Security
7/1 NetWare-beveiliging 7/1.1
Inleiding
Wanneer u gebruikmaakt van NetWare als besturingssysteem, krijgt u daar een aantal vormen van beveiliging automatisch bijgeleverd. Er is beveiliging die te maken heeft met inloggen, beveiliging die bepaalt hoe u toegang krijgt tot het bestandssysteem, beveiliging op eDirectory en niet als minste de Novell Modular Authentication Services (NMAS). In dit hoodstuk wordt een overzicht gegeven van deze standaardbeveiligingen van NetWare. De verschillende aspecten die aan de orde komen, zijn alle van toepassing op elke NetWare-versie vanaf NetWare 4. Sommige vormen van beveiliging, zoals de login security en file system security, stammen zelfs uit een nog grijzer verleden. Alleen NMAS wordt pas standaard meegeleverd vanaf NetWare 6.0, al is het wel als apart product voor eerdere versies verkrijgbaar.
Toegang eDirectory resource
In alle NetWare-versies vanaf NetWare 4.0 speelt de NDS, later eDirectory, een centrale rol in de beveiliging van het besturingssysteem. Niet alleen wordt hierin met behulp van rechten bijgehouden wie op welke objecten rechten heeft, ook wordt het authenticatieproces door eDirectory geregeld. Hiervoor wordt gebruikgemaakt van public en private keys. Hierna wordt uiteengezet op welke wijze toegang wordt verleend tot een eDirectory resource. 1. De gebruiker meldt zich aan. Hierbij worden credentials en een signature bepaald. De credential is een tekenreeks die bestaat uit de nodige informatie van de
Novell Netwerkoplossingen, aanvulling 10
7/1.1-1
NetWare-beveiliging
gebruiker, zoals de log-intijd van de gebruiker en zijn netwerkadres, gecombineerd met een houdbaarheidsperiode. Naast de credentials wordt gebruikgemaakt van een signature. De signature is het resultaat van encryptie van de credentials met behulp van de private key van de gebruiker. U ziet waarschijnlijk al waar dit naartoe gaat: op het moment dat de andere partij in de communicatie de signature kan ontcijferen met behulp van de public key van de betreffende gebruiker, is deze geauthenticeerd. 2. De gebruiker in kwestie vraagt toegang tot een bepaalde toepassing. 3. De client van het werkstation waarop de gebruiker werkt, begint met het verzenden van een request naar de betreffende service. 4. Als antwoord stuurt de betreffende service een willekeurig getal terug naar de client. Dit willekeurige getal wordt alleen gebruikt voor de lopende transactie. 5. De client bewijst dat de credential én het willekeurige getal goed zijn door gebruik te maken van zijn signature. 6. Vervolgens stuurt de client het willekeurige getal, de credential en het bewijs dat met behulp van zijn signature is gegenereerd, terug naar de service. 7. De service verifieert vervolgens dit bewijs. Wanneer dit afdoende is gebeurd, staat de identiteit van de gebruiker vast. 8. Het willekeurige getal bewijst bovendien dat de gegevens die door de service zijn ontvangen, ook van de beoogde afzender zijn. Wanneer iemand anders de connectie zou hebben gekaapt, zou dit willekeurige getal namelijk niet gelijk zijn. 9. De service stuurt nu een bevestiging terug. 10. De gebruiker verkrijgt toegang tot de beoogde service.
7/1.1-2
Novell Netwerkoplossingen, aanvulling 10
Security
7/1.2
Verschillende rechtensystemen in een Novell-omgeving
Zoals gezegd, zijn er binnen een Novell-omgeving verschillende manieren waarop aan beveiliging kan worden gedaan. We zetten de belangrijkste op een rij. 7/1.2.1 Log-inbeveiliging Het eerste niveau van beveiliging waarmee een gebruiker te maken krijgt, is log-inbeveiliging. Dit is de manier van beveiliging die aan individuele gebruikersaccounts is verbonden. In ConsoleOne vindt u de instellingen die te maken hebben met log-inbeveiliging op het tabblad Restrictions. De volgende manieren van log-inbeveiliging bestaan in een Novell-omgeving:
De eerste manier van beveiliging waarmee een gebruiker in een Novellomgeving wordt geconfronteerd, is log-inbeveiliging.
Novell Netwerkoplossingen, aanvulling 10
7/1.2-1
NetWare-beveiliging
•
•
•
7/1.2-2
Password restrictions Hiermee wordt bepaald aan welke eigenschappen een wachtwoord moet voldoen. Vooral de houdbaarheid en de minimale lengte van een wachtwoord zijn belangrijke issues. U kunt aangeven of gebruikte wachtwoorden uniek moeten zijn; het is echter niet mogelijk onderscheid te maken tussen gebruik van hoofd- en kleine letters. Ook is er geen optie om aan te geven dat er bepaalde tekens in het wachtwoord moeten voorkomen. Denk bijvoorbeeld aan de optie dat er minimaal één teken moet worden gebruikt dat geen letter is. Login restrictions Met behulp van deze instellingen kunnen beperkingen aan het inloggen van een gebruiker worden opgelegd. Denk bijvoorbeeld aan de mogelijkheid een account te disabelen zodat het niet langer kan worden gebruikt; of een account automatisch na een bepaalde datum te laten verlopen. Deze optie is erg handig om er, bijvoorbeeld, voor te zorgen dat het account van een uitzendkracht die tijdens de vakantie zes weken de gelederen komt versterken, automatisch na die zes weken ook weer vervalt. Time restrictions Wanneer u zeker weet dat er ’s nachts en in het weekend nooit iemand op de zaak is om te werken, kunt u er door middel van time restrictions voor zorgen dat er op die tijdstippen ook niet kán worden gewerkt. Wij raden u echter aan hier spaarzaam mee te zijn; in veel bedrijven zijn er namelijk maar weinig uren waarop het nooit voorkomt dat iemand moet inloggen. In tijden van extreme drukte moet het vanuit het belang van de zaak ook mogelijk zijn dat een salesmedewerker om twee uur ’s nachts inbelt om een rapportage te uploaden.
Novell Netwerkoplossingen, aanvulling 10
Security
•
•
Address restrictions Voor gebruikers die een extra laag beveiligingsniveau nodig hebben, kan gebruik worden gemaakt van address restrictions. Door middel van deze address restrictions kunt u ervoor zorgen dat een gebruiker alleen vanaf zijn eigen IP-adres mag inloggen. Wordt er ingelogd vanaf een ander adres, dan komt de gebruiker er gewoon niet in, ook al kent hij wel het juiste wachtwoord. Intruder lockout Intruder lockout is de politieagent die ervoor zorgt dat het te vaak verkeerd inloggen door een gebruiker wordt afgestraft. De straf bestaat erin dat het account voor een bepaalde periode op slot gaat. Er kan voor worden gekozen het account automatisch weer vrij te geven; het is ook mogelijk dat gebruikers pas weer kunnen inloggen nadat het account handmatig door de beheerder is vrijgegeven.
7/1.2.2 File system-rechten Misschien wel het belangrijkste niveau waarop beveiliging wordt toegepast in een Novell-omgeving, is op het bestandssysteem. De standaardinstelling is dat gebruikers vrijwel nergens op de Novell-server iets kunnen doen. Het is belangrijk dat u zich dit realiseert, vooral wanneer u bijvoorbeeld gewend bent te werken met Microsofts Windows 2000, want dan is de situatie precies omgekeerd. Om ervoor te zorgen dat men toch iets zinnigs kan doen met bestanden die op de server voorkomen, moet u gebruikmaken van file system security.
Acht rechten
In file system security kan gebruik worden gemaakt van acht rechten die bepalen wat er allemaal mogelijk is:
Novell Netwerkoplossingen, aanvulling 10
7/1.2-3
NetWare-beveiliging
•
•
• • • •
•
•
7/1.2-4
File Scan: Het recht om te zien dat een bestand of directory voorkomt in een bepaalde directory. Wanneer u alleen File Scan hebt, kunt u het betreffende bestand nog niet openen; u kunt alleen zien dat het bestaat. Read: Het recht om een bestand in te lezen. Dit is het recht dat u nodig hebt om de inhoud van een bestand te kunnen bekijken of een programmabestand op te starten. Create: Het recht om bestanden en/of directory’s aan te maken in een directory. Write: Het recht om de inhoud van een bestaand bestand te wijzigen. Erase: Het recht om bestanden of directory’s te verwijderen. Modify: Het recht om eigenschappen van een bestand aan te passen. Denk daarbij aan eigenschappen zoals de naam en de eigenaar van een bestand, maar bijvoorbeeld ook aan de attributen die op een bestand zijn ingesteld. Access Control: Het recht om anderen rechten te geven. Als een gebruiker alleen Access Control heeft op een bepaalde directory, mag hij alle andere rechten (met uitzondering van Supervisory) aan andere gebruikers geven. Supervisory: Het alles-recht. De gebruiker die dit recht heeft, is in staat om anderen rechten te geven, inclusief het Supervisory-recht. Vanwege de vergaande mogelijkheden die dit recht te bieden heeft, is het verstandig dit recht alleen te reserveren voor de systeembeheerder.
