hier vermerkte Port Nummer Falls ein solcher Eintrag nicht existiert erhalten Sie eine entsprechende Warnung x Unter Pfad f r Import Export Log tragen Sie die Default Pfade f r die Import und Export datei von SecOVID Benutzerdaten sowie die Log Datei ein Die Pfade zur Import oder Export Datei k nnen jeweils beim eigentlichen Importieren oder Exportieren nochmals angepasst werden Bei jeder Import oder Exportaktion wird die Datei OvidLog log im hier gew hlten Verzeich nis f r die Log Datei geschrieben In dieser Datei werden eventuelle Fehler bei der Operation KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 63 protokolliert Vermeiden Sie die Eingabe von und und bevorzugen Sie die Eingabe von absoluten Pfaden Unter Administratorname geben Sie Ihren beim SecOVID Server registrierten Administrator namen ein Um lokal unverschl sselt und ohne Chipkarte mit dem SecOVID Server zu kommu nizieren geben Sie keinen Administratornamen an bzw l schen Sie den Namen der in diesem Feld steht Die Seite Kartenterminal Tragen Sie unter COM Port ein an welcher COM Schnittstelle Sie Ihr K
230. t dem Benutzernamen testuser token ein Token personalisiert haben dann k nnen Sie einerseits wie ge wohnt mittels testuser die Chipkarte und ber den Namen testuser token das Token resynchronisieren Im allgemeinen insbesondere wenn die Benutzernamen unter denen weitere Token eines Benutzers in der Datenbank eingetragen sind gar nicht bekannt sind ist dies jedoch nicht sehr praktikabel Daher ist es in diesem Fall auch m glich nachdem der Benutzer testuser auf resynchronisieren gestellt wurde sonstige Einmalpasswortgeneratoren dieses Benutzers in unserem Beispiel also das Token zu resynchronisieren Dies funktioniert allerdings nur wenn sie dann auch wirklich das zu resynchronisierende Token benutzen Wenn Sie mit einem anderen Einmalpasswortgenerator z B der Chipkarte ein korrektes Einmalpasswort erzeugen und zur Anmeldung benutzen geht der Resynchronisationsstatus des Benutzers verloren um das Token zu resynchronisieren m ssten sie also erneut den Men punkt Benutzer resynchronisieren f r diesen Benutzer ausw hlen e Generator Typ ndern Erm glicht das ndern des Generator Typs Diese Feature wird ben tigt wenn Sie einen SecOVID Datensatz importieren wollen der unter der SecOVID Version 3 0 erstellt wurde bzw wenn Sie ein Upgrade von SecOVID 3 0 auf SecOVID 3 1 machen Sie ben tigen diesen Men punkt insbesondere um zu definie ren ob der SecOVID Server f r einen Benutzer zus tzlich zu einem Einmalpasswort auch dessen s
231. tatisches Passwort Server PIN pr fen soll M gliche Generatoren Typen undefiniert Chipkarte Als Passwort hat der Benutzer einzugeben lt OTP gt SecOVID Token PIN Schutz nicht mehr unterst tzt Als Passwort hat der Benutzer einzugeben lt OTP gt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 72 SecOVID Token Server PIN Als Passwort hat der Benutzer einzugeben lt Server PIN gt lt OTP gt SecOVID Token PIN Schutz Server PIN nicht mehr unterst tzt Als Passwort hat der Benutzer einzugeben lt Server PIN gt lt OTP gt SecOVID Token Als Passwort hat der Benutzer einzugeben lt OTP gt SecOVID SoftToken Als Passwort hat der Benutzer einzugeben lt OTP gt SecOVID SoftToken Server PIN Als Passwort hat der Benutzer einzugeben lt Server PIN gt lt OTP gt Die SecOVID Token Varianten mit PIN Schutz sind nicht mehr verf gbar und daher nur der Vollst ndigkeit halber aufgef hrt Zus tzlich k nnen Sie einen SecOVID Datensatz als free markieren wenn Sie diesen Passwortgenera tor einem Benutzer zuweisen wollen dessen Personalien Benutzername Nachname Vorname durch die Funktion Match to LDAP oder Match to ACE aus einer fremden Datenquelle importiert werden A Bemerkung Dieser Men punkt muss ber die Men punkte Programm gt Konfiguration gt Pa wortgenerator frei geschaltet werden Server PIN nd
232. tc SecOvid secovid sh Skript welches den SecOVID D mon startet Serverfunktionalit t des SecOVID Servers Der SecOVID Server ist ein Authentifizierungs Server der Einmalpasswortanfragen pr fen kann und ber eine RADIUS Schnittstelle RADIUS Version 2 eine TACACS Schnittstelle TACACS Protocol v 1 78 konform und eine RSA Schnittstelle verf gt Im Vergleich zu einem RADIUS TACACS Server verf gt der SecOVID Server ber ein eigenes Accounting und kann statische Passw rter berpr fen Benutzerprofile speichern und alle m glichen RADIUS TACACS Attribute wie ein beliebiger RADIUS TACACS Server handhaben Bzgl der RADIUS Attribute erfolgt die Administration des SecOVID Servers genau wie bei klassischen RADIUS Servern Der einzige Unterschied be steht darin dass sich die von der Verwaltung von RADIUS Servern bekannten Dateien aus dem Verzeichnis KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 55 etc raddb beim SecOVID Server unter etc SecOvid finden Bzgl der TACACS Attribute erfolgt die Konfiguration des SecOVID Servers genau wie bei TACACS Servern Folgende Dateien k nnen zur Konfiguration verwendet werden e etc SecOvid users die von RADIUS Servern bekannte Userdatenbank zum Abspeichern von Benut zerprofilen Authentifikationsdaten und Benutzerrechte Beachten Sie dass Sie zumindest eine minimale Version dieser Datei ben tigen die die Zeile DEFAULT Password OVID beinhaltet WARNUNG
