computerwoche.de

IT-Strategie

Single-Sign-on

Eine Smartcard für das ganze Netzuniversum

25.05.2009
Von 
Jan Schulze ist freier Autor in Erding bei München.
Alle Posts des Autors Connect:

Unterschiedliche Smartcard-Lösungen

Jürgen Fein (links) verantwortet die operationellen Abläufe, Harald Stößner den Netzbetrieb.
Jürgen Fein (links) verantwortet die operationellen Abläufe, Harald Stößner den Netzbetrieb.
Foto: Joachim Wendler

Eine weitere Hürde war die heterogene Umgebung: Zwar werden im Ops- wie im Ops-Support-Netz Smartcards eingesetzt, doch kommen unterschiedliche Lösungen zur Authentifizierung zum Einsatz. Das hat sowohl historische als auch technische Gründe: Die intelligenten Karten kommen bereits seit einiger Zeit im hochsicheren Ops-Netz zum Einsatz, das auf Linux-Server und -Clients aufbaut. Die dort implementierte Software zur Benutzerauthentifizierung wäre nach Einschätzung von Fein und Stößner nur mit größter Mühe in die Windows-Domain zu übertragen gewesen.

Zudem ist das Smartcard-System der Linux-Infrastruktur nicht kompatibel zur Windows-Welt. Es ließ sich also nicht - jedenfalls nicht mit vertretbarem Technikaufwand - direkt auf die anderen Subsysteme ausweiten. Hier dient die Comtarsia-Lösung als Authentifizierungsschnittstelle zwischen den beiden Systemwelten.

Anmeldung in mehreren Stufen

Der operationelle Betrieb begann im Juni 2008. Heute erfolgt die Anmeldung am PC im Ops-Support-Subsystem in mehreren Schritten:

  • Zunächst wird anhand der auf der Smartcard gespeicherten Daten und der PIN des Users ein Client-Zertifikat erstellt und der Benutzer damit gegen den zentralen LDAP-Server authentifiziert.

  • Ist die Anmeldung am LDAP erfolgreich, wird ein Sign-on-Request an den "SingOn Gate"-Service von Comtarsia abgesetzt, der direkt am Windows-Domain-Controller installiert ist.

  • Dieser Vorgang startet die automatische Benutzerverwaltung im Active Directory: Der User wird an der Windows-Domäne angemeldet; ist er dort noch nicht vorhanden, legt das System ihn mit den aus LDAP übernommenen Attributen neu an.

  • Bei jeder Anmeldung sorgt das SignOn-Gate für ein Update der Benutzerinformationen, zum Beispiel der Gruppenmitgliedschaften, um die im führenden LDAP hinterlegten Daten mit denen des Active Directory zu synchronisieren.

  • Damit die Anmeldung am Windows-Arbeitsplatz nicht über Smartcard und PIN ausgehebelt werden kann, kommen im Hintergrund zufällig erzeugte Passwörter zur Windows-Anmeldung zum Einsatz.

Der RoI war kein Thema

Der Return on Investment (RoI) spielte laut Fein und Stößner bei dem Projekt keine Rolle. "Es gab unseres Wissens keine Alternative, um die Anforderungen der ESA mit der bestehenden Infrastruktur zu erfüllen", konstatiert Fein. Positiv aus Sicht des DLR ist zudem, dass Comtarsia die notwendigen Funktionserweiterungen in künftige Versionen der Sign-on-Lösung integrieren will. So bleibt die Implementierung des DLR Release-fähig, Updates oder neue Versionen lassen sich ohne aufwändige Anpassungen einspielen. (qua)