Die SIDES Authorisierungsinfrastruktur für die TU Wien

Thomas Pauls, Günter Enzi
Österreichischer Lehrzielkatalog

Der eine hat’s, der andere braucht’s.
Man muß drauf schau’n, daß es der, der’s braucht, kriegt, wenn er’s will und beide dabei glücklich sind.

Beschreibung einer personenbezogenen rollenbasierten Zugriffskontrolle und dezentralen Rechteverwaltung –
SIDES Sicherheit für Resourcen im WorldWideWeb.

Stellen Sie sich vor, Sie möchten sich von Ihrem Freund, dem Franz, einem wahren Kenner klassischer Musik übrigens, die Goldberg-Variationen von Bach,  natürlich in der Interpretation Glenn Goulds, ausborgen. Sie rufen ihn also an und fragen, ob er Ihnen die Platte borgt. „Aber ja“, meint er, „ich kenn dich ja, du paßt mir sicher gut d’rauf auf und wenn ich sie wieder brauch’ krieg’ ich sie eh gleich wieder, nicht wahr?” „Natürlich“, versichern Sie, und Franz schlägt vor, Ihnen die Platte vorbeizubringen, dann könne er sich nämlich auch gleich Ihren neuen Pentium II Computer ansehen. Das mit der Schallplatte wäre also geregelt ...

Und wie ist das nun, wenn Sie (vielleicht mit Ihrem neuen Pentium II ?) auf eine Seite im Intranet zugreifen wollen? Sagen wir, auf eine Seite, oder gleich exakt formuliert, eine „Resource“,  die durch das Sicherheits- system des Sicheren Internetbasierten DatenErfassungs- systemes SIDES geschützt ist?

Identifikation

Zunächst müssen Sie „bekannt“ sein, das heißt, Sie müssen über einen Eintrag in den White Pages der TU Wien verfügen. Das Personal der TU Wien wird regelmäßig (i.a. am Beginn des Monats) aus den Daten der Universitätsdirektion automatisch eingetragen, ebenso jene Studierenden, die im Rahmen des Mail/News/Info Services eine Berechtigung erhalten haben. An den Instituten können, von den jeweils zuständigen Address-Managern, zusätzliche Angehörige des Institutes hinzugefügt werden, beispielsweise jene, die privatrechtlich angestellt sind, oder jene, die über Drittmittel refundiert werden. Zu jedem White Pages Eintrag wird ein Paßwort vergeben.

Authentifikation

Im Weiteren geht es darum, Ihre Identität zweifelsfrei festzustellen. Im persönlichen Kontakt ist das relativ einfach: Franz erkannte Sie an Ihrer Stimme, Ihrer Art zu sprechen. In einem elektronischen System bedarf es naturgemäß anderer Merkmale. SIDES verwendet für die webbasierte Zugriffskontrolle eine sogenannte Basic Authentication: als Merkmale werden Benutzername und Paßwort herangezogen. Benutzername ist Ihr Nachname, als Paßwort wird jenes der White Pages verwendet. Die Eindeutigkeit folgt aus der Kombination beider Merkmale. Falls Sie beispielsweise Schmidt heißen, lassen Sie sich also bitte nicht davon irritieren, daß es mehrere Schmidts gibt. Benutzername ist in jedem Fall nur Ihr Nachname, Groß- und Kleinschreibung spielen dabei keine Rolle (case insensitive).

Sollte es im Anschluß an die Aufforderung zur Eingabe von „User Name“ und „Password“ zu einer Fehlermeldung kommen, gibt es dafür verschiedene mögliche Ursachen:

Ist die Authentifikation erfolgreich, tritt das SIDES Sicherheitssystem im Normalfall nicht mehr sichtbar in Erscheinung. Das System zeichnet sich durch diesen einfachen Zugang aus: Sie brauchen sich kein neues Paßwort zu merken, weil jenes der White Pages Verwendung findet, und Sie müssen sich nur ein einziges Mal mit Nachname und Paßwort anmelden. Umgekehrt gewinnt damit das Paßwort an Bedeutung. Bitte wählen Sie es sorgfältig (keine einfachen Zeichenkombinationen) und ändern Sie es auch regelmäßig. Zur Änderung steht Ihnen das WWW Gateway der White Pages (http://wp.tuwien. ac.at) zur Verfügung.

Der nächste Schritt, die Überprüfung, ob Sie die gewünschte Resource auch „haben“ dürfen, läuft in der Regel ab, ohne daß Sie es bemerken.

Authorisierung

Sie erinnern sich: Franz borgt seine Platten nur jenen Freunden, von denen er weiß, daß sie darauf aufpassen. Verschiedene Personen besitzen verschiedene Rechte. So verhält es sich auch in SIDES.

Für die Verteilung von Zugriffsrechten gibt es die Möglichkeit der automatisierten Rechtevergabe nach einem bestimmten Schema und der händischen Zuteilung an bestimmte Benutzerinnen und Benutzer.