233. tehen so dass sich Benutzer jederzeit authentifizieren k nnen Die Benutzerdaten eines als SecOVID Hauptserver deklarierten Rechners k nnen hierbei auf dem SecOVID Backupserver redundant gehalten werden Jede Modifikation der Benutzerdaten auf dem SecOVID Hauptserver wird automatisch auf dem SecOVID Backup Server ausgef hrt so dass der SecOVID Backupserver immer auf dem gleichen Datenbestand arbeitet wie der SecOVID Hauptserver Eine Modifikation der Benutzerdaten auf dem Hauptserver kann zwei Ursachen haben siehe Abbildung P e Erh lt der SecOVID Hauptserver eine Authentifikationsanfrage so sendet der Hauptserver eine Kopie dieser Anfrage an seinen Backupserver weiter Der Backupserver wird bei der berpr fung der Anfrage zum gleichen Ergebnis gelangen wie der Hauptserver und entsprechend ggf die gleiche nderung am entsprechenden Datenbankeintrag vornehmen evtl unterscheidet sich allerdings der Zeitstempel f r diesen Authentifizierungsversuch leicht von dem entsprechenden Zeitstempel auf dem Hauptserver so dass die Dateien die die Datenbanken enthalten im allgemeinen nicht vollst ndig identisch sind Der Backupserver sendet das Ergebnis seiner berpr fung an den Hauptserver zur ck KAPITEL 2 INSTALLATION 34 SecOVID Backupsystem SecOVID Main Server SecOVID Backup Server Mirror Password Request Username OTP IP 192 168 1 114 Mirror Administrator Request Lock user Schmitt
234. tei etc services des SecOVID Servers gesendet wird Zudem muss die Firewall alle TCP Pakete des SecOVID Servers an das SecOVID Kommandozeilentool undefinierter Port durchlassen Die Konfigurationsdatei Prefs cfg Zudem m ssen Sie vor dem Starten des Tools sicherstellen dass im lokalen Verzeichnis eine Konfigurationsdatei Prefs cfg existiert Diese k nnte folgenden Inhalt haben localhost 1113 1 0 KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 82 OO TU 0 0 Die Datei Prefs cfg besteht aus mindestens zehn Zeilen und h chstens 14 Zeilen deren Inhalt Sie gem Ihrem System Zeile f r Zeile anpassen m ssen Zeile 1 Zeile 2 Zeile 3 Zeile 4 Zeile 5 Zeile 6 Zeile 7 Zeile 8 Zeile 9 Enth lt die IP Adresse des SecOVID Servers In obigem Beispiel ist der SecOVID Serverprozess also auf dem lokalen Rechner installiert Enth lt die Portnummer an der der SecOVID Server Administrationsanfragen entgegennimmt Tragen Sie die Portnummer ein welche in der Datei etc services auf dem Rechner des SecOVID Servers dem Interface secoviddb zugeordnet ist Der Standard Port f r Administrationsanfragen lautet 1113 Enth lt den COM Port an dem das KOBIL Chipkartenterminal angeschlossen ist In obigem Beispiel ist COM Port 1 angegeben Der Wert 0 bedeutet dass beim Starten des Kommandozeilentools nicht automatisch nach einem Chip kartenterminal gesucht wird Der Wert 1 bedeutet dass b
235. tellen CheckPort Im Falle PingMode 0 wird dieser Wert ignoriert Im Falle PingMode 1 versucht der Rechner den Computer CheckIP bzw einen sonstigen Rechner auf Port CheckPort anzusprechen um zu pr fen ob er selbst online ist CheckTime Das Zeitintervall in Sekunden in welchem der Backupserver kontrolliert ob der Hauptserver l uft und netzwerktechnisch vom Backupserver erreichbar ist Gleichzeitig das Zeitintervall in Sekunden in dem der Hauptserver kontrolliert ob er selbst online d h netzwerktechnisch erreichbar ist WaitTime Die Anzahl der Versuche die der vorliegende Rechner bei einem Erreichbarkeitstest unter nimmt ehe der vorliegende Rechner der Meinung ist der SecOVID Hauptserver sei ausgefallen Das hei t beispielsweise dass der Backupserver nach CheckTime WaitTime Sekunden die Rolle des Hauptservers einnimmt StartOvid Der Befehl zum Starten des SecOVID D mons secovid Diesen Eintrag m ssen Sie norma lerweise nicht ver ndern ChangeServerIP Der Befehl zum Wechsel der IP Adresse Wenn der Backupserver die IP Adresse des Hauptservers im Falle des Ausfalls des Hauptservers bernehmen soll wird dieses Kommando f r den Wechsel der IP Adresse verwendet Achtung Beachten Sie dass Sie auch bei Verwendung des Konfigurationsprogramms secbakconf hier nach dem ersten Start des Backupservers nachdem der Backupserver seine Konfiguration aktualisiert hat eine manuelle Anpassung des Namens der Netzwerkschnittstelle vor
