Novell Documentation: ZENworks 6.5 - Beglaubigung bei eDirectory

Beglaubigung bei eDirectory

Bevor der Benutzer auf Anwendungen oder Richtlinien zugreifen kann, muss er sich beim Netzwerk (d. h. bei Novell eDirectory^TM) anmelden, um Anmelderechte zu überprüfen und eine Verbindung zu den Netzwerkservern einzurichten, bei denen der Benutzer beglaubigt werden muss.

Wenn Sie den Novell Client^TM, den Desktop Management-Agenten und den Middle Tier-Server installiert haben, stehen drei Anmeldeszenarios zur Verfügung:

Anmeldung mithilfe des Novell Client

Wenn Sie Novell Client für die Beglaubigung verwenden, wird für die Kommunikation mit eDirectory und dem Serverdateisystem das konventionelle NCP-Protokoll von Novell verwendet. Der Client wird mit der standardmäßigen Anmelde-GINA-Benutzeroberfläche (Graphical Identification and Authentication) gestartet. Weitere Informationen über die Beglaubigung mit dem Novell Client finden Sie unter "Verwenden von Novell Client für die Beglaubigung" im Novell ZENworks 6.5 Desktop Management-Installationshandbuch.

Die Beglaubigung bei eDirectory unter Verwendung des 32-Bit-Client in diesem Szenario wird in folgendem Diagramm dargestellt:

Diagramm, in dem die Beglaubigung bei eDirectory unter Verwendung des 32-Bit-Client dargestellt wird.

Schritt	Erläuterung
	Ein Benutzer mit den entsprechenden Rechten gibt den eDirectory-Berechtigungsnachweis in die Anmeldefelder der Novell Client GINA ein.
	Der Novell Client sendet die Beglaubigungsanforderung in einem NDAP/LDAP-Paket an eDirectory.
	eDirectory bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an die Benutzerarbeitsstation.
	Der Novell Client auf der Benutzerarbeitsstation empfängt das Antwortpaket und bestätigt eine erfolgreiche Beglaubigung. Die Netzwerkverbindung ist eingerichtet.

Wenn sich die gleichen Arbeitsstationen jedoch außerhalb der Firewall befinden, startet der Client weiterhin als Standard-Anmelde-GINA. Die Benutzer können sich nur lokal bei ihren Windows-Desktops anmelden und sich nicht über ZENworks Middle Tier Server bei eDirectory beglaubigen.

Benutzer, die sowohl den Agenten als auch den Client auf ihren Computern installiert haben, können Anwendungen außerhalb der Firewall beglaubigen und empfangen, indem sie eine andere Anmeldungsmethode verwenden. Die Arbeitsstationen können jedoch nur Anwendungsdateien, aber keine Desktop Management-Richtlinien empfangen. Deswegen sollten Sie den Client entfernen und den Agenten nur auf den Arbeitsstationen installieren, die hauptsächlich außerhalb der Firewall verwendet werden.

Weitere Informationen zur alternativen Anmeldemethode, die verwendet wird, wenn der Client und der Agent zusammen auf einer Arbeitsstation außerhalb der Firewall installiert werden, finden Sie unter Lokales Anmelden bei der Arbeitsstation.

Anmeldung mithilfe des Desktop Management-Agenten

Wenn Sie den Desktop Management-Agenten installieren und sich Ihre Benutzer über den Agenten beim Netzwerk anmelden sollen, müssen Sie wissen, wie sich der Desktop Management-Agent beim Netzwerk beglaubigt. Weitere Informationen zum Einrichten des Desktop Management-Agenten für die Beglaubigung finden Sie unter "Verwenden des Desktop Management-Agenten und von ZENworks Middle Tier Server für die Beglaubigung" im Novell ZENworks 6.5 Desktop Management-Installationshandbuch.

Im folgenden Diagramm wird der Vorgang einer Benutzerbeglaubigung bei eDirectory über den Desktop Management-Agenten außerhalb der Firewall dargestellt. Befindet sich der Benutzer innerhalb der Firewall, läuft dieser Vorgang ähnlich ab.

