Novell Documentation: ZENworks 7 - Beglaubigung bei eDirectory

5.1 Beglaubigung bei eDirectory

Bevor der Benutzer auf Anwendungen oder Richtlinien zugreifen kann, muss er sich beim Netzwerk (d. h. bei Novell eDirectory™) anmelden, um Anmelderechte zu überprüfen und eine Verbindung zu den Netzwerkservern einzurichten, bei denen der Benutzer beglaubigt werden muss.

WICHTIG:Für die LDAP-Beglaubigung, die gestartet wird, wenn sich Benutzer bei ZENworks-Anwendungen oder Richtlinien anmelden bzw. auf diese zugreifen, werden zwei der Kulanzanmeldungen benötigt, die ein Benutzer bei Ablauf seines Passworts erhält. Kulanzanmeldungen werden in ConsoleOne auf der Seite "Beschränkungen" (Abschnitt für Passwortbeschränkungen) des eDirectory-Benutzerobjekts festgelegt.

Wenn eDirectory einen Benutzer beispielsweise darüber informiert, dass er noch zwei Kulanzanmeldungen auf einem Server besitzt, hat er jedoch tatsächlich keine Kulanzanmeldungen und kann sich erst dann anmelden, wenn das Passwort zurückgesetzt wird.

Wenn Sie den Novell Client™, den Desktop Management-Agenten und den Middle Tier-Server installiert haben, stehen drei Anmeldeszenarios zur Verfügung:

5.1.1 Anmeldung mithilfe des Novell Client

Wenn Sie Novell Client für die Beglaubigung verwenden, wird für die Kommunikation mit eDirectory und dem Serverdateisystem das konventionelle NCP™-Protokoll von Novell verwendet. Der Client wird mit der standardmäßigen Anmelde-GINA-Benutzeroberfläche (Graphical Identification and Authentication) gestartet. Weitere Informationen über die Beglaubigung mit Novell Client finden Sie in Verwenden von Novell Client für die Beglaubigung im Novell ZENworks 7 Desktop Management-Installationshandbuch.

Die Beglaubigung bei eDirectory unter Verwendung des 32-Bit-Client in diesem Szenario wird in folgendem Diagramm dargestellt:

Abbildung 5-1 Beglaubigung bei eDirectory unter Verwendung des 32-Bit Novell Client

Tabelle 5-1 Schritte des eDirectory-Beglaubigungsverfahrens unter Verwendung des 32-Bit Novell Client

Schritt	Erläuterung
	Ein Benutzer mit den entsprechenden Rechten gibt den eDirectory-Berechtigungsnachweis in die Anmeldefelder der Novell Client GINA ein.
	Der Novell Client sendet die Beglaubigungsanforderung in einem NDAP/LDAP-Paket an eDirectory.
	eDirectory bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an die Benutzerarbeitsstation.
	Der Novell Client auf der Benutzerarbeitsstation empfängt das Antwortpaket und bestätigt eine erfolgreiche Beglaubigung. Die Netzwerkverbindung ist eingerichtet.

Wenn sich die gleichen Arbeitsstationen jedoch außerhalb der Firewall befinden, startet der Client weiterhin als Standard-Anmelde-GINA. Benutzer können sich nur lokal bei ihren Windows-Desktops anmelden, sich jedoch nicht über ZENworks Middle Tier Server bei eDirectory beglaubigen.

Benutzer, die sowohl den Agenten als auch den Client auf ihren Computern installiert haben, können Anwendungen außerhalb der Firewall beglaubigen und empfangen, indem sie eine andere Anmeldemethode verwenden. Die Arbeitsstationen können jedoch nur Anwendungsdateien, aber keine Desktop Management-Richtlinien empfangen. Deswegen sollten Sie den Client entfernen und den Agenten nur auf den Arbeitsstationen installieren, die hauptsächlich außerhalb der Firewall verwendet werden.

Weitere Informationen zur alternativen Anmeldemethode, die verwendet wird, wenn der Client und der Agent zusammen auf einer Arbeitsstation außerhalb der Firewall installiert werden, finden Sie in Lokales Anmelden bei der Arbeitsstation.

5.1.2 Anmeldung mithilfe des Desktop Management-Agenten

Wenn Sie den Desktop Management-Agenten installieren und sich Ihre Benutzer über den Agenten beim Netzwerk anmelden sollen, müssen Sie wissen, wie sich der Desktop Management-Agent beim Netzwerk beglaubigt. Weitere Informationen zum Einrichten des Desktop Management-Agenten für die Beglaubigung finden Sie in Verwenden des Desktop Management-Agenten und von ZENworks Middle Tier Server für die Beglaubigung im Novell ZENworks 7 Desktop Management-Installationshandbuch.

