Client Automation-Sicherheitsfunktionen › Authentifizierung

Authentifizierung

Die Authentifizierung identifiziert Mitglieder einer Trusted Computing Base auf Grundlage der angegebenen Anmeldeinformationen.

Mitglieder einer Trusted Computing Base sind:

Benutzer, und indirekt Gruppenmitgliedschaft

In erster Linie handelt es sich hierbei um homogene Sicherheitsprinzipale aus dem aktuellen Betriebssystem. Beispielsweise können dies Windows-Benutzer (Active Directory, Domäne oder lokal), UNIX- (LDAP) oder lokale UNIX-Benutzer sein.

Rechner

Computer, die zu einer Trusted Computing Base (TCB) gehören, z. B. Windows NT, können identifiziert und authentifiziert werden. Es ist theoretisch möglich, dass UNIX-Computer identifiziert werden, da auch sie zu einer Trusted Computing Base gehören, mit der ein Vertrauensverhältnis eingerichtet werden kann.

Die folgenden Informationen werden zum Authentifizieren eines Benutzers oder Computers verwendet.

• In Windows-Betriebsumgebungen:
  • Benutzername:
  • Kennwort
  • Windows-Domäne
  • Sicherheitsprovider
• In Linux- und UNIX-Betriebsumgebungen:
  • Computername
  • Benutzername:
  • Kennwort
  • Sicherheitsprovider

Für unterschiedliche Anwendungen gelten auch unterschiedliche Anforderungen zur Authentifizierung. Wenn möglich, wird eine implizite Anmeldung verwendet. D. h., der Benutzer wird nicht aufgefordert, explizite Anmeldeinformationen einzugeben, sondern die aktuellen Anmeldeinformationen des Benutzers werden implizit verwendet.

In einigen Fällen sind die Anmeldeinformationen jedoch für die Ressource, auf die sie zugreifen, nicht gültig. Auch für spezielle Vorgänge kann eine erneute Authentifizierung erforderlich sein. Wenn keine implizite Anmeldung verwendet werden soll oder die Anmeldeinformationen nicht gültig sind, kann eine GUI-Anwendung bei Bedarf zur Eingabe der Anmeldeinformationen auffordern. Eine Befehlszeilenanwendung im Batch-Modus schlägt jedoch fehl und zeichnet einen Authentifizierungsfehler auf.

Wenn Sie einen LDAP-Sicherheitsprovider verwenden, um beim Angeben der Anmeldeinformationen Benutzer anhand eines Verzeichnisses zu authentifizieren, müssen Sie sicherstellen, dass die Anmeldeinformationen für das Zielverzeichnis gültig sind und vollständig angegeben werden. Verwenden Sie für ein Active Directory die vollständige LDAP DN-Option, beispielsweise:

CN=user,OU=Users,OU=myOU,DC=mydomain,DC=com

Wenn Sie externe generische LDAP-Verzeichnisse zur Authentifizierung verwenden, müssen den authentifizierenden Objekten direkte Zugriffsrechte erteilt werden, da eine Gruppenzugehörigkeit nicht direkt evaluiert werden kann. Dies gilt nicht für Active Directory.