Novell Netwerkoplossingen, aanvulling 10
Security
Door middel van file system-rechten wordt bepaald op welke bestanden en directory’s gebruikers toegang hebben.
7/1.2.3 Attributen Met behulp van rechten op het bestandssysteem bepaalt u welke gebruiker wat mag doen met bepaalde bestanden. Rechten zijn dus gebonden aan gebruikers. Voor attributen geldt dit niet. Attributen zijn instellingen die u op bestanden en directory’s kunt toepassen en die gewoon voor alle gebruikers gelden. Wanneer een bestand dus bijvoorbeeld read-only is, dan geldt dat voor iedereen. Het enige belangrijke criterium wat betreft de geldigheid van attributen, is het Modify-recht. Als bijvoorbeeld de gebruiker admin wordt geconfronteerd met een bestand waarop het attribuut read-only is ingesteld, kan hij zijn Modify-recht gebruiken om dit attribuut er weer af te halen.
Novell Netwerkoplossingen, aanvulling 10
7/1.2-5
NetWare-beveiliging
Met behulp van attributen kunt u bescherming instellen op bestands- of directory-niveau, ongeacht de gebruiker die het bestand benadert.
7/1.2.4 Toegangslijstjes Een heel andere vorm van beveiliging zijn de toegangslijstjes die aan sommige resources in het netwerk zijn verbonden. Een voorbeeld van zo’n toegangslijstje zijn de printerobjecten. U kunt op printers namelijk lijstjes definiëren van gebruikers die toestemming hebben het betreffende object te gebruiken. Dit heeft helemaal niets met eDirectory-rechten te maken; deze lijstjes zijn gewoon property’s van de objecten. Het gebruik van dergelijke lijstjes stamt nog uit een grijs verleden toen er nog geen eDirectory of NDS bestond. Ook op moderne objecten komt het gebruik van lijstjes echter nog steeds voor.
7/1.2-6
Novell Netwerkoplossingen, aanvulling 10
Security
Op sommige objecten moeten speciale lijstjes aangemaakt worden verbonden waarin wordt aangegeven wie er rechten op hebben.
7/1.2.5 eDirectory-rechten Wellicht het meest ingrijpende en universele systeem van rechten in een Novell-omgeving, is het systeem van eDirectory-rechten. Als korte typering hiervoor kan worden gegeven dat eDirectory-rechten worden gebruikt om objecten toegang te geven op andere objecten. Dit kan gaan om pure beheersfunctionaliteit, het kan echter ook gaan om het gebruik van objecten. In het volgende bespreken we uitgebreid de mogelijkheden die door middel van eDirectory-rechten worden geboden.
Novell Netwerkoplossingen, aanvulling 10
7/1.2-7
NetWare-beveiliging
7/1.2-8
Novell Netwerkoplossingen, aanvulling 10
Security
7/1.3
eDirectory-rechten in detail
Waar het bij eDirectory om gaat, is gebruikers toegang te geven tot eDirectory resources. U hebt in de inleiding al kunnen lezen hoe dat werkt. eDirectory security wordt gebruikt om te specificeren wie informatie in eDirectory kan benaderen en hoe deze informatie dan kan worden benaderd. Zo heeft een gebruiker bijvoorbeeld rechten nodig om te kunnen inloggen op de eDirectory tree, daarnaast heeft een gebruiker bijvoorbeeld ook rechten nodig om zijn log-inscript te kunnen uitvoeren. eDirectory-rechten zijn dus essentieel voor het functioneren van uw netwerk, toch hoeft er niets aan eDirectory-rechten te worden gedaan opdat gebruikers kunnen inloggen. Dit komt omdat er gebruik wordt gemaakt van standaardrechten waarmee dergelijke processen gewoon voortgang kunnen vinden. 7/1.3.1 Standaard-eDirectory-rechten Bij het aanmaken van een eDirectory tree zorgen standaardrechten ervoor dat het belangrijkste werk zonder problemen kan worden uitgevoerd. • De gebruiker admin heeft Supervisor-rechten op de root. Hierdoor kan admin het totale beheer uitvoeren over de gehele eDirectory tree. Bovendien heeft Admin ook Supervisor-rechten op alle bestanden en alle serverobjecten in de tree, zodat hij ook daar zijn werk kan doen. • De trustee public wordt gebruikt om te verwijzen naar iedereen die contact heeft met de tree, zelfs als er nog niet is ingelogd. Deze public trustee heeft Browse-rechten op de volledige tree. Hierdoor heeft iedereen rechten om alle objecten in de gehele tree te zien. Dit is overigens iets dat u vanuit oogpunt
Novell Netwerkoplossingen, aanvulling 10
7/1.3-1
NetWare-beveiliging
van beveiliging goed in de gaten moet houden. Voor hackers kan deze informatie namelijk zeer interessant zijn.
Default-rechten geven gebruikers toegang tot die zaken waarop ze toegang moeten hebben.
7/1.3.2 Trustees en inherited rights Een belangrijk begrip bij het werken met eDirectory-rechten, is de trustee. Een trustee is een object dat is toegevoegd aan de Access Control List van een ander object. We kunnen ons voorstellen dat u niet zo heel veel kunt met deze definitie, dus laten we deze iets beter analyseren.
ACL
7/1.3-2
Elk object in eDirectory heeft een Access Control List (ACL). In deze ACL staat genoteerd wie er allemaal rechten hebben op dat object; anders geformuleerd: alle rechthebbenden die in de ACL zijn opgenomen, zijn trustees van
Novell Netwerkoplossingen, aanvulling 10
Security
dat object. Een voorbeeld: gebruiker Fozia is trustee op de container corp. Ze heeft daar het Supervisor-recht en kan dus alles doen. In onderstaande afbeelding ziet u Fozia ook duidelijk als trustee terug: klik met de rechtermuisknop op het betreffende containerobject, selecteer vervolgens uit het snelmenu de optie Trustees of this object en u ziet wie er allemaal trustee zijn. Als u vervolgens ook wilt zien welke rechten deze trustee heeft, kunt u ook nog op de knop Assigned Rights klikken; deze knop geeft u een volledig overzicht van alle rechten die zijn toegekend.
Trustees van een object kunnen worden getoond met de optie Trustees of this object.
Nu komt er onder de container corp een container voor met de naam boekh. Is Fozia nu ook trustee van deze container boekh? Wanneer u op de hiervoor beschreven wijze kijkt,
Novell Netwerkoplossingen, aanvulling 10
7/1.3-3
NetWare-beveiliging
blijkt dat dit niet het geval is. Fozia wordt niet genoemd in het lijstje dat wordt getoond door de optie Trustees of this object.
Fozia is geen trustee van een container die voorkomt onder corp.
Een heel andere vraag is of Fozia ook rechten heeft op deze container. Het antwoord op deze vraag is ja, dat heeft ze. Niet omdat ze trustee is van boekh, maar omdat ze trustee is van het containerobject waarin boekh voorkomt. Hoe dat kan? Dit is veroorzaakt door het mechanisme van inheritance. Dit mechanisme zorgt ervoor dat een gebruiker rechten heeft op alle objecten die voorkomen onder het object waar deze gebruiker trustee van is. U kunt dit overigens op de volgende wijze achterhalen: 1. Klik met de rechtermuisknop op het object waarvoor u wilt zien welke rechten erop van toepassing zijn en selecteer de optie Trustees of this object.
7/1.3-4
Novell Netwerkoplossingen, aanvulling 10
Security
2.
3.
Selecteer nu de optie Effective Rights en selecteer in het kader For Trustee de trustee waarvoor u de effectieve rechten wilt bekijken. Selecteer nu de optie All Attributes Rights om de rechten op attributen te bekijken of Entry Rights om de rechten op de objecten zelf te bekijken. In ons voorbeeld van zojuist zult u zien dat gebruiker Fozia gewoon alle rechten heeft die ze als trustee op de bovenliggende directory ook heeft gekregen.
Met behulp van de knop Effective Rights kunt u de effectieve rechten van een gebruiker bekijken, of die nu verkregen zijn doordat de gebruiker trustee is of niet.