Diagramm, in dem der Vorgang einer Benutzerbeglaubigung bei eDirectory über den Desktop Management-Agenten hinter der Firewall angezeigt wird

Schritt	Erläuterung
	Ein Benutzer greift auf den ZENworks Management-Agenten zu und gibt die Benutzer-ID und das Passwort ein.
	Der Agent stellt die Benutzer-Berechtigungsnachweise zusammen. Unter Verwendung der Verschlüsselungsmethoden von öffentlichen, privaten und Sitzungsschlüsseln werden die Berechtigungsnachweise über HTTP oder HTTPS sicher an ZENworks Middle Tier Server (über eine Unternehmens-Firewall) übergeben. HINWEIS: Berechtigungsnachweise sind mithilfe der oben genannten Techniken immer gesichert, vorausgesetzt, der Transport erfolgt über HTTP oder HTTPS.
	Der ZENworks Middle Tier Server-Webservice erhält die Berechtigungsnachweise über die Firewall, führt einen Unparsing-Vorgang aus, wandelt sie in ein NDAP/LDAP-Paket um und verwendet NDAP/LDAP anschließend, um sie über einen Anschluss in der Backend-Firewall an eDirectory zu übertragen. HINWEIS: ZENworks Middle Tier Server benötigt keine NetWare^®-Lizenzen. Die lizenzierten Verbindungen werden vom Desktop Management-Server benötigt.
	eDirectory empfängt das NDAP/LDAP-Paket, bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an den ZENworks Middle Tier-Server.
	Der ZENworks Middle Tier-Server verschlüsselt das zurückgegebene LDAP- oder NDAP-Paket erneut in XML und sendet anschließend das XML-Bestätigungspaket über HTTP oder HTTPS an den ZENworks Management-Agenten.
	Der Agent erhält das XML-Paket, führt anschließend bei dem Paket einen Unparsing-Vorgang aus und wandelt es in das Binärformat um, sodass der Benutzer an der Arbeitsstation eine erfolgreiche Anmeldung erkennen kann.

Wenn eDirectory Benutzer beglaubigt, werden diese bei jedem Server im Baum beglaubigt, auf dem der Systemverwalter den Benutzern die entsprechenden Rechte gewährt hat.

Der ZENworks Middle Tier-Server verwendet LDAP/NDAP für die Beglaubigung bei eDirectory wegen der Suchfunktionen dieser Protokolle. Wenn Sie während der Installation des ZENworks Middle Tier-Servers die Option für unverschlüsselte Passwörter auswählen, muss die Beglaubigungsanforderung lediglich die Benutzer-ID (ohne Kontext) verwenden, um den gesamten Baum nach dem beglaubigenden Benutzer zu durchsuchen. Wenn kein unverschlüsseltes Passwort verwendet wird, muss der Benutzer sich mit dem vollständigen eindeutigen Namen anmelden. Oder Sie müssen diesen Benutzer auf eine Beglaubigungsdomäne einschränken. Hierbei handelt es sich um einen bestimmten Kontext im Verzeichnis.

Weitere Informationen über die Beglaubigung und die Funktion des ZENworks Middle Tier-Servers im Dateizugriff von ZENworks finden Sie unter Definition von Desktop Management Server.

Lokales Anmelden bei der Arbeitsstation

Wenn Benutzer die Anmeldung des Desktop Management-Agenten umgehen, indem sie sich nur bei der lokalen Arbeitsstation anmelden, müssen sie sich dennoch bei eDirectory beglaubigen, um auf ihre Anwendungen zugreifen zu können.

Wenn das Symbol von Application Explorer auf dem Desktop oder der Taskleiste des Benutzers angezeigt wird, hat der Benutzer (indem er mit der rechten Maustaste auf das Symbol klickt) die Möglichkeit, sich beim ZENworks Middle Tier-Server anzumelden. Wenn sich der Benutzer anmeldet, wird die Novell-Sicherheitsdienste-Anmelde-GINA angezeigt.

Wenn der Benutzer die Benutzer-ID und das Passwort an der Sicherheitsdienste-Anmelde-GINA eingibt, werden diese Berechtigungsnachweise an den ZENworks Middle Tier-Server übergeben, der sie für die Beglaubigung an eDirectory übergibt. Diese Anmelde-GINA verwendet denselben Beglaubigungsvorgang, der auch von der Anmelde-GINA des Desktop Management-Agenten eingesetzt wird. Weitere Informationen hierzu finden Sie unter Anmeldung mithilfe des Desktop Management-Agenten.