Serverdienste/Authentisierung

Serverdienste sollen im folgenden als Alias für physikalische Server mit ihren angebotenen Dienste dienen.
Folgende Serverdienste werden in der neuen Speicherplatzumgebung angeboten:

• Domänencontrollerdienste [ DC ]
• WEBDAV-Dienste http [ WP ]
• WEBDAV-Dienste https [ WS ]
• CIFS-Server [ CS ]

Für die Authentifizierung an den neuen Speicherdiensten werden dem Anwender drei Authentifizierungsverfahren bereitgestellt:

• Kerberos
• NTLMv2
• Klartextpasswort

Die Kerberos-Authentifizierung gilt als die sicherste aller drei angeboten Verfahren und ist dabei auch noch Standardisiert und Plattformunabhängig. Nutzer die sich über diese Methode Authentifizieren wollen, müssen sich an einer Arbeitsstation anmelden, die sich entweder direkt im Active Directory befindet oder Mitglied in einem anderem Kerberos Domäne ist, der eine gültige Vertrauensstellung zum Active Directory des Speichersystems besitzt. Clientsysteme, die sich über Kerberos authentifizieren wollen, muss somit nicht nur Zugriff auf die Serverdienste eingeräumt werden, sondern auch auf die Domänencontrollerdienste, insbesondere dem Ticket Granting Server. Durch die Möglichkeit Vertrauensstellungen zwischen verschiedenen Kerberos-Domänen einzurichten, kann die Kerberos Authentifizierung sehr flexible eingesetzt werden.

Die NTLMv2 Anmeldung ist zwar als nicht so sicher zu betrachten wie Kerberos, dennoch stellt sie eine Authentifizierungsmethode dar, die innerhalb der Bauhaus-Universität Weimar auf jeden Fall als sicher zu bezeichnen ist. Vorteil dieser Authentifizierungsmethode ist, dass sie relative breite Clientunterstützung besitzt, vor allem bei der Authentifizierung an CIFS-Serverdiensten.
Zur breiten Unterstützung kommt auch noch die einfache Handhabung des Protokolls. Rechner die diese Authentifizierung nutzen wollen, müssen nicht in irgendeinen Sicherheitsverbund, wie z.B. in eine Kerberos-Domäne, integriert werden, sondern können »Standalone« dieses Verfahren nutzen (darin liegt eben auch eine Schwäche des Protokolls).

Die Klartextpasswortanmeldung gilt unzweifelhaft als das unsicherste Authentifizierungsverfahren. Diese Methode kann nur akzeptiert werden, wenn die Übertragung des Passwortes über einen verschlüsselten Kanal (z.B. TLS\SSL) erfolgt. Der große Vorteil dieser Methode ist, dass man mit dieser wohl fast immer eine Möglichkeit auf der Clientseite findet ,sich an einem Serverdienst zu authentifizieren. Innerhalb der neuen Speicherumgebung wird diese Methode nur zur Authentifizierung am WEBDAV-Dienst über das https-Protokoll verwendet. Am unverschlüsselten http-Port wird nur Kerberos/NTLMv2 Anmeldungen akzeptiert und am verschlüsselten https-Port ist dann nur eine Authentifizierung mit Klartextpasswörtern möglich (die Einschränkung der Authentifizierungsverfahren liegt an den technologischen Gegebenheiten des eingesetzten Webservers).