Uit het bovenstaande is gebleken dat de ACL een zeer belangrijk onderdeel is voor het werken met rechten op de NDS. We kunnen eigenlijk wel zeggen dat het het meest belangrijke onderdeel is: de ACL is immers de lijst waarin wordt bijgehouden wie er allemaal rechten hebben op een object. Voor alle duidelijkheid nogmaals: geërfde rechten worden niet opgeslagen in de ACL. Tijdens het werken met
Novell Netwerkoplossingen, aanvulling 10
7/1.3-5
NetWare-beveiliging
rechten op eDirectory moet u deze ACL ook bijzonder goed in de gaten houden. U kunt zich misschien voorstellen wat er effectief gebeurt wanneer iemand per ongeluk schrijfrechten op de ACL krijgt… 7/1.3.3 Wie worden er trustee? Bij het werken met rechten in een Novell-omgeving, zult u zich heel goed moeten afvragen aan wie u de rechten uiteindelijk wilt geven. U hebt de mogelijkheid rechten uit te delen aan individuele gebruikers, maar dat is niet altijd de meest eenvoudige wijze om met rechten te werken. Over het algemeen kunt u rechten uitdelen aan de volgende objecten: • Users; • Organizational Role; • Group; • Containers; • Tree; • Public. Users Alleen wanneer een recht van toepassing moet zijn voor één specifieke persoon, zou u kunnen overwegen dit recht rechtstreeks aan de betreffende persoon te geven. Een voorbeeld hiervan is de gebruiker admin die automatisch beheerdersrechten krijgt op de tree. In de meeste gevallen is dit echter niet aan te raden met rechten die u aan individuen geeft – dit komt namelijk de overzichtelijkheid van uw netwerk niet ten goede. Zelfs wanneer u rechten zou willen uitdelen aan een enkele persoon, is het de moeite waard te overwegen of u daarvoor niet beter gebruik kunt maken van een functionele rol. Speciaal voor dit doel is de Organizational Role in het leven geroepen.
7/1.3-6
Novell Netwerkoplossingen, aanvulling 10
Security
Occupant
Organizational Role Een Organizational Role is een NDS-object dat kan worden gebruikt voor een bepaalde functie binnen het bedrijf. Zo hebt u niet de persoon Petra, maar de functie medewerker helpdesk. In plaats van de rechten rechtstreeks te koppelen aan een persoon, is het veel handiger deze rechten aan zo’n Organizational Role te verbinden. Het voordeel? Op het moment dat de persoon die deze rol opneemt, iets anders gaat doen, hoeft u alleen maar de persoon van de Organizational Role los te koppelen en er iemand anders voor in de plaats neer te zetten. Om personen aan een Organizational Role te verbinden, maakt u gebruik van de Property Occupant. 1. Klik met de rechtermuisknop op de container waarin u een Organizational Role wilt aanmaken, selecteer de optie New en vervolgens Object. 2. Selecteer in het venster New Object de optie Organizational Role. 3. Geef een naam aan de aan te maken rol, bijvoorbeeld ‘medewerker helpdesk’. Selecteer de optie Define additional properties en klik op OK om de rol aan te maken. 4. Op het tabblad General, Identification vindt u de optie Occupant. Zorg ervoor dat hier alle namen worden vermeld van gebruikers die u aan deze rol wilt toekennen. Gebruik hiervoor de browse-knop rechts van deze optie.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-7
NetWare-beveiliging
Om personen lid te maken van een Organizational Role, werkt u met de optie Occupant.
Group Een van de meest gebruikte manieren om rechten uit te delen, is het fenomeen Group. Hoe het werkt? Eigenlijk lijkt het qua toepassing heel veel op de Organizational Role. Om te beginnen maakt u een groepsobject aan. Zo’n groep kunt u bijvoorbeeld de naam van een afdeling geven: creëer een groep ‘Boekhouding’ en maak daar alle gebruikers lid van die op die afdeling werken. Vervolgens geeft u de groep ergens rechten op en de mensen die lid zijn van de groep, krijgen deze rechten automatisch ook. U kunt geen verschil zien met het gebruik van een Organizational Role? Dat is er ook niet. Het enige verschil tussen een Organizational Role en een groep is een functioneel verschil. Vaak worden Organizational Roles gebruikt om rechten uit te delen in de eDirectory aan mensen die een bepaalde functie vervullen. 7/1.3-8
Novell Netwerkoplossingen, aanvulling 10
Security
U hebt hiervan in het voorgaande een voorbeeld gezien bij het aanmaken van de Organizational Role ‘medewerker helpdesk’. Voor alle duidelijkheid: we hadden hier even goed voor een groep kunnen kiezen. Groepen echter worden vaker gebruik om rechten uit te delen op directory’s in het bestandssysteem. Stel u bijvoorbeeld voor dat er een gedeelde directory DATA:GROEPEN\BOEKH op uw server voorkomt. Dit is de directory waarin alle boekhouders bestanden met elkaar kunnen delen. Het is dan handig om de groep boekhouders rechten te geven tot die directory. Daarnaast zou u applicatiedirectory’s op uw server kunnen hebben. Denk aan een APPS:\WP en een APPS:\DB. Niets handiger om voor elk van die directory’s een overeenkomstige groep in eDirectory aan te maken. De groepen geeft u vervolgens rechten op het bestandssysteem en u zorgt ervoor dat iedere gebruiker lid is van de groepen die hij nodig heeft. Nogmaals: groepen en Organizational Roles kunnen voor hetzelfde worden gebruikt. Het is echter aan te raden in uw implementatieplan een duidelijk onderscheid tussen beide te maken; zo houdt u uw tree namelijk overzichtelijk. Groep aanmaken
Om een groep aan te maken en daar personen lid van de maken, gaat u als volgt te werk: 1. Klik met de rechtermuisknop op de container waarin u de groep wilt aanmaken. Selecteer uit het snelmenu de optie New en vervolgens de optie Group. 2. Voer de naam in van de groep die u wilt aanmaken. Selecteer vervolgens de optie Define additional properties en klik op OK om de groep aan te maken. 3. Selecteer nu het tabblad Members. Op dit tabblad kunt u met behulp van de knop Add gebruikersobjecten lid maken van de groep.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-9
NetWare-beveiliging
Om personen lid te maken van een groep, gebruikt u het tabblad Members.
Containers In het voorgaande hebben we eerst een Organizational Role en vervolgens een groep of Group aangemaakt en daar personen lid van gemaakt. Het kan ook anders: u kunt ook gewoon werken met containers en daaraan rechten geven. Alle objecten die voorkomen in een container erven namelijk automatisch de rechten van die container. U wilt ervoor zorgen dat alle gebruikers in de container corp eDirectory rechten krijgen om het een of ander uit te voeren? Gebruik dan gewoon de container als trustee. Wel zo gemakkelijk. Dit verhaal geldt natuurlijk voor de Organization- en Organizational Role-containers die u binnen de directory aantreft. Als alternatief kunt u echter ook gewoon gebruik-
7/1.3-10
Novell Netwerkoplossingen, aanvulling 10
Security
maken van het tree-object. Dit is immers niets meer of minder dan de bovenste container in uw eDirectory-tree. Wanneer u het tree-object ergens rechten op geeft, gelden deze rechten automatisch voor alle objecten in de gehele tree. U moet dus wel oppassen met de rechten die u aan het tree object geeft. Public Een trustee-object waarvoor u helemaal moet oppassen, is de public trustee. Er is overigens iets merkwaardigs aan de hand met deze trustee. Hij bestaat namelijk nergens binnen de eDirectory-tree, maar verschijnt wel overal als u rechten aan het uitdelen bent.
De public trustee bestaat nergens in de tree, maar u kunt er wel rechten aan geven.
Het is goed te verklaren dat de public trustee nergens in de tree voorkomt. Deze trustee valt namelijk buiten de tree; hij staat erboven. De public trustee staat immers voor alle gebruikers die wel verbonden zijn met uw tree, maar zich
Novell Netwerkoplossingen, aanvulling 10
7/1.3-11
NetWare-beveiliging
nog niet door middel van authenticatie hebben bekendgemaakt. U moet dus verschrikkelijk goed oppassen wanneer u met deze trustee aan het werk wilt: rechten van public trustee gelden voor iedereen, ook voor de hacker die erin slaagt uw tree te benaderen. Ons advies? Gebruik de public trustee nooit.
