Novell Documentation: ZENworks for Desktops 4

Beglaubigung bei eDirectory

Bevor der Benutzer auf Anwendungen oder Richtlinien zugreifen kann, muss er sich beim Netzwerk (d.<:hs>h. bei Novell eDirectory^TM) anmelden, um Anmelderechte zu überprüfen und eine Verbindung zu den Netzwerkservern einzurichten, bei denen der Benutzer beglaubigt werden muss.

Wenn der Novell Client^TM, der ZfD 4-Verwaltungsagent und der ZfD Middle Tier-Server installiert wurden, sind drei Anmeldeszenarios vorhanden:

Anmeldung mithilfe des Novell Client

Wenn Sie Novell Client für die Beglaubigung verwenden, wird für die Kommunikation mit eDirectory und dem Serverdateisystem das konventionelle NCP-Protokoll von Novell verwendet. Weitere Informationen für die Beglaubigung mit dem Novell Client finden Sie unter Verwenden von Novell Client für die Beglaubigung in Beglaubigung im Installationshandbuch.

Wenn sich Benutzer innerhalb der Unternehmens-Firewall befinden (oder wenn keine Firewall vorhanden ist) und sowohl der Agent als auch der Client auf Benutzerarbeitsstationen installiert sind, wird der Client als Standard-Anmelde-GINA-Benutzerschnittstelle (Graphical Identification and Authentication) gestartet.

Der Beglaubigungsvorgang bei eDirectory über den 32-Bit-Client in diesem Szenario wird in folgendem Diagramm veranschaulicht:

Darstellung der Schritte beim Beglaubigen vom Novell Client bei Novell eDirectory.

Schritt	Erläuterung
	Ein Benutzer mit den entsprechenden Rechten gibt den eDirectory-Berechtigungsnachweis in die Anmeldefelder der Novell Client GINA ein.
	Der Novell Client sendet die Beglaubigungsanforderung in einem NDAP/LDAP-Paket an eDirectory.
	eDirectory bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an die Benutzerarbeitsstation.
	Der Novell Client auf der Benutzerarbeitsstation empfängt das Antwortpaket und bestätigt eine erfolgreiche Beglaubigung. Die Netzwerkverbindung ist eingerichtet.

Wenn sich die gleichen Arbeitsstationen jedoch außerhalb der Firewall befinden, startet der Client weiterhin als Standard-Anmelde-GINA. Die Benutzer können sich nur lokal bei ihren Windows*-Desktops anmelden und sich nicht über den ZfD Middle Tier-Server bei eDirectory beglaubigen.

Benutzer, die sowohl den Agenten als auch den Client auf ihren Computern installiert haben, können Anwendungen außerhalb der Firewall beglaubigen und empfangen, indem sie eine andere Anmeldungsmethode verwenden. Die Arbeitsstationen können jedoch nur Anwendungsdateien, aber keine Richtlinien empfangen. Deswegen müssen Sie den Client entfernen und den Agenten auf den Arbeitsstationen installieren, die außerhalb der Firewall verwendet werden.

Weitere Informationen zur alternativen Anmeldemethode, die verwendet wird, wenn der Client und der Agent zusammen auf einer Arbeitsstation außerhalb der Firewall installiert werden, finden Sie unter Anmeldung mithilfe von NetIdentity .

Anmeldung mithilfe des ZfD-Verwaltungsagenten

Wenn Sie den ZfD-Verwaltungsagenten installieren und sich Ihre Benutzer über den Agenten beim Netzwerk anmelden sollen, müssen Sie wissen, wie der ZfD-Verwaltungsagent beim Netzwerk beglaubigt. Weitere Informationen zum Einrichten des ZfD-Verwaltungsagenten für die Beglaubigung finden Sie unter Beglaubigen mit dem ZfD-Verwaltungsagenten und dem ZfD Middle Tier-Server in Beglaubigung im Installationshandbuch.

In dem unten angezeigten Diagramm wird der Vorgang einer Benutzerbeglaubigung bei eDirectory über den ZfD-Verwaltungsagenten hinter der Firewall angezeigt.

Abbildung der Schritte des Beglaubigungsvorgangs vom ZfD 4-Verwaltungsagenten bei Novell eDirectory.