236. tels des SecOVID Administrationstools GUI und exportieren diese Ebenso verfahren Sie mit den Administratoren Danach stoppen Sie den Server wieder starten den SecOVID Server auf dem Backup server und importieren die entsprechende db Dateien auf dem Backupserver um dann wiederum den SecOVID Server zu stoppen e Machen Sie SecOVID Hauptserver und SecOVID Backupserver gegenseitig bekannt Tragen Sie auf dem SecOVID Hauptserver in der Datei etc SecOvid clients IP Adresse und shared secret des Backupser vers ein so als w rde der Backupserver RADIUS Passwortanfragen an den Hauptserver stellen Tragen Sie zudem auf dem SecOVID Backupserver in der Datei etc SecOvid clients die IP Adresse und das shared secret des Hauptservers ein so als w rde der Hauptserver RADIUS Passwortanfragen an den Backupserver stellen Kopieren Sie au erdem die Datei etc SecOvid ovidcomm key vom Hauptserver auf den Backupserver Existiert diese Datei auf dem designierten Hauptserver noch nicht so starten Sie den SecOVID D mon auf dem Hauptserver warten darauf dass diese Datei erzeugt wird dies kann mehrere Minuten dauern und stoppen den SecOVID D mon wieder e Sorgen Sie dar ber hinaus daf r dass die nachfolgend aufgef hrten Daten bzw Dateien auf dem Haupts erver und den Backupservern exakt den gleichen Stand haben F r gleichen Datenbestand k nnen Sie z B durch manuelles Kopieren der entsprechenden Dateien sorgen die RADIUS Clients etc SecOvid cli
237. tems m glicherweise nicht auf dem gleichen Rechner installieren k nnen wie den SecOVID Server An dieser Stelle sei erneut dar auf hingewiesen dass der SecOVID Server die Funktionalit t eines RADIUS Servers bereits beherrscht Daher m ssen Sie nicht notwendigerweise einen separaten RADIUS Server installieren Allerdings besitzt der SecOVID Server sein eigenes propriet res Accounting F r ein RADIUS konformes Ac counting m ssen Sie also doch einen separaten RADIUS Server installieren der Accounting unterst tzt z b mit FreeRADIUS vgl auch Abschnitt 2 1 4 In diesem Fall konfigurieren Sie den anderen Server so dass er einerseits Accounting Daten sammelt und andererseits die eigentlichen RADIUS Requests ber die Proxy Schnittstelle an den SecOVID Server weiterleitet Im Falle von z B FreeRADIUS ist dies sogar m glich ohne das ein zus tzlicher Rechner ben tigt wird Nach der Installation des RADIUS Servers m ssen Sie RADIUS Server und SecOVID Server gegenseitig bekannt machen Die notwendigen Konfigurationsschritte sind in den Abschnitten B T 1 und B 2 1 beschrieben KAPITEL 2 INSTALLATION 47 2 3 2 Installation eines RADIUS Clients Falls Sie den SecOVID Einmalpasswortmechanismus in irgendeinem Produkt anwenden wollen welches ber eine RADIUS Schnittstelle RADIUS Version 2 verf gt so installieren Sie das betreffende Produkt und tragen Sie an der vorgesehenen Stelle die IP Adresse des SecOVID Servers ggf als RADIUS Server
238. tes vom Display des Taschenkartenlesers ersparen F r den Betrieb mit KOBIL mIDentity ist dieses Programm nicht notwendig da die mIDentity Software es bereits enth lt und mit Hilfe der Simple Sign On Funktion sogar das Ausf llen der Anmelde Dialogboxen vollst ndig automatisierbar ist Um das GetPWD Programm zu nutzen gehen Sie bitte vor wie folgt 1 Installation des KOBIL Chipkartenterminals z B SecOVID Reader III e Folgen Sie den Instruktionen zur Installation die dem Chipkartenterminal beiliegen 2 Installation getpwd e Unter Windows Starten Sie das Programm Setup exe im Verzeichnis win32 clients getpwd Folgen Sie den An weisungen des Installationsprogramms e Unter Linux oder Solaris Starten Sie das Programm UNIX install_getpwd sh auf der SecOVID CD W hlen Sie die gew nsch te Sprachversion deutsch oder englisch aus Installieren Sie au erdem die Shared Objects f r GTK 1 2 10 in einem Verzeichnis Ihrer Wahl und nehmen Sie dieses Verzeichnis global in den LD_LIBRARY_PATH auf Kapitel 3 Initiale Konfiguration und Bedienung im laufenden Betrieb 3 1 SecOVID Serversystem 3 1 1 Konfiguration des SecOVID Servers Die Konfigurationsdateien und Testprogramme f r den SecOVID Server finden Sie unter etc SecOvid e etc SecOvid ovid_licence enth lt die Lizenz die vom SecOVID Server beim Starten berpr ft wird Diese wurde Ihnen per Diskette oder email zugesandt etc SecOvid db_allow enth lt einerseits die