Twee niveaus
7/1.3.4 De rechten Wanneer u rechten wilt uitdelen op eDirectory, moet u zich om te beginnen realiseren dat deze rechten op twee niveaus kunnen worden uitgedeeld. Om te beginnen zijn er de object (entry) rights. Deze geven u het recht om iets met een object te doen. Naast de objectrechten, zijn er de property- (attribute-) rechten. Dit zijn rechten die het mogelijk maken om iets met de eigenschappen van een object te doen. In principe hebben deze twee sets rechten niets met elkaar te maken. De enige uitzondering op deze regel is het geval waarin een gebruiker Supervisor-rechten op het object heeft. Supervisorrechten hebben op een object betekent namelijk automatisch ook Supervisor-rechten hebben op alle eigenschappen van het object. Voor de rest is er geen overlap. Neem het volgende voorbeeld. Uw buurman heeft een grote doos in zijn tuin staan. U hebt van hem het recht gekregen naar deze doos te kijken. Betekent dat dat u ook mag zien wat erin zit? Nee! U hebt het objectrecht ‘kijken’ gekregen op het object ‘doos’. U hebt echter geen property-rechten gekregen die u toestaan te zien wat de eigenschappen van het object zijn. De volgende entry-rechten kunnen worden uitgedeeld: • Supervisor (S) Dit is het recht alles te doen met het object. Wanneer een trustee Supervisor-rechten heeft op een object,
7/1.3-12
Novell Netwerkoplossingen, aanvulling 10
Security
•
•
•
•
•
volgt daar automatisch uit dat hij ook Supervisorrechten heeft op de property’s van het object. Browse (B) Met dit recht wordt het mogelijk gemaakt te zien welke objecten er bestaan in de tree. Browse is het minimale recht dat u nodig hebt voordat een object kan worden gebruikt; zonder Browse kunt u het immers niet zien en wordt het gebruik erg lastig (maar niet onmogelijk). Create (C) Het Create-recht staat de trustee toe objecten aan te maken. Omdat in een leaf-object geen andere objecten kunnen worden aangemaakt, is het Create-recht alleen van toepassing op containerobjecten. Delete (D) Trustees met het Delete-recht hebben de mogelijkheid een object uit de tree te verwijderen. Rename (R) Wanneer u het Rename-recht hebt, mag u de naam van een object wijzigen. Inheritable (I) Dit recht maakt het mogelijk dat objecten die op een container zijn toegepast, ook gelden voor alle objecten die onder die container voorkomen. Dit recht staat standaard aan, maar kan worden uitgezet als u wilt voorkomen dat rechten automatisch worden geërfd. In nauwe relatie met dit recht, bestaat er ook het Inherited Rights Filter (zie verderop in deze paragraaf). Eigenlijk is Inheritable geen recht, maar een specificatie van hoe er met de rechten moet worden omgegaan.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-13
NetWare-beveiliging
De Entry-rechten bepalen wat een gebruiker met een eDirectory-object kan doen.
Zoals gezegd bestaan er naast de Entry-rechten ook attribuutrechten. Hiermee wordt bepaald welke eigenschappen van een object mogen worden aangepast. Bij het werken met attribuutrechten is het belangrijk hoe u deze rechten uitdeelt. Het is namelijk mogelijk rechten te geven op alle attributen (zie All Attributes Rights); daarnaast kunnen ook rechten worden gegeven op afzonderlijke attributen. Het is belangrijk te weten dat de rechten die op afzonderlijke attributen worden gegeven, de rechten op alle attributen overschrijven. Dit wordt gedemonstreerd in de volgende procedure waarin rechten uitgedeeld worden gegeven op een volkomen willekeurig eDirectory-object: 1. Selecteer een willekeurige container, klik daar met de rechtermuisknop op en selecteer de optie New, Object. Selecteer vervolgens een willekeurig object, bijvoorbeeld een AFP-server.
7/1.3-14
Novell Netwerkoplossingen, aanvulling 10
Security
2.
3.
4.
5.
Klik met de rechtermuisknop op het object dat u zojuist hebt aangemaakt en selecteer uit het snelmenu de optie Trustees of this Object. Klik op de knop Add Trustee om een trustee toe te voegen. Selecteer een willekeurige gebruiker aan wie u rechten wilt geven. Selecteer nu in het venster Rights assigned to selected objects de optie All attribute rights en klik hier de rechten Compare, Read en Write aan. Klik nu op de knop Add Property en selecteer de property ACL. Klik op OK wanneer u deze property hebt geselecteerd. Specificeer nu voor deze property alleen de rechten Compare en Read.
Rechten toegekend op een afzonderlijke property overschrijven de rechten die met behulp van de optie All Properties zijn toegevoegd.
Het resultaat van bovenstaande procedure is dat de rechten op de ACL-property alleen staan ingesteld op Read en
Novell Netwerkoplossingen, aanvulling 10
7/1.3-15
NetWare-beveiliging
Compare. Hiermee wordt de standaardinstelling waarmee Write, Read en Compare op alle property’s is ingesteld, overschreven. De volgende rechten kunnen uitgedeeld worden op property’s: • Supervisor (S) Geeft de eigenaar van het recht alle rechten op alle property’s. • Compare (C) Maakt het mogelijk de waarde van een property te vergelijken met een waarde die in een query is opgegeven. Met behulp van dit recht kan een gebruiker bijvoorbeeld een lijst opvragen van alle groepen waarvan hij lid is, zonder dat kan worden gezien wie er nog meer lid zijn van die groep. Dit recht wordt echter nooit afzonderlijk gebruikt. • Read (R) Biedt de mogelijkheid de waarde van de property uit te lezen. • Write (W) Geeft toestemming de waarde van een property te wijzigen. Pas in het bijzonder op met de ACL-property, het Write-recht op de ACL-property is namelijk effectief gelijk aan het Supervisor-recht op het object zelf! • Add/Remove Self (A) Dit recht verschaft de mogelijkheid dat een gebruiker zichzelf toewijst of verwijdert als lid. Dit recht is alleen van toepassing op mailing lists waarop gebruikers zichzelf kunnen abonneren. • Inheritable (I) Hiermee kan worden aangegeven dat rechten die zijn ingesteld op een container ook moeten gelden voor alle objecten die onder die container voorkomen. Dit
7/1.3-16
Novell Netwerkoplossingen, aanvulling 10
Security
recht is bijvoorbeeld bijzonder handig om ervoor te zorgen dat een medewerker van de helpdesk in staat is de wachtwoorden van alle gebruikers in de eDirectory-tree te resetten voor het geval een gebruiker zijn wachtwoord is vergeten.
Resetten wachtwoord
In de volgende procedure wordt een voorbeeld met het resetten van een wachtwoord uitgewerkt: 1. Klik met de rechtermuisknop op uw tree-object en selecteer de optie Trustees of this Object. 2. Klik op de knop Add Trustee om een nieuwe trustee toe te voegen. 3. Selecteer de gebruiker of Organizational Role waaraan u de rechten voor de helpdeskmedewerker wilt verbinden. 4. Klik nu op Add Property om alleen rechten voor één specifieke property in te stellen. 5. Er verschijnt nu een lijst waarin u alleen de property’s ziet die aan het tree-object kunnen worden toegekend. Klik op de knop Show all Properties om alle property’s die in uw eDirectory-tree bestaan, te zien. U zult zien dat de lijst van getoonde opties hierdoor aanmerkelijk langer wordt.
Gebruik de optie Show all properties om alle eigenschappen die in de tree bestaan, te zien te krijgen.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-17
NetWare-beveiliging
6.
7.
Blader naar de property Password Management en selecteer deze door op OK te klikken. Houd er rekening mee dat de lijst met property’s op een merkwaardige wijze alfabetisch is gesorteerd. U ziet eerst alle hoofdletters op alfabet en daarna alle kleine letters. Stel nu de rechten op deze property in op Compare, Read en Write. Als u het hierbij laat, hebt u iets zinloos gedaan. Zonder dat het recht Inheritable is geselecteerd, zegt u hier immers mee dat u het wachtwoord van de eDirectory-tree mag beheren. Wanneer u de optie Inheritable aanklikt, bereikt u hiermee het effect dat u de wachtwoorden van alle gebruikers die in de hele eDirectory-tree voorkomen kunt resetten.
Met het recht Inheritable kunt u ervoor zorgen dat één bepaalde property op alle objecten in de NDS-tree kan worden beheerd.
7/1.3-18
Novell Netwerkoplossingen, aanvulling 10
Security
7/1.3.5 Inheritance- en effectieve rechten In het voorgaande hebben we er al vaker op gewezen dat rechten in de eDirectory-tree worden geërfd. Als gebruiker admin Supervisory heeft op het tree-object, geldt dat standaard ook voor alle objecten die daaronder voorkomen. Inheritance is dus de standaardregel. Toch zijn er twee belangrijke uitzonderingen op deze standaardregel. Als eerste is dat het geval waarin een trustee opnieuw rechten krijgt toegekend. Daarnaast kan gebruik worden gemaakt van Inherited Rights Filters om het erven van rechten tegen te houden. Tot slot moet u nog weten hoe rechten die een object op verschillende manieren heeft gekregen, zich tot elkaar verhouden. We zullen alle drie de zaken aan de hand van een voorbeeld uitwerken. Uitzondering 1: Hetzelfde object krijgt opnieuw rechten Wanneer een gebruiker hoog in de tree rechten heeft gekregen, worden deze rechten automatisch geërfd op alle objecten die onder het punt voorkomen waarop de rechten waren uitgedeeld. Een uitzondering op deze regel doet zich voor wanneer dit object opnieuw rechten krijgt toegewezen. We zullen dit aantonen aan de hand van een voorbeeld. Gebruiker Nadia krijgt Browse-, Create- en Deleterechten op een hoog punt in de tree. Op een lager punt in de tree maken we Nadia opnieuw trustee, maar nu alleen met het Browse-recht. U zult zien dat de rechten die als laatste zijn gegeven, de eerdere rechten overschrijven. 1. Selecteer de Organization in uw eDirectory-tree. Klik hier met de rechtermuisknop op en selecteer de optie Trustees of this object. Gebruik de knop Add Trustee om een nieuwe trustee toe te voegen. Geef deze trustee de Entry Rights Browse, Create en Delete. Verzeker u ervan dat ook het recht Inheritable is geselecteerd.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-19
NetWare-beveiliging
2.
