32.2 Authentifizierungsmechanismen

Folgende Mechanismen können zur Authentifizierung verwalteter Geräte in der ZENworks-Verwaltungszone verwendet werden:

32.2.1 Kerberos (nur Active Directory)

Kerberos*, ein von MIT entwickeltes Authentifizierungsprotokoll, verlangt von Entitäten (z. B. von einem Benutzer und einem Netzwerkservice), die über ein nicht sicheres Netzwerk miteinander kommunizieren müssen, den gegenseitigen Nachweis ihrer Identitäten. Auch auf diese Weise findet eine sichere Authentifizierung statt.

Die Funktionalität von Kerberos ist in Windows Active Directory-Umgebungen integriert.

Kerberos benötigt ein Key Distribution Center (KDC), das als vertrauenswürdige Drittinstanz zwischen den beiden Entitäten fungiert. Für alle Kerberos-Servercomputer ist eine Keytab-Datei zur Authentifizierung in einem Schlüsselverteilungszentrum (Key Distribution Center, KDC) erforderlich. Die Keytab-Datei ist eine verschlüsselte, lokale Kopie des Hostschlüssels auf der Festplatte.

Bei Verwendung der Kerberos-Authentifizierung generiert der Active Directory-Server ein Kerberos-Ticket, das von Novell Common Authentication Services Adapter (CASA) anstelle von Benutzernamen und Passwort zur Authentifizierung des Benutzers verwendet wird.

Einrichten von Kerberos in einer ZENworks-Umgebung

  1. Richten Sie ein Principal-Konto für den Kerberos-Service ein und generieren Sie für dieses Konto eine Keytab-Datei.

    Weitere Informationen hierzu finden Sie auf der Microsoft TechNet-Website.

    Wenn sich in Ihrer Domäne zum Beispiel ein Benutzer namens „atsserver“ befindet, würden Sie an der Eingabeaufforderung folgenden Befehl ausführen:

    ktpass /princ host/atsserver.users.myserver.com@MYSERVER.COM -pass atsserver_passwort -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL

    Dieser Befehl erstellt eine Keytab-Datei und designiert den Benutzer „atsserver“ als Kerberos-Principal.

  2. Importieren Sie die Keytab-Datei in das ZENworks-Kontrollzentrum.

    1. Klicken Sie im ZENworks-Kontrollzentrum auf die Registerkarte Konfiguration, klicken Sie dann auf Infrastrukturverwaltung und danach auf Benutzerquelleneinstellungen.

    2. Klicken Sie auf , um die Keytab-Datei auszuwählen.

    3. Klicken Sie auf „OK“, um die Datei zu importieren.

Aktivieren der Kerberos-Authentifizierung beim Hinzufügen einer Benutzerquelle

Die Kerberos-Authentifizierung kann beim Hinzufügen einer Benutzerquelle aktiviert werden. Weitere Informationen hierzu finden Sie in Abschnitt 31.2.1, Hinzufügen von Benutzerquellen.

Aktivieren der Kerberos-Authentifizierung für eine vorhandene Benutzerquelle

Die Kerberos-Authentifizierung kann auch für eine vorhandene Benutzerquelle aktiviert werden.

  1. Klicken Sie im ZENworks-Kontrollzentrum auf die Registerkarte Konfiguration.

  2. Klicken Sie in der Kontrollleiste „Benutzerquellen“ auf die Benutzerquelle und danach im Abschnitt „Allgemein“ neben Authentifizierungsmechanismen auf Bearbeiten.

  3. Aktivieren Sie das Kontrollkästchen Kerberos und klicken Sie auf OK.

Informationen zur Interaktion zwischen der Kerberos-Authentifizierung und dem ZENworks-Anmeldefenster

Die folgende Tabelle fasst zusammen, wie sich die Kerberos-Authentifizierung in Verbindung mit Active Directory auf ZENworks-Benutzer auswirkt.

Tabelle 32-1 ZENworks-Kerberos-Authentifizierung in Verbindung mit Active Directory

Windows-Anmeldung stimmt mit Anmeldung über Benutzerquelle überein?

ZENworks verwendet auch Authentifizierung mittels Benutzername/Passwort?

Mitglied der gleichen Domäne?

Mitglied einer anderen Domäne?

Windows- und ZENworks-Berechtigungsnachweise stimmen überein?

Anmeldung bei Verwaltungszone möglich?

ZENworks-Anmeldefenster wird angezeigt?

 

Ja

Nein

 

 

Ja

Nein

 

 

 

Ja

Ja

 

 

 

 

Nein

Nein

 

 

 

Nein

Nein

 

 

 

 

 

Nein

Nein

 

 

 

 

Nein

Nein

 

 

Ja

Nein

 

 

Ja

Nein

 

 

 

 

Ja

Ja

In der zweiten Zeile stimmen zum Beispiel die Erstanmeldung des Benutzers, die Benutzerquelle und die Berechtigungsnachweise für die ZENworks-Anmeldung überein. Der Benutzer kann sich daher in der ZENworks-Verwaltungszone anmelden, ohne dass das ZENworks-Anmeldefenster angezeigt wird.