Rollenbasierte Rechteverteilung

Zunächst werden, abgeleitet aus Funktionen in der universitären Struktur, sogenannte Rollen (roles) definiert. Als Beispiel dafür lassen sich „Mitarbeiter eines Institutes“, „Lehrveranstaltungsmitwirkende“, „Institutsvorstände“ oder „Abteilungsleiter“ anführen. Diesen Rollen werden bestimmte Rechte (privileges) und Möglichkeiten zur Verwaltung von Rechten (grant privileges) übergeben. Schließlich werden Benutzern (user) Rollen zugeordnet. Damit verfügen die Benutzer über die den Rollen zugehörigen Rechte.

Die für die Zuordnung Benutzer/Rollen erforderlichen Informationen werden aus den Daten der Universitäts- direktion (TUWIS; Funktion, Zuordnung zu einem Institut) bzw. den Einträgen in den White Pages (Zuordnung zu einem Institut) gewonnen. Nachdem der Import dieser Daten jeweils einmal pro Woche erfolgt, wird die aktuelle Funktionsstruktur der Universität in den Zugriffsrechten widergespiegelt.

Rechte werden auch zentral seitens der SIDES Systemadministration händisch an  bestimmte Personen vergeben. Insbesondere werden solcherart die sogenannten SIDES Administratoren an den Instituten mit der Berechtigung ausgestattet, Rechte an Personen weiterzugeben. Die Definition von Rollen erfolgt ausschließlich zentral durch die SIDES Systemadministration. Jede Rolle erhält einen Namen und eine kurze Beschreibung.

Nun sind Sie also mit einer Rolle und mit Rechten ausgestattet. Und möchten wahrscheinlich sofort ausprobieren, was sich damit machen läßt.

Es stehen FoDok-Online, Publikationseditor, Rechte-Manager und LVA-Editor zur Auswahl. All diese Anwendungen werden durch das SIDES Autorisierungssystem geschützt.

Nehmen wir an, Sie sind Mitarbeiterin bzw. Mitarbeiter im Sekretariat eines Institutes und würden gerne die Lehrveranstaltungen des Institutes editieren. Sie entscheiden sich also für den LVA-Editor und rufen diesen über http://www.lzk.ac.at/sides/lva/tuwien/editor.htm auf. Und: Fehlermeldung „Authorisation failed“. Über die Seite mit der URLhttp://www.lzk. ac.at/sides/rechte können Sie Ihre Rechte abrufen. Und siehe da: es sind noch keine Rechte für Sie vergeben. In diesem Falle wenden Sie sich bitte an den SIDES Administrator Ihres Institutes. Er oder sie kann unter Verwendung des Werkzeuges SIDES-Rechte-Manager (URL http://www.lzk.ac.at/sides/rechte-manager>) Rechte an Personen weitergeben.

Sind Sie dann mit der Berechtigung „PRIV:LVA- Daten Exxx editieren“ (wobei „Exxx“ für die Kennzahl Ihres Institutes steht) ausgestattet, steht dem Bearbeiten der Lehrveranstaltungsbeschreibungen nichts mehr im Wege. Sicherheitssysteme sind stets mit der Problematik behaftet, einerseits möglichst einfach allen berechtigten Personen Zugang zu verschaffen, andererseits die Resourcen wirksam zu schützen. Das SIDES Sicherheitssystem kann zum Schutz statischer und dynamischer HTML-Seiten sowie von Java Applets verwendet werden.

Für die Benutzerin, den Benutzer ist lediglich eine einmalige Authorisierung erforderlich. Da diese unter Verwendung des White Pages Paßwortes erfolgt, ist auch hier kein zusätzlicher Aufwand erforderlich. Die Rechteadministration kann (weitgehend) dezentral erfolgen. Es steht mit der SIDES Authorisierungsinfrastruktur ein offenes und modulares System zur Verfügung, das für unterschiedlichste Anwendungen im Intranet-Bereich genutzt werden kann.

Ach ja, und viel Vergnügen mit Bachs Goldbergvariationen ...

Adressen:

Literatur:

SIDES Sicheres Internetbasiertes DatenErfassungsSystem für Publikations-und Lehrveranstaltungsbeschreibungsdaten an der TU Wien, Pipeline 21, Februar 1997, http://info.tuwien. ac.at/pipeline/p21/sides.htm

SIDES Lehrinformationssystem an der TU Wien, Pipeline 23, Oktober 1997, http://info.tuwien.ac.at/pipeline/p23/ sides.html

SIDES ist ein Produkt des Österreichischen Lehrzielkataloges und wurde von Günter Enzi, Johannes Mayr, Martin Eller und Sebastian Fischmeister entwickelt.


Zum Inhaltsverzeichnis, Pipeline 25, Juni 1998