Blader nu naar een object dat voorkomt onder de Organization waarop u zojuist rechten hebt uitgedeeld. Klik op de knop Effective Rights en selecteer in het kader For Trustee boven in het scherm de trustee waarvoor u de rechten wilt bekijken. Wanneer u in het kader Property de optie Entry Rights selecteert, zult u hier de rechten Browse, Create en Delete geselecteerd zien staan. Dit is een bewijs van de algemene regel van Inheritance.
Rechten die hoog in de tree zijn gegeven, erven door naar alle objecten onder het punt waarop de rechten gegeven zijn.
3.
4.
7/1.3-20
Selecteer nu een container onder de Organization waarin u zojuist het trustee assignment hebt gedaan. In ons voorbeeld hebben we rechten gegeven op o=ema, wij selecteren nu de container ou=nyc.o= ema. Klik met de rechtermuisknop op deze container en selecteer de optie Trustees of This Object. Selecteer
Novell Netwerkoplossingen, aanvulling 10
Security
5.
vervolgens de optie Add Trustee en voeg dezelfde gebruiker als zojuist is gebruikt, als trustee toe. Zorg er nu voor dat voor de property Entry Rights alleen het recht Rename is geselecteerd. Verzeker u er ook hier van dat de optie Inheritable aanstaat. Sla de wijzigingen op door op OK te klikken. Sluit ook het venster waarin u de trustee ziet door op OK te klikken. Dit zorgt er namelijk voor dat de wijzigingen ook daadwerkelijk in de eDirectory worden weggeschreven. Selecteer nu een willekeurig object dat voorkomt in de container waar u zojuist het nieuwe trustee assignment hebt gedaan en bekijk daar de effectieve rechten. U zult zien dat alleen de rechten die u als laatste hebt toegevoegd als effectieve rechten staan genoemd. Het kan overigens zijn dat ook Browse tussen de effectieve rechten staat. Dit komt omdat iedere gebruiker in de directory ook de rechten van de public trustee erft. In ons voorbeeld heeft gebruiker Nadia dus van zichzelf alleen het recht Rename over. We hebben echter ook een public trustee die het recht Browse heeft; de effectieve rechten van Nadia moeten dus worden opgeteld bij de rechten die ze als onderdeel van de Public trustee heeft gekregen.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-21
NetWare-beveiliging
Het bewijs: later toegekende rechten overschrijven de rechten die een trustee op een eerder punt heeft gekregen.
Met de voorgaande demonstratie hebben we twee dingen bewezen. Als eerste hebben we gezien dat op het moment dat een trustee opnieuw rechten krijgt, alle rechten die diezelfde trustee eerder heeft verkregen, vervallen. Even opletten: dit gaat alleen op wanneer het om dezelfde trustee gaat. Het tweede punt dat u hebt kunnen waarnemen, is het punt van de rechten van public. In het voorgaande voorbeeld hebt u kunnen zien dat Nadia als onderdeel van de trustee public ook rechten krijgt, Browse in dit geval. Ook dit is een belangrijk punt: wanneer een object op verschillende manieren rechten krijgt, moeten de rechten die op alle verschillende manieren zijn verkregen, bij elkaar worden opgeteld.
7/1.3-22
Novell Netwerkoplossingen, aanvulling 10
Security
Uitzondering 2: Het IRF Naast de mogelijkheid een object gewoon opnieuw rechten te geven, is er nog een optie om ervoor te zorgen dat het erven van rechten wordt beïnvloed: het Inherited Rights Filter (IRF). Een IRF is een filter dat het erven van rechten tegenhoudt ongeacht de persoon op wie de rechten van toepassing zijn. U kunt een IRF dus gebruiken om een object of container voor anderen te verstoppen, maar ook om ervoor te zorgen dat uw alledaagse admin-gebruiker over een bepaalde container niet langer beheersrechten heeft. Standaard wordt er geen gebruik gemaakt van IRF’s in uw eDirectory – als u wilt, kunt u er echter zelf een aanmaken. Aangezien een demo wellicht meer zegt dan heel veel woorden, zullen we in de nu volgende procedure uiteenzetten wat er voor nodig is om een IRF te maken. Voorbeeld
In dit voorbeeld filteren we eenvoudigweg het Browserecht op de container mktg.nyc.ema uit. Normaliter mogen gebruikers zien welke objecten zich in een bepaalde container bevinden dankzij het Browse-recht van de gebruiker public. We zullen hier laten zien dat dat heel eenvoudig is tegen te houden. Dit is overigens niet iets wat er ook voor zal zorgen dat u niet langer kunt inloggen; gebruikers kunnen gewoon nog inloggen met een naam van een object dat in deze container is gedefinieerd. Het is alleen niet langer mogelijk voorafgaand aan het inloggen het betreffende object te zien te krijgen. 1. Klik met de rechtermuisknop op de container waarop u het IRF wilt instellen en selecteer de optie Trustees of this object. 2. Selecteer het tabblad NDS Rights, Inherited Rights Filters. U ziet nu een overzicht van alle IRF’s die op de geselecteerde container zijn ingesteld. Klik nu op de knop Add Filter om uw eigen filter toe te voegen.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-23
NetWare-beveiliging
3.
Er verschijnt nu een filter waarin u kunt aangeven wat er precies moet worden gefilterd.
IRF’s kunnen op afzonderlijke property’s, alle property’s tegelijk of op het object worden ingesteld.
4.
7/1.3-24
Selecteer nu de optie All Attribute Rights en klik op OK. U bent nu terug in het hoofdscherm van de IRF’s. Hier ziet u dat het filter standaard alle rechten doorlaat. Dit kunt u zien doordat alle rechten staan aangeklikt. Om er bijvoorbeeld voor te zorgen dat het Write-recht niet langer kan worden geërfd, haalt u het vinkje voor dit recht weg.
Novell Netwerkoplossingen, aanvulling 10
Security
Om ervoor te zorgen dat een bepaald recht niet langer kan worden geërfd, moet u het vinkje voor dat recht weghalen.
5.
Klik nu nogmaals op de knop Add Filter. Om een filter in te stellen op de objectrechten, selecteert u nu de optie Entry Rights. Klik vervolgens op OK om deze keuze te accepteren. U ziet dat ook hier standaard alle rechten worden doorgelaten. Klik op het vakje voor het recht Browse opdat dit recht niet langer standaard wordt geërfd. U ziet nu in het venster Inherited Rights Filters een overzicht van alle beschikbare filters. Wanneer u een filter aanklikt, kunt u de werking van het filter bekijken.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-25
NetWare-beveiliging
Wanneer u klaar bent met de definitie van filters, wordt een overzicht getoond van alle filters die op dat moment beschikbaar zijn.
6.
7.
7/1.3-26
In dit voorbeeld hebben we een filter ingesteld op mktg.nyc.ema. Om te zien wat het effect is van het filter, gaan we nu eerst kijken wat de rechten zijn van een willekeurige gebruiker voor dit punt (bijvoorbeeld op nyc.ema) en vervolgens wat de effectieve rechten zijn na dit punt. Klik met de rechtermuisknop op een hooggelegen container (nyc.ema in ons voorbeeld) en selecteer uit het snelmenu de optie Trustees of this Object. Klik op de knop Effective Rights en blader naar een gebruiker van wie u zeker weet dat u aan hem of haar geen aparte rechten hebt toegekend. Let op: dit mag niet een gebruiker zijn die voorkomt in de container waarop u het filter hebt ingesteld. Wanneer u voor
Novell Netwerkoplossingen, aanvulling 10
Security
deze gebruiker de effectieve rechten op de Entry Rights bekijkt, zult u zien dat de gebruiker het Browse-recht heeft. Dit komt omdat elke gebruiker standaard de permissies van de public trustee erft. Sluit alle vensters totdat u weer terug bent in het hoofdvenster van ConsoleOne.
Voordat het filter actief is, heeft de gebruiker gewoon de rechten van de public trustee.
8.
Klik nu op een object in de container waarop u het filter hebt ingesteld en selecteer de optie Trustees of this Object. Bekijk vervolgens de effectieve Entry Rights van de gebruiker die u zojuist ook hebt bekeken. U zult zien dat de gebruiker geen rechten meer heeft. Het Browse-recht van de public trustee wordt nu immers tegengehouden.
Novell Netwerkoplossingen, aanvulling 10
7/1.3-27
NetWare-beveiliging
Door de werking van het filter wordt het Browse-recht van public trustee tegengehouden. Hierdoor heeft onze voorbeeldgebruiker geen standaardrechten meer.