239. tionsmethoden m glich So kann der Benutzer nach geeigneter Konfiguration des Webservers z B von seinem heimischen PC auf abgesicherte Inhalte ihres Webservers zugreifen sofern er sein g ltiges Be nutzerzertifikat vorweisen kann Ist der Benutzer auf Dienstreise und verf gt nicht ber sein Zertifikat so kann die Authentifikation mittels SecOVID Einmalpasswort durchgef hrt werden Dar ber hinaus bestehen weitere M glichkeiten zur Konfiguration So muss beispielsweise nach der Authentifikation bei einer mit SSL gesicherten Verbindung zur Einsicht weiterer Dokumente im abgesicherten Bereich des Webservers kein weiteres Einmal passwort vom Benutzer vorgelegt werden Bei unverschl sselter Verbindung kann die Zeitspanne der G ltigkeit eines Einmalpasswortes festgelegt werden Nach Ablauf dieser Zeitspanne muss der Benutzer erneut ein g ltiges Einmalpasswort vorlegen Bemerkung zur Verwendung von Benutzerzertifikaten Wenn Sie die oben beschriebene Kombination der Authentifikation mittels standardkonformem X 509 Be nutzerzertifikat und Einmalpasswort nutzen wollen ben tigen Sie zur Erstellung von Benutzerzertifikaten eine Trustcentersoftware oder Sie m ssen Benutzerzertifikate bei einem entsprechenden Dienstleister einkaufen Sie KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 107 k nnen hier beispielsweise die in Windows 2000 integrierte Trustcenter Software Windows 2000 CA verwenden Bei der Authentifikation mittel
240. tragen werden zu dem das Geheimnis geh rt das f r den SecOVID Server in der clients Datei hinter localhost eingetragen ist Au erdem ist zu beachten dass der ACE Server so konfiguriert sein muss dass er RADIUS Anfragen an Port 1812 entgegen nimmt Alle ACE Benutzer werden in die SecOVID Datenbank aufgenommen und erhalten vorab ein SecOVID Token oder eine SecOVID Smart Card mit SecOVID Reader verwenden jedoch ihr securID Token bis dieses ung ltig wird sp testens nach 3 Jahren Der Benutzer bewahrt das SecOVID Token in der Zwischenzeit an einem sicheren Ort auf Solange das SecOVID Token nicht benutzt wird wird auch keine Batterieleistung verbraucht Der SecOVID Server verarbeitet eine Passwortanfrage wie folgt Auf Grund eines spezifischen Eintrages f r den betreffenden Benutzernamen auf dem SecOVID System nimmt er zun chst an dass es sich um ein f r den ACE Server bestimmtes Einmalpasswort bzw Passcode handelt Er leitet die Passwortanfrage daher zur berpr fung an den ACE Server dessen IP Adresse er der Datei ext_authen entnimmt weiter und nimmt dessen Ergebnis entgegen Im Falle eines positiven Ergebnisses gibt der SecOVID Server die positive Antwort an den entsprechenden Client z B Firewall zur ck Im Falle dass der ACE Server den Passcode ablehnt pr ft der SecOVID Server ob es sich um ein korrektes SecOVID Einmalpasswort handelt Falls nein gibt er eine Ablehnung an den Client zur ck Falls ja gibt er eine entsprec
241. tt e ovidcomm pub Der ffentliche Schl ssel des SecOVID Servers f r die gesicherte Kommunikation mit den RSA Clients Dieser sollte hier als Backup liegen und muss auf allen RSA Clientrechnern im vorgesehenen Pfad gespeichert sein 2 1 2 2 Individuelle Installation unter UNIX Systemen W nschen Sie eine Installation mit besonderen Einstellungen so kopieren Sie die relevanten Dateien der CD zumindest install sh und secovid ezp auf Ihre Festplatte modifizieren install sh nach Ihren W nschen und starten install sh von der Festplatte Beachten Sie auch die Hinweise aus dem vorangegangenen Abschnitt KAPITEL 2 INSTALLATION 23 2 1 2 3 Installation unter Win32 Systemen 1 Loggen Sie sich als Administrator ein 2 Starten Sie das Installationsprogramm win32 server SECOVID Server exe auf der CD lesen Sie die Ausgaben des Setups zu Ihrer Information und folgen Sie den Anweisungen und Empfehlungen der In stallationsroutine Zur Installation ist es notwendig den Kommunikationsinterfaces z B RADIUS TA CACS des SecOVID Servers Portnummern zuzuweisen Die Installationsroutine berpr ft Ihre System datei winnt system32 drivers etc services nach bereits vorhandenen Eintr gen f r radius oder tacacs Sind diese Eintr ge nicht vorhanden werden diese automatisch erg nzt Was geschieht beim Ausf hren des Installationsskriptes a Im gew hlten Installationsverzeichnis wird der SecOVID Server installiert Hier existiert jetzt das
242. uchen Benutzer resynchronisieren Server PIN ndern Administratoren Datenbank KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 78 Gruppe Gruppenname Hilfe Info Die Men leiste als Helpdesk Die Men leiste eines Helpdesks enth lt folgende Men punkte Programm Konfiguration Beenden Datenbank Ansicht aktualisieren Benutzer Information Benutzer sperren Benutzer suchen Benutzer resynchronisieren Server PIN ndern Administratoren Datenbank Gruppe Gruppenname Hilfe Info 3 1 2 5 Die Buttons Die wichtigsten Funktionen der Software k nnen Sie neben der Auswahl ber die unter 1 beschriebene Men lei ste auch ber Buttons aufrufen Neuer Benutzer Anlegen neuer Benutzer s o Benutzer DB Administrator DB Auswahlbox zum Hin und Herschalten zwischen Benutzer und Administratoren Datenbank s o Karte erzeugen Generieren der zu den selektierten Benutzern geh renden Passwortgeneratoren und Schreiben derselben auf Chipkarten s o SoftToken erzeugen Generieren von SoftToken f r die selektierten Benutzern und Speichern derselben in entsprechenden Da teien Benutzernamej kst s o Benutzer sperren Sperren von Benutzern so dass diesen der Zugang zum System verwehrt bleibt KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 79 e Benutzer entsperren Entsperren von Benutzern so dass diese