Im folgenden Diagramm wird der Vorgang einer Benutzerbeglaubigung bei eDirectory über den Desktop Management-Agenten außerhalb der Firewall dargestellt. Befindet sich der Benutzer innerhalb der Firewall, läuft dieser Vorgang ähnlich ab.

Abbildung 5-2 eDirectory-Beglaubigung unter Verwendung des Desktop Management-Agenten hinter einer Firewall

Tabelle 5-2 Schritte bei der eDirectory-Beglaubigung unter Verwendung des Desktop Management-Agenten hinter einer Firewall

Schritt	Erläuterung
	Ein Benutzer greift auf den ZENworks Management-Agenten zu und gibt die Benutzer-ID und das Passwort ein.
	Der Agent stellt die Benutzer-Berechtigungsnachweise zusammen. Unter Verwendung der Verschlüsselungsmethoden von öffentlichen, privaten und Sitzungsschlüsseln werden die Berechtigungsnachweise über HTTP oder HTTPS sicher an ZENworks Middle Tier Server (über eine Unternehmens-Firewall) übergeben. HINWEIS:Berechtigungsnachweise sind mithilfe der oben genannten Techniken immer gesichert, vorausgesetzt, der Transport erfolgt über HTTP oder HTTPS.
	Der ZENworks Middle Tier Server-Webservice erhält die Berechtigungsnachweise über die Firewall, führt einen Unparsing-Vorgang aus, wandelt sie in ein NDAP/LDAP-Paket um und verwendet NDAP/LDAP anschließend, um sie über einen Anschluss in der Backend-Firewall an eDirectory zu übertragen. HINWEIS:ZENworks Middle Tier Server benötigt keine NetWare®-Lizenzen. Die lizenzierten Verbindungen werden vom Desktop Management Server benötigt.
	eDirectory empfängt das NDAP/LDAP-Paket, bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an den ZENworks Middle Tier-Server.
	Der ZENworks Middle Tier-Server verschlüsselt das zurückgegebene LDAP- oder NDAP-Paket erneut in XML und sendet anschließend das XML-Bestätigungspaket über HTTP oder HTTPS an den ZENworks Management-Agenten.
	Der Agent erhält das XML-Paket, führt anschließend bei dem Paket einen Unparsing-Vorgang aus und wandelt es in das Binärformat um, sodass der Benutzer an der Arbeitsstation eine erfolgreiche Anmeldung erkennen kann.

Wenn eDirectory Benutzer beglaubigt, werden diese bei jedem Server im Baum beglaubigt, auf dem der Systemverwalter den Benutzern die entsprechenden Rechte gewährt hat.

Der ZENworks Middle Tier-Server verwendet LDAP/NDAP für die Beglaubigung bei eDirectory wegen der Suchfunktionen dieser Protokolle. Wenn Sie während der Installation des ZENworks Middle Tier-Servers die Option für unverschlüsselte Passwörter auswählen, benötigt die Beglaubigungsanforderung lediglich die Benutzer-ID (ohne Kontext) zum Durchsuchen des gesamten Baums nach dem beglaubigenden Benutzer. Wenn kein unverschlüsseltes Passwort verwendet wird, muss der Benutzer sich mit dem vollständigen eindeutigen Namen anmelden. Oder Sie dürfen diesem Benutzer nur eine Beglaubigungsdomäne zuteilen. Hierbei handelt es sich um einen bestimmten Kontext im Verzeichnis.

Weitere Informationen über die Beglaubigung und die Funktion des ZENworks Middle Tier-Servers im Dateizugriff von ZENworks finden Sie in Abschnitt 3.3, Definition von Desktop Management Server.

5.1.3 Lokales Anmelden bei der Arbeitsstation

Wenn Benutzer die Anmeldung des Desktop Management-Agenten umgehen, indem sie sich nur bei der lokalen Arbeitsstation anmelden, müssen sie sich dennoch bei eDirectory beglaubigen, um auf ihre Anwendungen zugreifen zu können.

Wenn das Symbol von Application Explorer auf dem Desktop oder der Taskleiste des Benutzers angezeigt wird, hat der Benutzer (indem er mit der rechten Maustaste auf das Symbol klickt) die Möglichkeit, sich beim ZENworks Middle Tier Server anzumelden. Wenn sich der Benutzer anmeldet, wird die Novell Security Services-Anmelde-GINA angezeigt.

Abbildung 5-3 Das Anmeldedialogfeld von Novell Security Services

Wenn der Benutzer die Benutzer-ID und das Passwort an der Novell Security Services-Anmelde-GINA eingibt, werden diese Berechtigungsnachweise an ZENworks Middle Tier Server übergeben, der sie für die Beglaubigung an eDirectory übergibt. Diese Anmelde-GINA verwendet denselben Beglaubigungsvorgang, der auch von der Anmelde-GINA des Desktop Management-Agenten eingesetzt wird. Weitere Informationen hierzu finden Sie in Anmeldung mithilfe des Desktop Management-Agenten.