Management und Wissen

Benutzerverwaltung

Meta Directory als Sicherheitsstrategie

Von Udo Bochum, München und Hadi Stiel, Bad Camberg

Eine Vielzahl von Anwendungen und Systemen mit jeweils eigener Benutzerverwaltung macht in größeren Unternehmen den Überblick über die Rechtevergabe zu einer schwierigen bis unmöglichen Aufgabe. Besonders, wenn angesichts von Firmenzusammenschlüssen und der Globalisierung des Marktes noch Daten von Außenstellen, Partnern und Kunden mitzuverwalten sind, drohen Sicherheitsrisiken mangels Durchblick. Der Einsatz eines Meta Directories kann diese Risiken minimieren.

Große vernetzte Unternehmen sowie Behörden und Organisationen stehen vor einer Herausforderung: Anwendungen, Dienste, Datenbanken, Legacy-Applikationen, (Netzwerk-) Betriebssysteme, Telefonanlagen (PBX, IP-Telefone und mobil) sowie Netzwerkkomponenten – alle haben Benutzer, die es zu verwalten gilt. Damit das handhabbar bleibt, empfiehlt es sich, alle Benutzer, angelegt in den Verzeichnissen der installierten Systeme, durch ein übergeordnetes Verzeichnis, ein so genanntes Meta Directory, zu verbinden. Auf diese Weise werden alle Verzeichniseinträge automatisch synchronisiert sowie zentral verfügbar und administrierbar.

Ein Meta Directory ermöglicht es, alle Benutzer- und wichtige Objektinformationen, etwa zu Endgeräten, Systemressourcen, Diensten, Web- und Objekt-Services, Wissensbeständen und Netzwerkkomponenten, zentral zu führen, zu pflegen und bei Bedarf zu löschen – zum Beispiel wenn ein Mitarbeiter das Unternehmen verlässt. Unbefugte Zugriffe von ehemaligen Mitarbeitern auf Daten werden somit ausgeschlossen. Die zentrale Administration der Benutzer- und Objektinformationen vermeidet Redundanzen und Inkonsistenzen, die Angreifer für den Zugriff auf Daten und Systeme nutzen könnten. Verzeichnisdienste helfen auf diese Weise eine kritische Sicherheitslücke zu schließen.

[Illustration]
Meta Directory Systeme können mit verschiedenen Modulen den Kontrollfluss der Unternehmensressourcen steuern und somit als Basis-Infrastruktur für E-Business dienen.

Ein Meta Directory hält Benutzer- und Objektinformationen, die im Über-Verzeichnis wie in den Zielverzeichnissen geführt werden, stets synchron, aktuell und damit überschaubar. Damit das funktioniert, bieten Meta Directories mittlerweile Meta-Agenten für Dutzende von Zielsystemen sowie Synchronisationsmechanismen für strukturierte Dateien wie XML (eXtensible Markup Language), CSV (Comma Separated Value), ASCII und LDIF (Lightweight Directory Interchange Format) an. Andere Zielsysteme lassen sich verhältnismäßig einfach über einen Agent Integration Kit einbinden.

Selbst verteilt und mit hochverfügbarer Redundanz lässt sich der Inhalt eines Meta Directory administrieren. Damit können, trotz gemeinsamem Meta Directory, einzelne Profit Center oder Standorte durch gezielte Replikation weiterhin ihre Administrationshoheit behalten. Im Problemfall kann ein so genannter Shadow-Server mit einer replizierten Meta-Directory-Partition nahtlos in die Rolle des Master-Servers einspringen. Der Lohn dieser Verfahrensweise: ein insgesamt hochverfügbares Verzeichnissystem, dessen Benutzer- und Objektdaten stets im unternehmensweiten oder unternehmensübergreifenden Zugriff der Kommunikationsteilnehmer und Administratoren liegen.

In Zeiten von E-Business und E-Commerce müssen auch Kunden, Lieferanten und Partner auf Anwendungen und Ressourcen im Unternehmen zugreifen. Den Zutritt via Internet oder mobil in die Infrastruktur zu schaffen, ist bekanntermaßen kein Problem. Geschäftspartner können auch in das Meta Directory eingebunden werden, sodass diese Daten ebenfalls stets aktuell verfügbar und sicher sind. Die Frage "Wer darf zugreifen?" ist dann schnell gelöst. Doch wie kann ausgeschlossen werden, dass zum Beispiel ein Zulieferer, der auch die Konkurrenz beliefert, Zugriff auf Daten über den Status in der Produktentwicklung bekommt? Die Frage nach dem "Wer darf was?" erfordert die Vergabe fester Rollen und Rechte.