243. uchen verschiedene Muster werden dabei durch Leerzeichen getrennt das Muster darf aus beliebigen alphanumerischen Zeichen bestehen Eine Sonderbehandlung erfahren dabei die Zeichen und Das Zeichen ist ein Platzhalter f r eine beliebige Zeichenkette mit beliebiger Anzahl von Buchstaben Anzahl 0 ist auch m glich Das Zeichen 7 ist ein Platzhalter f r ein einzelnes beliebiges Zeichen Beide Zeichen sind allerdings nur in der Komplexen Suche erlaubt in der Schnellsuche l st ihr Verwendung eine Fehlermeldung aus Beispiele 277 findet alle Zeichenketten die aus drei Zeichen bestehen u findet alle Zeichenketten die mit u beginnen KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 71 ob Sie nach Benutzernamen Benutzer ID Namen oder Vornamen suchen wollen Klicken Sie zur Aktivierung oder Deaktivierung des Suchbereichs auf das entsprechende Kontrollfeld Mehrfachnen nungen sind m glich und werden durch ODER verkn pft ob Sie bei Komplexer Suche nach Gruppen suchen wollen ob die Suche nach Benutzernamen Namen oder Vornamen die Gro und Kleinschreibung ber ck sichtigen soll oder nicht nur bei Komplexer Suche Damit k nnen Sie also z B einstellen dass U alle Benutzer finden soll deren Benutzername mit u oder U beginnt oder deren Vorname mit u oder U beginnt Die Benutzereintr ge die als Ergebnis de
244. uelle SecOVID Datenbasis durch Umkopieren der Datei etc SecOvid ovid_data Kopieren Sie die zu verwendende alte SecOVID Datenbasis nach etc SecOvid ovid_data Beachten Sie dass die Codierung der Datenbasis von der Architektur des ver wendeten Rechners abh ngt Daher k nnen Sie die SecOVID Datenbasis eines PC i86 nicht ohne Weiteres auf eine SUN SPARC portieren Starten Sie erneut den SecOVID Server Warnung Falls Sie die aktuelle SecOVID Datenbasis umbenennen w rden den SecOVID Server neu starten w rden anschlie end Ihrer Datenbasis wieder den korrekten Namen etc SecOvid ovid_data geben und nun ber das Admintool einen Benutzer neu anlegen w rden so w rde das Datei etc Sec0vid ovid_data berschrieben werden und Ihre Datenbasis w re gel scht Vers umen Sie also niemals den SecOVID Server vor dem Umkopieren einer Datenbasis in etc SecOvid ovid_data zu beenden und ihn anschlie end erst zu starten KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 59 Erzeugen eines neuen RSA Schliisselpaares So erzeugen Sie ein neues RSA Schl sselpaar f r den SecOVID Server e l schen Sie die Dateien in denen die alten Schl ssel gespeichert waren sofern diese berhaupt existieren etc SecOvid ovidcomm pub und etc SecOvid ovidcomm key e beenden Sie den SecOVID Serverprozess e starten Sie den SecOVID Server neu etc SecOvid secovid sh Beachten Sie dass Sie den neuen Public Key des SecOVID Servers bei all
245. uf den Defaultwert 0 eingestellt ist wartet der Haupt server vor dem Start stets auf den Backupserver um die Datenbank zu synchronisieren Im Falle eines Hardwaredefekts m ssen Sie also diesen Parameter von Hand umsetzen und ihn wenn wieder beide Rech ner verf gbar sind auch wieder von Hand zur cksetzen 2 2 3 4 Implementierung der verschiedenen Strategien Strategie 0 Reines Backup Clients kennen nur Hauptserver kein Rollenwechsel manueller IP Wechsel im Problemfall Wir nehmen an Sie wollen Ihr SecOVID System wie folgt konfigurieren Sie m chten die SecOVID Benutzerdaten redundant auf einem Backupserver halten Im Falle eines Ausfalls des Hauptservers m chten Sie das Problem manuell beheben z B indem Sie einem Backupserver manuell die IP Adresse des Hauptservers zuweisen und den Backupserver erneut booten Sie sorgen selbst daf r dass der ehemals als Hauptserver dienende Rechner sich anschlie end nicht mehr unter der gleichen IP Adresse meldet die ja nun der urspr nglich als Backupserver dienende Rechner besetzt Allen SecOVID Clients z B Router Firewalls ist lediglich ein SecOVID Hauptserver bekannt Von der Existenz eines Backupservers wissen die SecOVID Clients nichts Um die geschilderte Situation zu realisieren gehen Sie wie folgt vor 1 Installieren Sie falls noch nicht geschehen den SecOVID D mon secovid auf den beiden Rechnern die Hauptserver bzw Backupserver werden sollen Hierzu verwenden Sie das Skript