7/1.3-28
Novell Netwerkoplossingen, aanvulling 10
Security
7/1.4
Toepassing van eDirectoryrechten
In het voorgaande is behandeld wat er zoal mogelijk is en wat niet door gebruik te maken van eDirectory-security. We behandelen nu in welke gevallen het nodig is om iets aan eDirectory-beveiliging te doen door middel van deze rechten. Het is namelijk absoluut niet zo dat in alle mogelijke situaties met deze vorm van rechten moet worden gewerkt. 7/1.4.1 Gedelegeerde netwerkbeheerders In een groot netwerk zal het beheer van het netwerk doorgaans door meer dan één persoon worden uitgevoerd. Dit betekent dat er meerdere personen beheerrechten op de tree moeten hebben. Dit zou u kunnen oplossen door een aantal andere gebruikers dezelfde rechten te geven als de gebruiker admin. In dat geval zorgt u er gewoon voor dat een of meer gebruikers Supervisory-entry-rechten en Supervisory op All Attributes hebben van de tree. Als alternatief kan er ook voor worden gekozen om beheerders beheerrechten te geven op een beperkt deel van de tree. Dit is bijvoorbeeld zinnig om op een vestiging in een wereldwijde tree een lokale beheerder aan te maken. In dat geval wordt de lokale beheerder toegevoegd als trustee van de container waarop hij het beheer mag uitvoeren en krijgt hij alleen op die container Supervisor-object- en property-rechten.
Uitzonderingen
7/1.4.2 Gebruik van speciale objecten Om gebruik te maken van de meeste objecten in een tree, zijn de permissies standaard goed geregeld. Er is echter een tweetal uitzonderingen. De eerste uitzondering is het Profile-log-inscript. Dit is een soort groepslog-inscript waarvan gebruikers lid kunnen worden gemaakt. Wanneer
Novell Netwerkoplossingen, aanvulling 11
7/1.4-1
NetWare-beveiliging
een gebruiker er lid van is, kan tijdens het inloggen de loginscript-property worden uitgelezen waarin de commando’s zijn gedefinieerd die tijdens het inloggen moeten worden uitgevoerd. Om gebruik te maken van een Profile-loginscript, moeten alle gebruikers die het moeten gebruiken dus read-rechten hebben op de log-inscript-property. Het tweede speciale object is het directory map-object. Dit is een NDS-object met een verwijzing naar een fysiek pad erin. Bij het maken van een mapping kan worden verwezen naar het directory map-object, vervolgens wordt de path property van dit object uitgelezen en de daadwerkelijke mapping verwijst naar de directory die bij deze path property is opgegeven. U begrijpt het al, hiervoor is het readrecht op de path property nodig. 7/1.4.3 Helpdeskmedewerkers Een derde punt waarop vaak gebruik wordt gemaakt van rechten op de eDirectory, is in het geval van helpdeskmedewerkers. U hebt al een voorbeeld kunnen lezen waarin de helpdeskmedewerker het write-recht kreeg op de property Password Management. Naast deze property, die het mogelijk maakt wachtwoorden te beheren, is er nog een aantal property’s die voor helpdeskmedewerkers relevant kunnen zijn. Denk bijvoorbeeld aan de property’s die te maken hebben met een intruder lock-out. Wanneer een gebruiker write-rechten heeft op deze property’s, kunnen dergelijke specifieke zaken door een helpdeskmedewerker worden aangepast. Hiermee hebben we de meest voorkomende gevallen behandeld waarin eDirectory-beveiliging moet worden toegepast. Laten we tot slot van deze paragraaf nog één ding zeggen: om gewoon met eDirectory te kunnen werken, hoeft u voor uw gebruikers niets te regelen. Dit is namelijk
7/1.4-2
Novell Netwerkoplossingen, aanvulling 11
Security
door de standaardinstellingen allemaal al geregeld. Dit is een belangrijke tegenstelling tot de werkwijze die bijvoorbeeld wordt gebruikt bij het werken met rechten op het file system.
Novell Netwerkoplossingen, aanvulling 11
7/1.4-3
NetWare-beveiliging
7/1.4-4
Novell Netwerkoplossingen, aanvulling 11
Security
7/1.5
Novell Modular Authentication Services
Het standaard-authenticatiemechanisme op een NetWareserver is uitstekend geregeld. Toch kan ook hier nog wel wat aan worden toegevoegd. Er wordt namelijk wel een mogelijkheid geboden in te loggen met de combinatie van gebruikersnaam en wachtwoord, er is echter geen enkele optie om op een meer geavanceerde wijze aan te melden. Denk daarbij aan de verschillende manieren van strong authentication zoals het aanmelden met behulp van een smartcard, fingerprint reader, irisscan, enzovoort. Wilt u hiervan gebruikmaken, dan hebt u een extra product genaamd Novell Modular Authentication Services (NMAS) nodig. 7/1.5.1 Twee vormen van NMAS NMAS wordt geleverd in twee varianten. Ten eerste is er het NMAS-starter-pack dat standaard deel uitmaakt van de NetWare 6-software. Daarnaast is er de NMAS Enterprise Edition die apart moet worden aangeschaft.
NFAP
NMAS-starter-pack Het NMAS-starter-pack wordt met NetWare 6 meegeleverd om het mogelijk te maken in te loggen bij de Native File Access Protocol- (NFAP-) services. Dit zijn de services die ervoor zorgen dat UNIX-, Apple- en Microsoft-gebruikers bestanden op de Novell-server kunnen benaderen zonder hiervoor een speciale Novell-client te moeten installeren. In feite betekent dit dat de Novell-server zich als respectievelijk een UNIX-, Apple- of Windows-server gedraagt. Dit betekent vervolgens weer dat de Novell-server ook de manieren waarop deze servers authenticatie afhandelen, moet ondersteunen. Om dit mogelijk te maken, wordt gebruikgemaakt van ‘Simple Passwords’. Dit zijn wacht-
Novell Netwerkoplossingen, aanvulling 11
7/1.5-1
NetWare-beveiliging
woorden die in de NDS worden opgeslagen en veel minder ingewikkelde algoritmes toepassen dan bij het gebruik van Novell-wachtwoorden. Aangezien het hier echter een niet-standaardwijze van authenticatie betreft, is NMAS nodig. Aan de ene kant om op basis van andere credentials toegang te kunnen verlenen tot de NDS-database en aan de andere kant ook om als client toegang te krijgen tot NDS door in te loggen met zo’n simple password. Als het gaat om het aanmelden met een simple password, hoeft er in feite niets te gebeuren. Wanneer u ervoor kiest NFAP mee te installeren op de NetWare 6-server, wordt de NMAS-starter-pack-editie standaard mee geïnstalleerd. Dit zorgt ervoor dat u tijdens het aanmaken van een gebruiker kunt aangeven wat als ‘Default Login Sequence’ moet worden gebruikt (zie onderstaande afbeelding).
NMAS maakt het mogelijk bij het aanmaken van een gebruiker een default login sequence op te geven.
7/1.5-2
Novell Netwerkoplossingen, aanvulling 11
Security
Standaard zal een gebruiker altijd proberen zich door middel van NDS-authenticatie aan te melden; u kunt hier echter ook kiezen voor ‘lsmafp’ voor Apple-clients en ‘lsmcifs’ voor Windows-gebruikers, op de manier die eigen is aan hun besturingssysteem. Ook kunt u onder de eigenschappen van de gebruikers op het tabblad ‘Security’ verschillende Login Sequences aangeven. Zo kunt u het een gebruiker bijvoorbeeld mogelijk maken naast de standaardauthenticatie met gebruikersnaam en wachtwoord ook gebruik te maken van zijn fingerprint reader. Als extratje is het hier ook mogelijk aan te geven dat een gebruiker alleen maar van één of meer bepaalde log-inmethodes gebruik kan maken. Wanneer u gebruikmaakt van de NMAS Enterprise Editie, zijn er tevens vergaande mogelijkheden beschikbaar om dit proces nog verder te stroomlijnen.
Met behulp van de Authorized Login Sequences kan worden uitgesloten dat gebruikers bepaalde mogelijkheden gebruiken om in te loggen.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-3
NetWare-beveiliging
NMAS Enterprise Edition Zoals gezegd is er naast het NMAS-starter-pack ook een NMAS Enterprise Edition beschikbaar. Hiermee kunt u ervoor zorgen dat ook verschillende vormen van strong authentication mogelijk worden gemaakt. Voordat het echter zo ver is dat hier gebruik van kan worden gemaakt, moet er wel het een en ander worden geïnstalleerd. Als eerste natuurlijk de NMAS Enterprise Edition-software zelf, zodat de NDS zich ook bewust wordt van deze manier van authenticatie. Daarnaast moet ook op de client een speciale NMAS-client worden geïnstalleerd, zodat kan worden aangegeven dat bijvoorbeeld gebruik moet worden gemaakt van een ActivCard in plaats van een wachtwoord. We zullen nu bespreken welke stappen moeten worden doorlopen om een dergelijke configuratie aan het werk te krijgen. 7/1.5.2 Installatie NMAS Enterprise Edition Wellicht tegen de verwachting in begint de installatie van NMAS Enterprise Edition op het werkstation van de netwerkbeheerder. Deze krijgt vervolgens een scherm te zien waarin kan worden aangegeven wat er allemaal kan worden geïnstalleerd. Het is noodzakelijk dit scherm goed te lezen; u kunt hier namelijk ook terugvinden wanneer bepaalde componenten nog moeten worden geïnstalleerd.