Schritt	Erläuterung
	Ein Benutzer greift auf den ZfD-Verwaltungsagenten zu und gibt die Benutzer-ID und das Passwort ein.
	Der Agent stellt die Benutzer-Berechtigungsnachweise zusammen. Unter der Verwendung der Verschlüsselungsmethoden von öffentlichen/privaten Schlüsseln und Sitzungsschlüsseln wird der Berechtigungsnachweis sicher an den ZfD Middle Tier-Server (durch eine Unternehmens-Firewall) über HTTP oder HTTPS übergeben. HINWEIS: Der Berechtigungsnachweis ist mit den oben genannten Techniken immer gesichert, unabhängig davon, ob es sich bei dem Transportmechanismus um HTTP oder HTTPS handelt.
	Der Webservice des ZfD Middle Tier-Servers empfängt den Berechtigungsnachweis über die Firewall, führt bei dem Nachweis einen Unparsing-Vorgang aus, wandelt ihn in ein NDAP/LDAP-Paket um und verwendet anschließend NDAP/LDAP, um ihn über einen Anschluss an die Back-End-Firewall in eDirectory zu übergeben. HINWEIS: Am ZfD Middle Tier-Server werden keine Lizenzen von NetWare^® benötigt. Die lizenzierten Verbindungen werden vom ZfD-Server benötigt.
	eDirectory empfängt das NDAP/LDAP-Paket, bestätigt die Gültigkeit der Anmeldedaten und sendet das Antwortpaket für die Beglaubigung über NDAP/LDAP an den ZfD Middle Tier-Server.
	Der ZfD Middle Tier-Server verschlüsselt das zurückgegebene LDAP- oder NDAP-Paket erneut in XML und sendet anschließend das XML-Bestätigungspaket über HTTP oder HTTPS an den ZfD-Verwaltungsagenten.
	Der Agent erhält das XML-Paket, führt anschließend bei dem Paket einen Unparsing-Vorgang aus und wandelt es in das Binärformat um, sodass der Benutzer an der Arbeitsstation eine erfolgreiche Anmeldung erkennen kann.

Wenn eDirectory Benutzer beglaubigt, werden diese bei jedem Server im Baum beglaubigt, auf dem der Systemverwalter den Benutzern die entsprechenden Rechte gewährt hat.

Der ZfD Middle Tier-Server verwendet für die Beglaubigung bei eDirectory wegen der Suchfunktionen die Protokolle LDAP/NDAP. Wenn Sie während der Installation des ZfD Middle Tier-Servers die Option für unverschlüsselte Passwörter auswählen, muss die Beglaubigungsanforderung lediglich die Benutzer-ID (ohne Kontext) verwenden, um den gesamten Baum nach dem beglaubigenden Benutzer zu durchsuchen. Wenn kein unverschlüsseltes Passwort verwendet wird, muss der Benutzer sich mit dem vollständigen eindeutigen Namen anmelden. Oder Sie müssen diesen Benutzer auf eine Beglaubigungsdomäne einschränken. Hierbei handelt es sich um einen bestimmten Kontext im Verzeichnis.

Weitere Informationen für die Beglaubigung und zur Funktion des ZfD Middle Tier-Servers im Dateizugriff von ZENworks finden Sie unter Info zum ZfD-Server .

Anmeldung mithilfe von NetIdentity

Wenn Benutzer die Anmeldung des ZfD-Verwaltungsagenten umgehen, indem sie sich nur bei der lokalen Arbeitsstation anmelden, müssen sie sich dennoch bei eDirectory beglaubigen, um auf ihre Anwendungen zugreifen zu können.

Wenn das Symbol von Application Explorer auf dem Desktop oder der Taskleiste des Benutzers angezeigt wird, hat der Benutzer (indem er mit der rechten Maustaste auf das Symbol klickt) die Möglichkeit, sich beim ZfD Middle Tier-Server anzumelden. Wenn sich der Benutzer anmeldet, wird die NetIdentity-Anmelde-GINA angezeigt:

Benutzerschnittstelle für die NetIdentity-Beglaubigung.

Wenn der Benutzer die Benutzer-ID und das Passwort an der Anmelde-GINA von NetIdentity eingibt, werden diese Berechtigungsnachweise an den ZfD Middle Tier-Server übergeben, welcher sie für die Beglaubigung an eDirectory übergibt. NetIdentity verwendet den gleichen Beglaubigungsprozess, der von der Anmelde-GINA des ZfD-Verwaltungsagenten verwendet wird. Weitere Informationen hierzu finden Sie unter Anmeldung mithilfe des ZfD-Verwaltungsagenten .