246. ugeordnet werden Wird von dieser M glichkeit kein Gebrauch gemacht weil die Datei groups cfg nicht existiert oder weil f r eine Gruppennummer nicht explizit ein Name definiert wurde so ist die Gruppennummer auch gleichzeitig der Gruppenname Es existieren insgesamt 63 Gruppen diese haben die Gruppennummern 1 bis 63 In der Datei groups cfg gibt es f r jede dieser Gruppen eine Zeile in der Gruppennummer und Gruppenname durch einen Doppelpunkt getrennt sind Die Datei groups cfg k nnte folgenden Inhalt haben 1 Worms 2 M nchen 3 Frankfurt 62 Stuttgart 63 Dortmund Hinweis Die Datei groups cfg k nnen Sie auch mit dem SecOVID Administrationstool GUI erzeugen Starten Sie hierzu das SecOVID Administrationstool GUI und nehmen Sie die gew nschten Einstellungen ber den Men punkt Gruppe gt Gruppenname vor Die Datei groups cfg wird dann im lokalen Verzeichnis auf der Festplatte erzeugt 3 1 3 1 Benutzung des SecOVID Kommandozeilentools Die allgemeine Syntax sieht wie folgt aus SecAdm Optionen Kommando Parameterliste BESCHREIBUNG SecAdm weist nahezu die komplette Funktionalit t des SecOVID Administrationstools mit graphischer Ober fl che auf Das Programm l t sich von der Kommandozeile aus mit Optionen und Parametern starten welche die gew nschte Aktion festlegen Das Programm liefert bei jeder Aktion R ckgabewerte zur ck die den Erfolg KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 84
247. uktype DEFAULT puk_type SecOVID_secure const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_update SecOVID_usertype type const char username const char DEFAULT newusername NULL int DEFAULT forceNewusername 0 char DEFAULT newname NULL char DEFAULT newvorname NULL const int DEFAULT newgroup NULL char DEFAULT newPIN NULL const char DEFAULT newtype NULL const SecOVIDConnHandle DEFAULT connection NULL For each argument NULL or 1 means don t change int SecOVID_delete SecOVID_usertype type const char username const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_addAlias const char username const char alias const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_lock const char username const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_unlock const char username const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_resync const char username const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_deleteCard SecOVID_usertype type const char username PINVerificationCallback PINCallback unsigned short CIN const SecOVIDConnHandle DEFAULT connection NULL int SecOVID_deleteGenerator SecOVID_usertype type const char username PINVerificationCallback PINCallback unsigned short CTN int DEFAULT gen_nr 0 const SecOVIDConnHandle DEFAULT connection NULL gen_nr automatically forced to 9 if type admin int S
248. und ein shared secret ein siehe Abschnitte und B 1 1 Analog m ssen Sie den RADIUS Client beim SecOVID Server eintragen Die notwendigen Konfigurationsschritte sind in den Abschnitten B 1 I und B 2 1 beschrieben 2 3 3 Installation eines TACACS Clients Falls Sie den SecOVID Einmalpasswortmechanismus in irgendeinem Produkt anwenden wollen welches ber eine TACACS Schnittstelle verf gt so installieren Sie das betreffende Produkt und tragen Sie an der vorgese henen Stelle die IP Adresse des SecOVID Servers ggf als TACACS Server und ein shared secret ein siehe Abschnitte und B 1 1 Analog m ssen Sie den TACACS Client beim SecOVID Server eintragen Die notwendigen Konfigurationsschritte sind in den Abschnitten B L 1 und beschrieben 2 3 4 Installation einer Firewall Falls Sie den SecOVID Einmalpasswortmechanismus verwenden wollen um eine Firewall sicherer zu machen so muss die Firewall ber eine RADIUS Schnittstelle RADIUS Version 2 oder eine TACACS Schnittstelle verf gen Zur Installation der Firewall folgen Sie bitte den Instruktionen im Handbuch bzw in der Dokumen tation Ihrer Firewall Informationen zur geeigneten Konfiguration der Firewall finden sie in Abschnitt B 2 4 F r eine korrekte Kommunikation zwischen Firewall und SecOVID Server m ssen Sie zudem die Firewall beim SecOVID Server als Client anmelden siehe Abschnitt B 1 1 2 3 5 Installation Schutz der Einwahl ber Windows 2000 XP 2003 RAS Falls Sie den