In der dritten Zeile hingegen werden bei der Erstanmeldung des Benutzers der Berechtigungsnachweis einer anderen Domäne verwendet, der sich von den Berechtigungsnachweisen für die Anmeldung bei ZENworks unterscheidet. Der Benutzer kann sich in diesem Fall zwar in der ZENworks-Verwaltungszone anmelden, allerdings wird das ZENworks-Anmeldefenster angezeigt.

32.2.2 Shared Secret

Wenn Sie die Shared Secret-Authentifizierung verwenden möchten, müssen Sie Novell Identity Assurance Solution Client installieren. Weitere Informationen sowie eine Liste der unterstützten Smartcards und Smartcard-Reader finden Sie in der Dokumentation zu Identity Assurance Solution Client auf der Dokumentations-Website von Novell.

Die Authentifizierung bei ZENworks mittels Smartcard wird zurzeit nur unter Windows XP und in Terminalsitzungen auf Windows Server 2003-Geräten unterstützt.

Wenn sich ein Benutzer mittels einer Smartcard bei eDirectory anmeldet, wird der Benutzer automatisch bei ZENworks angemeldet, vorausgesetzt, das Schema des beim Hinzufügen der Benutzerquelle angegebenen eDirectory wurde mit dem Tool „novell-zenworks-configure“ erweitert.

Informationen zum Hinzufügen einer Benutzerquelle finden Sie im Abschnitt Abschnitt 31.2.1, Hinzufügen von Benutzerquellen.

Informationen zum Erweitern des eDirectory-Schemas finden Sie im Abschnitt Erweitern des eDirectory-Schemas zur Aktivierung der Shared Secret-Authentifizierung.

Wenn das eDirectory-Schema nicht erweitert wurde, steht Shared Secret nicht als Authentifizierungsmechanismus zur Verfügung. In diesem Fall wird daher das ZENworks-Anmeldefenster angezeigt, wenn ein Benutzer versucht, sich auf einem verwalteten Gerät mit einer Smartcard bei eDirectory anzumelden. Nachdem der Benutzer den eDirectory-Benutzernamen und das Passwort angegeben hat, wird das Passwort in Novell SecretStore gespeichert. Bei der nächsten Anmeldung des Benutzers bei eDirectory mithilfe einer Smartcard wird das Passwort aus SecretStore abgerufen und der Benutzer wird bei ZENworks angemeldet, ohne das Passwort angeben zu müssen.

Erweitern des eDirectory-Schemas zur Aktivierung der Shared Secret-Authentifizierung

Zur Authentifizierung bei ZENworks mittels des Authentifizierungsmechanismus Shared Secret muss das Schema des beim Hinzufügen der Benutzerquelle angegebenen eDirectory mit dem Tool „novell-zenworks-configure“ erweitert werden.

Führen Sie zur Erweiterung des eDirectory-Schemas die folgenden Schritte aus:

  1. Führen Sie das Dienstprogramm novell-zenworks-configure auf einem ZENworks-Server aus:

    Unter Windows: Wechseln Sie an der Eingabeaufforderung zu ZENworks_Installationspfad\bin\ und geben Sie folgenden Befehl ein:

    novell-zenworks-configure.bat -c ExtendSchemaForSmartCard

    Unter Linux: Wechseln Sie an der Eingabeaufforderung der Konsole zu /opt/novell/zenworks/bin und geben Sie folgenden Befehl ein:

    ./novell-zenworks-configure -c ExtendSchemaForSmartCard

  2. Sie werden gefragt, ob Sie mit der Erweiterung des Novell eDirectory-Schemas fortfahren und der Benutzerklasse ein optionales zcmSharedSecret-Attribut hinzufügen möchten. Standardmäßig ist „1“ ausgewählt. Drücken Sie die Eingabetaste.

  3. Geben Sie den DNS-Namen oder die IP-Adresse des Novell eDirectory-Servers ein, dessen Schema erweitert werden soll.

  4. Sie werden gefragt, ob für die Kommunikation mit dem eDirectory-Server SSL (Secure Sockets Layer) oder Klartext verwendet werden soll. Geben Sie 1 für die Kommunikation mittels SSL oder 2 für die Kommunikation in Klartext ein und drücken Sie die Eingabetaste.

  5. Geben Sie den Port für die Kommunikation mit dem eDirectory-Server ein.

    Der Standardport für die Kommunikation mittels SSL ist 636, der Standardport für die Kommunikation in Klartext ist 389.

  6. Geben Sie den FDN (Fully Distinguished Name) des Administrators ein.

    Beispiel: cn=admin,o=organization

  7. Geben Sie das in Schritt 6 angegebene Passwort des Administrators ein.

  8. (Optional) Geben Sie den FDN des ZENworks-Benutzerquellen-Administrators ein, auf den die ACL angewendet werden soll.