Met het installatieprogramma kunnen zowel client- als servercomponenten worden geïnstalleerd.
7/1.5-4
Novell Netwerkoplossingen, aanvulling 11
Security
Procedure
Standaard staat het programma zo ingesteld dat wel de client-componenten worden geïnstalleerd, maar de servercomponenten niet. Dit komt doordat de servercomponenten apart van de client-componenten moeten worden geïnstalleerd en al op het netwerk aanwezig kunnen zijn. Een logische stap is dan ook om er maar eens mee te beginnen de servercomponenten weg te schrijven. Voer hiervoor de volgende procedure uit: Klik de optie ‘NMAS Server Components’ aan. U zult zien dat gelijktijdig alle opties om client-componenten te installeren, automatisch worden gedeactiveerd. In het scherm dat vervolgens verschijnt, ziet u een overzicht van alle onderdelen die aanwezig moeten zijn voordat u begint met installatie. Als u NetWare 6 gebruikt, zijn deze onderdelen standaard aanwezig, gebruikt u een eerdere versie van NetWare, controleer dan of de volgende onderdelen zijn geïnstalleerd voordat u NMAS installeert: • NDS eDirectory versie 8.5 of hoger; • Novell Certificate Server versie 2.0.2 of hoger; • NICI 1.5.7 op de NMAS-server. Wanneer u aan alle voorwaarden voldoet, klik dan op Next om te beginnen met de installatie.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-5
NetWare-beveiliging
Controleer of alle noodzakelijke componenten aanwezig zijn voordat u verdergaat.
Lees de voorwaarden van de gebruikslicentie van de software en klik op Accept wanneer u het hiermee eens bent. Indien dit niet het geval is, klikt u op Cancel om de installatie af te breken. In het volgende scherm kunt u aangeven waarop NMAS moet worden geïnstalleerd. U kunt hier kiezen uit een Remote NetWare-server of een Local NT-server. Wanneer u installeert vanaf een werkstation dat contact heeft met een NetWare-server, selecteert u hier de optie Remote NetWare Server. Wanneer u het installatieprogramma vanaf een lokale Windows NT-server hebt gestart, kiest u voor Local NT Server. Alleen in het laatste geval moet u in het scherm aangeven in welke tree, op welke server en in welke context het product moet worden geïnstalleerd.
7/1.5-6
Novell Netwerkoplossingen, aanvulling 11
Security
Selecteer Remote NetWare Server om op een NetWare-server te installeren.
Vervolgens geeft u aan welke componenten moeten worden geïnstalleerd. Novell Modular Authentication Service staat hier standaard geselecteerd. Daarnaast staat de optie NMAS Snap-ins ook standaard aan. Hiermee worden namelijk de juiste beheer snap-ins gekopieerd naar de directory op de server waar ConsoleOne is geïnstalleerd. We hebben het hier overigens over de werkstationversie van ConsoleOne, u kunt NMAS niet met ConsoleOne vanaf een NetWare-server beheren. Alleen wanneer u ook over internet op een Radius Server wilt kunnen aanmelden, selecteert u hier ook de beide Radius-opties. In dit voorbeeld zullen wij dat niet doen. Nu kunt u aangeven op welke server NMAS moet worden geïnstalleerd. Even opletten: alleen servers in trees waarmee u contact hebt, worden getoond.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-7
NetWare-beveiliging
Nadat u de server van uw keuze hebt gespecificeerd, verschijnt een waarschuwing dat minimaal ConsoleOne 1.2d op die server aanwezig moet zijn. Op NetWare 6-servers is dit altijd het geval; als u NetWare 5.x gebruikt, is dit niet standaard het geval en zult u deze software wellicht eerst nog moeten installeren. Nu verschijnt een overzichtsvenster waarin wordt getoond wat u allemaal hebt geselecteerd om te installeren. Klik op Finish om te beginnen met kopiëren van de bestanden. Als u bij bent met recente support packs, kan er soms een melding worden gegenereerd dat u een nieuwere versie van een bepaald bestand op de server hebt staan. Het is handig deze melding in het vervolg te onderdrukken door de optie Never overwrite newer file te selecteren.
Als u een waarschuwing krijgt dat nieuwere bestanden dreigen te worden overschreven, selecteer dan de optie Never overwrite newer file.
Als de installatie is voltooid, krijgt u een melding dat de server opnieuw moet worden gestart. Doe dit, anders kunt u niet gebruikmaken van NMAS. Het is ook aan te raden even de informatie in het read me-bestand door te lezen zodat u op de hoogte bent van eventuele last minute-wijzigingen.
7/1.5-8
Novell Netwerkoplossingen, aanvulling 11
Security
NICI
7/1.5.3 Installatie van de client De client-software die nodig is om van NMAS gebruik te maken, kan op gelijke wijze worden geïnstalleerd als de serversoftware. U doet de NMAS-cd in de drive van een werkstation en het installatieprogramma wordt automatisch gestart. De installatie van de client bestaat uit twee onderdelen. Als eerste is er NICI. Dit onderdeel moet op elke NMAS-client zijn geïnstalleerd om te kunnen communiceren met de cryptografische algoritmes waarvan NMAS op de server gebruikmaakt. Daarnaast moet de NMAS-client zelf nog worden geïnstalleerd. Dit zorgt ervoor dat gebruikers in het inlogscherm een aantal opties te zien krijgen zodat ze – onder andere – kunnen aangeven van welke authenticatiemethode moet worden gebruikgemaakt. Ga als volgt te werk om deze software te installeren: 1. Selecteer in het kader Available Client Components de opties NICI en NMAS Client en klik op OK om met de installatie te beginnen.
Op elk werkstation moet naast de NMAS-software ook de NICI-client-software worden geïnstalleerd.
2.
Lees de bepalingen van de licentieovereenkomst. Druk op Accept indien u hieraan wilt voldoen. Nu
Novell Netwerkoplossingen, aanvulling 11
7/1.5-9
NetWare-beveiliging
3.
worden achter elkaar de verschillende onderdelen van de NMAS-client geïnstalleerd. Houd er rekening mee dat er wat tijd kan zitten tussen de installatie van de NICI-client en de NMAS-client – breek niet af, want de installatie wordt vanzelf voortgezet. In het NMAS-client-installatieprogramma verschijnt vervolgens een venster waarin u kunt aangeven welke log-inmethodes moeten worden weggeschreven. Als het heel duidelijk is van welke log-inmethode u gebruik wilt maken, selecteert u natuurlijk alleen deze. Wanneer u echter wat met NMAS wilt experimenteren voordat u overgaat tot implementatie in het netwerk, is het aan te raden hier gewoon Select All aan te klikken. Alle modules die u mogelijkerwijs nodig zou kunnen hebben, worden dan op het werkstation weggeschreven.
Voor experimentele doeleinden is het handig gewoon alle log-inmethodes op het client-werkstation te installeren.
4.
7/1.5-10
Vervolgens kan worden aangegeven welke client post-login methods moeten worden geïnstalleerd. U
Novell Netwerkoplossingen, aanvulling 11
Security
5.
6.
Smartcard
kunt hier kiezen uit NDS Change Password en Workstation Access. De module NDS Change Password zorgt ervoor dat u eerst moet worden gevalideerd voordat u een wachtwoord kunt wijzigen. Met Workstation Access zorgt u ervoor dat het werkstation wordt beveiligd door een screensaver met een NDS-enabled wachtwoord. Daarna mag worden aangegeven of u wilt gebruikmaken van Disconnected Login. Hiermee wordt bepaald dat u zich, ook wanneer u geen fysieke verbinding hebt met een server, op de Novell-manier moet aanmelden bij het werkstation. Handig om te zorgen voor een stukje extra beveiliging voor bijvoorbeeld gebruikers van een laptop. U dient zich hierbij echter wel te realiseren dat credentials lokaal op het werkstation moeten worden opgeslagen om dit mogelijk te maken. Dit betekent dat er niet dezelfde mate van beveiliging geldt als wanneer u gebruikmaakt van NDS-log-in. Nadat u deze vragen hebt beantwoord, kan het algemene deel van de NMAS-client worden geïnstalleerd. Daarna worden de afzonderlijke modules ook nog eens geïnstalleerd. Voor elk van deze modules wordt een apart scherm gestart; afhankelijk van de modules die u hebt gekozen, kunnen er nog meer vragen verschijnen. Zo zorgt bijvoorbeeld het onderdeel NMAS Universal Smart Card Login ervoor dat een nieuw scherm verschijnt waarin u kunt aangeven welk type smartcard wordt gebruikt. In dit voorbeeld wordt gebruikgemaakt van een ActivCard, dus zullen we deze optie hier selecteren. In een testomgeving kunt u er ook voor kiezen gewoon alle types te selecteren zodat u een maximale hoeveelheid modules extra op de client geïnstalleerd krijgt.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-11
NetWare-beveiliging
Wanneer u gebruikmaakt van een of andere smartcard, kunt u in dit scherm aangeven welk type u gebruikt.