249. us tzlich k nnen f r jeden Benutzer in einem zus tzlichen Informationsfenster folgende Informationen angezeigt werden Welche zus tzlichen Generatoren kann der Benutzer zur Authentifikation benutzen Wann wurde der Generator personalisiert Wann hat sich der Benutzer zuletzt erfolgreich authentifiziert Bis wann ist der Benutzer ggf tempor r gesperrt Welche Seriennummer hat das Token bzw die Chipkarte des Benutzers Beachten Sie dass die Kar tennummer nur f r Chipkarten gespeichert wird die mit den Tools von SecOVID Version 4 0 oder sp ter erzeugt werden f r zuvor personalisierte Chipkarten kann also keine Seriennummer angezeigt werden e Management von SecOVID Benutzern und SecOVID Administratoren sowie deren SecOVID Chipkarten Tokens und Soft Tokens e lauff hig unter SUN Solaris Linux und Windows Weitere Features a Aktionen mit Benutzern Administratoren e Neues Anlegen einzelner Benutzer oder Administratoren optional Unter Ber cksichtigung der spe zifischen Policy f r die Bildung von Benutzernamen e Neues Anlegen einer gro en Zahl anonymer Benutzer optional Unter Ber cksichtigung der spezifi schen Policy f r die Bildung von Benutzernamen nachtr gliche Anderung des anonymen Usernamens m glich Sperren Entsperren e L schen e ndern bereits vorhandener Eintr ge Import Export ASCIT Schnittstelle LDAP und ADS Schnittstelle Verkn pfung von Chipkarten und Tokendaten mit Ei
250. usdr ckliche gesetzliche Re gelung unabdingbar vorgesehen ist 3 Unterlizenzen f r die Software zu erteilen und sie zu vermieten oder zu verleasen 116 KAPITEL 5 LIZENZVEREINBARUNG 117 5 2 Berechtigungsnachweis Der Berechtigungsnachweis Rechnung f r diese Software ist als Nachweis des Anspruchs auf Garantieleistun gen von der KOBIL Systems oder eines dazu berechtigten Wiederverk ufers zuk nftige Preise f r k nftige Software Upgrades falls angek ndigt und m gliche Sonder oder Werbeaktionen aufzubewahren Ferner gilt er als Nachweis des Benutzers f r die berechtigte Nutzung dieser KOBIL Systems Lizenzsoftware 5 3 Geb hren und Abgaben Je nach Anzahl der von der Software registrierten Endbenutzer wird die Berechnung festgelegt und im Berech tigungsnachweis nachgewiesen Die Geb hren richten sich nach der maximal m glichen Anzahl an registrierten Endbenutzern Wenn Sie diese maximale Anzahl erh hen wollen verst ndigen Sie KOBIL Systems oder deren Wiederverk ufer Die Erweiterung ist geb hrenpflichtig Bereits f llige oder bezahlte Betr ge werden gutge schrieben 5 4 Gew hrleistung KOBIL Systems garantiert dass die Software bei Nutzung in der im Installationshandbuch angegebenen Betrieb sumgebung ihrer Spezifikation entspricht KOBIL Systems garantiert keinen ununterbrochenen oder fehlerfreien Betrieb der Software oder die Behebung aller Softwarefehler F r die Ergebnisse aus der Nutzung der Softwa re sind Si
251. va f hige Mobiltelefone und PDAs mit dem Betriebssystem PalmOS ab Version 3 5 Bei PDAs mit den Betriebssystemen Windows CE bzw Pocket PC ist dieser Zwischenschritt nicht notwendig und Sie k nnen direkt zu Abschnitt B 1 7 4 gehen Zur Erstellung der Midlets stehen Ihnen zwei Aufrufm glichkeiten zur Auswahl Sie k nnen entweder genau ein Midlet f r genau einen Benutzer erzeugen oder Sie k nnen mehrere Midlets f r mehrere Benutzer gleichzeitig erzeugen Dazu sammeln Sie die zuvor erstellten Soft Token Datens tze kst in einem Verzeichnis Der Vorgang zur Erstellung wird anschlie end mittels eines ANT Skriptes welches im Verzeichnis des MidletGenerators zu finden ist angesto en Die dazu erforderliche Umgebung wurde von Ihnen wie in Abschnitt P T 5 beschrieben eingerichtet Folgende Aufrufm glichkeiten stehen Ihnen nun zur Verf gung 1 UNIX e Erstellen der Applikation anhand einer einzelnen Tokendatei Pfade zur Installation in der Datei buildconfig properties anpassen ant buildFILE DKSTFILE lt Verzeichnis gt kst e Erstellen mehrerer Applikationen anhand eines Verzeichnisses mit Tokendateien Pfade zur Installation in der Datei buildconfig properties anpassen ant buildDIR DKSTDIR lt Verzeichnis gt 2 WIN32 e Erstellen der Applikation anhand einer einzelnen Tokendatei Pfade zur Installation in der Datei buildconfig properties anpassen ant buildFILE DKSTFILE lt Verzeichnis gt kst
252. vorgestellten Strategien 1 oder 2 angewendet werden soll Derzeit sollte hier immer der Wert 2 gew hlt werden e SSLCopy Diese Variable muss immer den Wert 0 haben e FirstIP Das ist die IP Adresse unter der der Rechner hochf hrt um in seiner Orientierungsphase zu pr fen ob die Rolle des Hauptservers bereits besetzt ist d h ob der SecOVID D mon secovid unter der IP Adresse OvidIP l uft Die FirstIP Adresse des als Hauptservers und des als Backupservers vor gesehenen Rechners m ssen in die durch ClientsServer und ClientsBackup spezifizierten Dateien auf Hauptserver und Backupserver eingetragen werden d h Eintragen von jeweils zwei IP Adressen in vier verschiedene Dateien e SecondIP Das ist die IP Adresse die der Rechner normalerweise nach der Orientierungsphase annimmt F r den als Hauptserver vorgesehenen Rechner BeServer 1 tragen Sie hier die unter OvidIP definierte Adresse ein f r den als Backupserver vorgesehenen Rechner BeServer 0 tragen Sie bitte die unter BackupIP definierte Adresse ein Die SecondIP Adresse des als Hauptservers und des als Backupservers vorgesehenen Rechners m ssen in die durch ClientsServer und ClientsBackup spezifizierten Dateien auf Hauptserver und Backupserver eingetragen werden d h Eintragen von jeweils zwei IP Adressen in vier verschiedene Dateien KAPITEL 2 INSTALLATION 43 OvidIP Die IP Adresse die der Rechner besitzt der die Rolle des Hauptservers bernommen hat BackupIP Die IP