    Der ZENworks-Benutzerquellen-Administrator ist in der ZENworks-Benutzerquellenkonfiguration als Benutzer konfiguriert, der Benutzer aus der Benutzerquelle auslesen kann. Es muss sich daher nicht um den in Schritt 6 angegebenen Administrator handeln. Wenn Sie den FDN dieses Benutzers eingeben, gewährt das Programm diesem Benutzer in den ACLs der angegebenen Container Lesezugriff auf das zcmSharedSecret-Attribut.

  9. Geben Sie die Benutzercontainer ein, für die das Schema erweitert werden soll.

    Wenn Sie mehrere Container angeben, müssen Sie die einzelnen Angaben durch ein Pluszeichen verbinden. Beispiel: o=sales oder o=sales + o=marketing.

  10. Drücken Sie die Eingabetaste, um für alle Benutzer der angegebenen Container ein zufälliges Geheimnis zu generieren.

  11. (Bedingt) Wenn Sie für die Kommunikation mit dem eDirectory-Server SSL ausgewählt haben, stellt der Server ein Zertifikat bereit. Geben Sie y (für Yes/Ja) ein, um das Zertifikat zu akzeptieren.

32.2.3 Benutzername und Passwort (eDirectory und Active Directory)

Wenn Sie für eine Novell eDirectory- oder eine Microsoft Active Directory-Benutzerquelle die Authentifizierung mittels Benutzername und Passwort verwenden und der vom Benutzer angegebene Berechtigungsnachweis für die Anmeldung bei der Arbeitsstation oder der Domäne mit dem Berechtigungsnachweis für die Anmeldung bei ZENworks übereinstimmen, wird das ZENworks-Anmeldefenster nicht angezeigt und der Benutzer wird in der ZENworks-Verwaltungszone authentifiziert.

Außerdem werden der Benutzername und das Passwort in Novell Secret Store gespeichert. Wenn sich der Benutzer später ohne Benutzername und Passwort bei ZENworks anmeldet (z. B. mittels Smartcard), wird der gespeicherte Berechtigungsnachweis abgerufen, wodurch das ZENworks-Anmeldefenster umgangen wird.

Aktivieren der Authentifizierung mittels Benutzername und Passwort beim Hinzufügen einer Benutzerquelle

Die Authentifizierung mittels Benutzername und Passwort kann beim Hinzufügen einer Benutzerquelle aktiviert werden. Weitere Informationen hierzu finden Sie in Abschnitt 31.2.1, Hinzufügen von Benutzerquellen.

Aktivieren der Authentifizierung mittels Benutzername und Passwort für eine vorhandene Benutzerquelle

Die Authentifizierung mittels Benutzername und Passwort kann auch für eine vorhandene Benutzerquelle aktiviert werden.

  1. Klicken Sie im ZENworks-Kontrollzentrum auf die Registerkarte Konfiguration, wählen Sie die Benutzerquelle aus und klicken Sie dann im Abschnitt „Allgemein“ neben Authentifizierungsmechanismen auf Bearbeiten.

  2. Klicken Sie in der Kontrollleiste „Benutzerquellen“ auf die Benutzerquelle und danach im Abschnitt „Allgemein“ neben Authentifizierungsmechanismen auf Bearbeiten.

  3. Aktivieren Sie das Kontrollkästchen Benutzername/Passwort und klicken Sie auf OK.

Informationen zur Interaktion zwischen der Authentifizierung mittels Benutzername und Passwort und dem ZENworks-Anmeldefenster

Die folgende Tabelle fasst zusammen, wie sich die Authentifizierung mittels Benutzername und Passwort in Verbindung mit Active Directory auf ZENworks-Benutzer auswirkt:

Tabelle 32-2 ZENworks-Authentifizierung mittels Benutzername und Passwort in Verbindung mit Active Directory

Windows-Anmeldung stimmt mit Anmeldung über Benutzerquelle überein?

ZENworks verwendet auch die Kerberos-Authentifizierung?

Mitglied der gleichen Domäne?

Mitglied einer anderen Domäne?

Windows- und ZENworks-Berechtigungsnachweise stimmen überein?

Anmeldung bei Verwaltungszone möglich?

ZENworks-Anmeldefenster wird angezeigt?

 

 

Ja

Nein

 

 

Ja

Nein

 

 

 

 

Ja

Ja

 

 

Ja

Nein

 

 

 

Ja

Nein

 

 

 

 

Ja

Nein

 

 

 

 

 

Ja

Ja

 

 

 

Ja

Ja

 

 

 

Ja

Ja

In der ersten Zeile stimmen zum Beispiel die Erstanmeldung des Benutzers, die Benutzerquelle und die Berechtigungsnachweise für die ZENworks-Anmeldung überein. Der Benutzer kann sich daher in der ZENworks-Verwaltungszone anmelden, ohne dass das ZENworks-Anmeldefenster angezeigt wird.

In der zweiten Zeile hingegen werden bei der Erstanmeldung des Benutzers Berechtigungsnachweise einer anderen Domäne verwendet, die allerdings mit dem Berechtigungsnachweis für die Anmeldung bei ZENworks übereinstimmen. Der Benutzer kann sich daher in der ZENworks-Verwaltungszone anmelden, ohne dass das ZENworks-Anmeldefenster angezeigt wird.