computerwoche.de

Archiv

Kommunikation über verteilte Anwendungen

Excelsis vereinfacht die Authentisierung

19.03.2004
MÜNCHEN (CW) - Die Stuttgarter Excelsis Informationssysteme GmbH hat eine Enterprise-Security-Lösung vorgestellt, mit der sich das Format und der Zugriff aller Applikations-Server auf Benutzerinformationen vereinheitlichen lassen. Damit will der Hersteller ein Sicherheitsproblem von mehrschichtigen Client-Server-Systemen beheben.

Laut Excelsis sind die entsprechenden Sicherheitsmechanismen renommierter Anbieter wie Bea, IBM oder Microsoft stets auf die eigenen Produkte beziehungsweise die jeweilige Plattform beschränkt. Eine sichere und einheitliche Kommunikation zwischen den Clients unterschiedlicher Systeme sei nicht möglich. Zudem würden alle Applikations-Server die Informationen zur Authentisierung in proprietären Formaten abspeichern - derartige Angaben lassen sich also nicht zwischen den verschiedenen Applikations-Servern austauschen oder gar von diesen gemeinsam nutzen. Da in den meisten Unternehmen ohnehin bereits ein Repository für Benutzerdaten existiert, dieses aber von den Applikations-Servern in der Regel nicht zur Authentisierung der User verwendet werden kann, müssen solche Informationen redundant vorgehalten werden.

Mit dem auf den Standardprotokollen HTTP und Soap basierenden Excelsis-Produkt soll sich eine per SSL abgesicherte Kommunikation zwischen den Client- und Business-Anwendungen implementieren lassen. So können zum Beispiel Web-Services auf Basis von .NET, Java, C++ oder Perl miteinander kommunizieren, obwohl sie auf unterschiedlichen Applikations-Servern bereitgestellt werden. Die Authentisierung und Autorisierung regelt die mit dem Sicherheitsstandard WS-Security 1.0 konforme Lösung einheitlich und übergreifend.

Die Excelsis-Software basiert auf Standardprodukten aus dem Open-Source-Umfeld. Zum Einsatz kommen Open LDAP als Directory-Server, die Servlet- und JSP-Engine Jakarta Tomcat, der Web-Server von Apache sowie Apache-Module zur Authentifizierung gegenüber LDAP. Das Prozedere läuft wie folgt ab: Der Security Proxy empfängt beliebige HTTP-basierende Anfragen von Clients und nimmt für diese eine Authentisierung gegenüber dem Directory vor. Bei erfolgreichem Verlauf wird der Anfrage ein Security Token hinzugefügt und dem Applikations-Server übergeben. Der Security Proxy wird in dieser Konfiguration aus Sicherheitsgründen in der demilitarisierten Zone platziert.

Ein anderes zentrales Element der Excelsis-Lösung ist der Directory-Adapter, der die für jeden Applikations-Server spezifischen Informationen zur Autorisierung in ein normiertes Format transformiert, um sie dann im Verzeichnis-Server etwa von Open LDAP abzulegen. Für das Lesen und Schreiben der Autorisierungsdaten in das Directory stehen Plug-ins für Weblogic, Websphere und Jboss zur Verfügung. Darüber hinaus ist eine Bereitstellung der Autorisierungsmechanismen über Naming- und Directory-Dienste von JNDI möglich. (ue)

Abb: Zugriff einheitlich geregelt

Excelsis Enterprise Security soll für eine einheitliche, übergreifend geregelte Authentisierung und Autorisierung in mehrschichtigen Client-Server-Umgebungen sorgen. Quelle: Excelsis Informationssysteme GmbH