253. w firstname string new group stringlist new admintype string5 ndert Login Nachnamen Vornamen Gruppe und oder Administratortyp eines Administrators M gliche Gruppeneintr ge e all Administrator aller Gruppen Superadmin e Gruppennamel Gruppenname2 M gliche Adminstratorentypen e admin Administrator e adv helpdesk erweiterter Helpdesk e helpdesk Helpdesk Benutzer sperren entsperren lock login stringlist unlock login stringlist Sperrt bzw entsperrt Benutzer in der SecOVID Datenbank Benutzer resynchronisieren resync login stringlist Merkt Benutzer in der SecOVID Datenbank zur Resynchronisation vor Benutzer l schen delete admin login stringlist L scht Benutzer oder Administratoren aus der SecOVID Datenbank Import und Export von Benutzern import_db admin filename export_db admin filename Importiert bzw exportiert Benutzerdaten oder Administratordaten aus der SecOVID Datenbank KAPITEL 3 INITIALE KONFIGURATION UND BEDIENUNG IM LAUFENDEN BETRIEB 87 Karte erzeugen generate_card admin login string genno N generate_card6 login string genno N F r den angegebenen Benutzer oder Administrator wird eine Karte erzeugt Durch Verwendung von genera te_card6 wird dabei festgelegt dass ein Generator zur Erzeugung 6 stelliger Einmalpassw rter erzeugt werden soll Der Parameter genno Nspezifiziert die Nummer des Pa wortgenerators der angelegt werden soll N ist eine der Za
254. welches als RootCA eine der von Ihrem verwendetem WAP Gateway akzeptierten Zertifikate besitzen muss Im Zusammen hang mit diesem neuen Zertifikat erhalten Sie meist auch die Zwischenzertifikate die Sie ben tigen um dem Gateway die Vervollst ndigung der Zertifikatskette zu erm glichen Um diese Kette nun im Keystore zu instal lieren benutzen Sie bitte das o g Skript keystore sh Wurde der Keystore erfolgreich eingerichtet kann dieser im TOMCAT HOME Verzeichnis abgelegt werden In der Datei usr local jakarta tomcat 4 1 24 conf server xml m ssen Sie die Pfadangabe des Keystores eventuell anpassen Weitere Informationen entnehmen Sie bitte der Dokumentation des Tomcat Servers 3 1 7 6 Installation von Zertifikatsketten im Keystore des Tomcat Servers Ein Keystore enth lt verschiedene Eintr ge die sich in die Hauptgruppen keyEntry und trustcacerts aufteilen Die letztere enth lt Zertifikate die als vertrauensw rdig eingestuft werden und dienen der Client Authentifika tion auf die wir aber verzichten k nnen Der keyEntry hingegen ist f r die Speicherung unseres Serverzertifikats in Verbindung mit den Schl sseln zust ndig Dieser Inhalt wird beim Aufbau einer SSL Verbindung zwischen den Kommunikationspartnern ausgetauscht und erm glicht somit den sicheren Datenaustausch Da in unse rem Fall dieser Verbindungsaufbau zwischen einem WAP Gateway und dem Tomcat Server stattfindet m ssen bestimmte Anforderungen des WAP Gateways erf llt werd
255. z B durch Eingabe von type ovid proto 5 Die Installation Ihres SecOVID Servers ist abgeschlossen Fahren Sie mit der Installation des SecOVID Administrationstools siehe Abschnitt fort 6 Unter Windows kann es notwendig sein den Rechner neu zu starten bevor das Admintool eine Verbindung zum SecOVID Server aufnehmen kann Bemerkung Folgende Dateien werden vom SecOVID Server beim ersten Start im Installationsverzeichnis erzeugt e ovidcomm key Der private Schl ssel des SecOVID Servers f r die gesicherte Kommunikation mit den RSA Clients Dieser wird vom SecOVID Server f r die Entschl sselung von Passwortanfragen verwendet Der SecOVID Server erzeugt das Paar aus privatem und ffentlichem Schl ssel bei seinem ersten Start und legt die betreffenden Dateien an Somit findet die Schl sselerzeugung bei Ihnen vor Ort statt e ovidcomm pub Der ffentliche Schl ssel des SecOVID Servers f r die gesicherte Kommunikation mit den RSA Clients Dieser sollte hier als Backup liegen und muss auf allen RSA Clientrechnern im vorgesehenen Pfad gespeichert sein 2 1 3 Installation der SecOVID Administrationstools Die auf der Installations CD enthaltenen SecOVID Administrationstools dienen zur Verwaltung von SecOVID Benutzern SecOVID Tokens und SecOVID Chipkarten Wie bereits in beschrieben gibt es zwei Varianten von SecOVID Administrationstools e Administrationstool GUI Hier handelt es sich um ein Tool mit graphischer Oberfl che we
Download Pdf Manuals
Related Search