Rollen nach Maß

Ergänzt man ein Meta Directory um ein rollenbasiertes Zugriffsmanagement (Role-Based Access Control, RBAC), so entsteht ein integriertes Indentity- und Access-Management, das dem Unternehmen die Verwaltung von Benutzern und Rechten sowie die generelle Implementierung von Sicherheitsinfrastrukturen erheblich erleichtert. Anstatt Zugriffsrechte für jede einzelne Person definieren und eintragen zu müssen, geschieht dies bei RBAC gemäß bestimmten Rollen, welche die Funktion oder Tätigkeit des Mitarbeiters beschreiben. Da erfahrungsgemäß sehr viele Mitarbeiter identische Zugriffsrechte auf Daten und Anwendungen besitzen, reduziert sich der Aufwand bei Neueinträgen oder Änderungen auf die Zuweisung der Person zu einer bestimmten Rolle. Der Rest passiert automatisch.

[Illustration]
Das Zusammenspiel von Rollenverwaltung und Provisioning ermöglicht die Integration von rollenbasiertem Zugriffsmanagement (Access Management) und Identity Management.

Der Nutzen ist umso höher, je größer die Zahl der einzutragenden Personen ist. Die Verbindung mit einem Meta Directory ist hierbei besonders effizient, wenn das System für die Rechteverwaltung (Provisioning) unmittelbar nutzbar ist. Mit DirX Solutions ist Siemens der erste und bislang einzige Hersteller, der das Thema Provisioning in Meta Directories einbringt und dieses rollenbasierende Zugriffsmanagement über DirXmetaRole entsprechend umsetzt. Der Gestaltungsraum geht dabei über die Grenzen der eigenen Organisation hinaus und schließt auch Lieferanten, Partner und Kunden in das Identity- und Access-Management ein. Ein solcher Ansatz bringt zusätzliche Vorteile: Beispielsweise sind über die Rollen alle vergebenen Zugriffsrechte stets nachvollziebar. Da Änderungen über Rollen für alle betroffenen Benutzer verlässlich greifen, sind auch die Zugriffsrechte immer up to date. Das minimiert die Gefahr von Fehleinträgen erheblich. Zusätzlich schließt man Karteileichen aus, die unberechtigten Teilnehmern als Einstiegslöcher ins IT-System dienen könnten.

SSO und PKI

Setzt ein Unternehmen ein Meta Directory mit rollenbasierter Zugriffskontrolle ein, schafft es überdies die besten Voraussetzungen für zukunftsweisende Technik wie Single Sign-on (SSO) und Public Key Infrastructures (PKIs). SSO ermöglicht die Kombination von Authentifizierung (allgemeine Zugangskontrolle) und Autorisierung (Zugriffskontrolle). Die Speicherung der Benutzerdaten einschließlich der Passwörter, Schlüssel oder Zertifikate im Meta Directory macht das möglich. Alternativ kann man den Bezug "Benutzer, Rolle, Rechte" durch Verweis via Meta Directory auf die entsprechenden Zielverzeichnisse lösen, wenn die Rechte weiterhin dort geführt werden.

[Illustration
Meta Directories verwalten auch öffentliche Schlüssel in Public Key Infrastructures.

SSO gestattet dem Benutzer durch die Eingabe eines einzigen Authentifizierungspassworts auf alle für ihn freigegebene Anwendungen, Dienste und Systeme zuzugreifen. Die einzelnen Passwörter für den Zugriff auf die Zielsysteme werden via SSO automatisch dem Client zugewiesen, ohne dass der Benutzer sie zu sehen bekommt. Dieser Automatismus im Hintergrund hat für das Unternehmen drei wichtige Vorzüge:

Gleichzeitig hat das Unternehmen via Meta Directory, dem rollenbasierenden Zugriffsmanagement sowie SSO die Grundvoraussetzungen für die Etablierung einer PKI geschaffen. Der Automatismus bleibt derselbe, nur dass in diesem Fall die kombinierte Zugangs-/Zugriffskontrolle über digitale Zertifikate abgewickelt wird. Die Vorteile der PKI-Lösung, idealerweise absolviert über ein neutrales Trust Center, liegen auf der Hand: Vertrauliche Daten können verschlüsselt übertragen werden und der Versender einer Nachricht ist eindeutig identifizierbar. Informationen sind während des Transports vor Abfangversuchen, unberechtigtem Weiterleiten und Manipulationen geschützt. Die Nachrichten sind rechtsverbindlich, weil sie über die elektronische Signatur ihrem Urheber zuzuordnen sind.

Dr. Udo Bochum ist Vice President Marketing and Product Management bei Siemens Information and Communication Networks (ICN) in München. Hadi Stiel ist freier Journalist und Berater.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 78