FAQ

An welche Identity Manager-Anwendungen kann der KDM angebunden werden?

Derzeit ist die Anbindung an den SUN Identity Manager 7.x und an Oracle Waveset möglich. Über eine entsprechend entwickelte Schnittstelle, die gespeicherte Shell/Perl-Skripte aufruft, ist die Anbindung an jeden beliebigen Identity Manager möglich.

Welche Linux/UNIX-Systeme können über den KDM gesteuert werden?

Getestet und verifiziert sind folgende Systeme:

  • Red Hat Enterprise Linux
  • IBM AIX
  • HP-UX
  • SUSE Linux
  • Solaris

Können über den KDM auch Windows-Betriebssysteme gesteuert werden?

Nein, Windows-Betriebssysteme können nicht über KDM gesteuert werden. Allerdings können Benutzer sowohl aus der Windows-Umgebung als auch aus der UNIX- und Linux-Umgebung auf den KDM zugreifen.

Lässt sich eine Diceware zur Generierung von Passworten zu den Schlüsseln nutzen?

Ja, der KDM kann so konfiguriert werden, dass die Passworte zu den Schlüsseln automatisch nach der Diceware des Wörterbuchs generiert werden.

Werden alle durchgeführten Änderungen vom KDM protokolliert? Lässt sich dieses Protokoll mit einem Monitoring-Werkzeug verknüpfen?

Ja. Alle vom KDM durchgeführten Änderungen werden im Audit-Log des KDM, im Dateisystem, protokolliert. Die KDM-Logs können von Standard-Monitoringwerkzeugen wie z. B. enVision oder Nagios eingelesen werden.

Für wie viele Endsysteme eignet sich der KDM?

Unter den Betriebssystemen UNIX und Linux ist die Verwaltung und Authentifizierung der Benutzer insofern speziell, als in einer solchen Umgebung nur relativ wenige Benutzer, dafür allerdings mit ziemlich umfassenden Berechtigungen arbeiten. Die Anzahl der Server ist hingegen relativ hoch (dutzende bis hunderte). Der KDM kann hunderte bis tausende UNIX-Server steuern, abhängig von der Hardware und der Anzahl der Benutzer.

Welche SSH-Klienten unterstützt der KDM?

Der KDM unterstützt Klienten und Agenten, die den openSSH-Standard erfüllen. In der Windows-Umgebung sind das beispielsweise die Programme putty und WinSCP. Als SSH-Agenten empfehlen wir das Programm pageant.

Was ist der Unterschied gegenüber der Kerberisierung von UNIX-Systemen?

Die Technologien von KDM und Kerberos sind einander sehr ähnlich. Beide arbeiten auf der Grundlage der Ausgabe privater Schlüssel, bei Kerberos Tickets, aus der zentralen Autorität. Der bekannteste Kerberos-Server ist Microsoft Active Directory. Es existieren aber auch Open-Source-Produkte.

KDM

  • Die Authentifizierung zum KDM erfolgt mithilfe von PAM-Modulen und ermöglicht auch eine Mehrfaktoren-Authentifizierung.
  • Höhere Sicherheit der Chiffrierung (RSA + AES) und der PKI-Infrastruktur im Allgemeinen.
  • Ermöglicht auch die Steuerung der Lebenszyklen von Benutzeridentitäten.
  • Nimmt automatisch die Einstellung der Endserver vor und überwacht ihre Konfiguration.

Kerberos

  • Die Endsysteme müssen Kerberos-fähig gemacht werden, hohe Abhängigkeit vom zentralen Element, auch bei der Anmeldung bei Endsystemen.
  • Authentifizierung nur durch Passwort.
  • Geringere Sicherheit der Chiffrierung.
  • Das Passwort dient als primärer Chiffrierungsschlüssel (Gefahr bei Passwortdiebstahl).
  • Benutzeridentitäten können nicht gesteuert werden.



[ ↑ k obsahu ↑ ]