7.
8.
7/1.5-12
Wanneer u ervoor hebt gekozen de NMAS post-Login methods te installeren, verschijnt vervolgens een scherm waarin kan worden aangegeven welke methodes gebruikt moeten kunnen worden. Standaard staat hier de optie Lock Workstation geselecteerd; u kunt hier als alternatief voor Logout Workstation kiezen. Wanneer u in de voorgaande stap de optie Lock Workstation hebt gekozen, verschijnt nu een scherm waarin u kunt aangeven welke eigenschappen hiervoor moeten worden gebruikt. In dit scherm bepaalt u na hoeveel minuten inactiviteit het werkstation moet worden gelockt. Daarnaast kunt u een tekst intypen die moet worden getoond wanneer het werkstation is gelockt.
Novell Netwerkoplossingen, aanvulling 11
Security
Als u van NMAS Lock Workstation gebruikmaakt, kunt u in dit scherm de eigenschappen daarvan aanpassen.
9.
Als de installatie van alle client-software is afgerond, verschijnt een scherm waarin u kunt aangeven de computer opnieuw te willen opstarten. Doe dit wanneer u direct gebruik wilt kunnen maken van NMAScomponenten.
U bent nu klaar met de installatie van alle benodigde componenten; u kunt er echter nog geen gebruik van maken. Hiervoor moet u namelijk eerst in de NDS aangeven welke log-inmethodes er beschikbaar zijn. Wel ziet u, wanneer u het client-werkstation hebt opgestart, dat de client-software er anders uitziet. U voert nu in het eerste scherm alleen uw gebruikersnaam in. Om aan te geven welke loginmethode moet worden gebruikt, klikt u op de knop Advanced. Hier vindt u een nieuw tabblad met de titel NMAS. Op dit tabblad kunt u aangeven van welke login sequence u gebruik wilt maken. De standaardinstelling staat op NDS. Dit betekent dat u gewoon met uw NDSgebruikersnaam en wachtwoord kunt aanmelden. Als er bij
Novell Netwerkoplossingen, aanvulling 11
7/1.5-13
NetWare-beveiliging
uw NDS-gebruikersaccount meerdere log-inmethoden zijn gedefinieerd, kunt u deze hier uitkiezen. 7/1.5.4
Beheer van NMAS: Installatie van log-inmethodes en sequences NMAS maakt het mogelijk in te loggen op basis van drie factoren: wachtwoorden, fysieke tokens of andere apparaten en biometrie. Let wel, in veel gevallen is hier soft- en hardware van partners voor nodig en is het nodig met deze software van de partners speciale installatieroutines te doorlopen. Om met ConsoleOne zelf een log-inmethode toe te voegen aan de NDS, gaat u als volgt te werk: 1. Activeer ConsoleOne. Om u ervan te verzekeren dat de juiste snap-ins beschikbaar zijn, kunt u ConsoleOne opstarten vanaf de server waarop u NMAS hebt geïnstalleerd. Uiteraard is dit niet nodig wanneer u ervoor hebt gezorgd dat de benodigde snapins overal kunnen worden bereikt. 2. Selecteer de Security-container. Deze bevindt zich direct onder de root van uw tree.
7/1.5-14
Novell Netwerkoplossingen, aanvulling 11
Security
In de Security-container bevinden zich meerdere NMAS-objecten.
3.
4. 5.
Klik met de rechtermuisknop op de container Authorized Login Methods, selecteer de optie New en vervolgens Object. Selecteer SAS:NMAS Login Method en klik op OK. Blader nu naar het configuratiebestand van de loginmethode. In dit configuratiebestand bevindt zich alle informatie die NDS nodig heeft om met de login method te kunnen werken. In de meeste gevallen heeft dit bestand de naam config.txt. U vindt configuratiebestanden voor een behoorlijk aantal methodes in de directory NMasMethods op de NMAS-installatie-cd.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-15
NetWare-beveiliging
De configuratiebestanden om login methods voor veel devices aan te maken, bevinden zich op de NMAS-installatie-cd.
6.
7.
Afhankelijk van de log-inmethode die u wilt toevoegen, dient u nu nog een paar stappen te doorlopen voordat het object kan worden voltooid. Wanneer het object wordt aangemaakt, kunt u ook direct een login sequence definiëren waarin alleen deze login method voorkomt. Het toevoegen van een login method zorgt er ook voor dat een aantal nieuwe snap-ins aan ConsoleOne wordt toegevoegd. Start ConsoleOne opnieuw op om hier gebruik van te kunnen maken.
Als de producent van uw log-inmethode overigens ooit deze methode wil bijwerken, is het vrij eenvoudig deze wijzigingen ook in de NDS te importeren. U vindt voor dit doel op de tab General van de betreffende login method een knop met de naam Update Method. Als u hierop klikt, 7/1.5-16
Novell Netwerkoplossingen, aanvulling 11
Security
kunt u opnieuw verwijzen naar de config.txt waarin de betreffende methode is gedefinieerd.
Sequence
Nadat de log-inmethode is toegevoegd, moet u een login sequence definiëren in NDS waarin deze methode ook wordt gebruikt. Als u dit zou nalaten, zou het namelijk niet mogelijk zijn er ook gebruik van te maken. In de NMAS Enterprise Edition is het mogelijk meerdere log-inmethodes op te nemen in een sequence. Wanneer er meerdere log-inmethodes in een sequence voorkomen, kunt u het zo definiëren dat alle methodes met succes worden gepasseerd voordat de betreffende gebruiker wordt toegelaten. Het is ook mogelijk aan te geven dat het voldoende is wanneer slechts één van de gespecificeerde methodes met succes in staat is de identiteit van de gebruiker te bevestigen. In het eerste geval gebruikt u AND in de login sequence, in het laatste geval maakt u gebruik van een logische ORfunctie. Zodra de sequence is aangemaakt, kunnen gebruikers toestemming krijgen er gebruik van te maken. Dit regelt u op het gebruikersobject in de NDS-database. Om een login sequence toe te voegen, kan zowel gebruik worden gemaakt van ConsoleOne als van iManager. In dit voorbeeld bespreken we wat er moet gebeuren om een sequence toe te voegen met ConsoleOne: • Activeer in ConsoleOne de Security-container. Klik vervolgens met de rechtermuisknop op het Login Policy-object en selecteer daar de optie Properties. Klik nu op New Sequence om een nieuwe sequence aan te maken.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-17
NetWare-beveiliging
Op het Login Policy-object treft u alle reeds gedefinieerde login sequences aan en kunt u zelf nieuwe sequences toevoegen.
•
•
7/1.5-18
Geef een naam aan de nieuwe login sequence. Het is verstandig hier een veelzeggende naam te gebruiken, bijvoorbeeld RSAenNDS voor een login sequence waarin de gebruiker zowel zijn RSA-token als zijn NDS-wachtwoord kan gebruiken. Selecteer het sequence-type. Wanneer u kiest voor AND kan de gebruiker zich alleen aanmelden wanneer alle geselecteerde login methods met succes worden doorlopen. Als u kiest voor OR is het voldoende wanneer één van de geselecteerde methodes met succes wordt doorlopen. Voor een optimale flexibiliteit met lagere beveiliging kiest u hier OR. Voor een optimale beveiliging selecteert u hier AND.
Novell Netwerkoplossingen, aanvulling 11
Security
•
Voeg de beschikbare login methods toe waarvan u gebruik wilt maken en klik op OK wanneer u hiermee klaar bent.
U bent nu al een aardig eindje op weg naar het punt waarop gebruikers van de nieuwe login sequence gebruik kunnen maken. De login sequence moet nu alleen nog aan de gebruiker worden toegevoegd. Ook dit kunt u zowel met ConsoleOne als met iManager doen: • Klik in ConsoleOne met de rechtermuisknop op de gebruiker die u aan een login sequence wilt koppelen en selecteer de optie Properties en vervolgens het tabblad Security > Login Sequences. • Zorg ervoor dat onder Authorized Sequences die login sequences komen te staan waarvan u de gebruiker wilt toestaan er gebruik van te maken. • Klik de optie Restrict the user to the sequences authorized below aan. Als u dat niet doet, kan de gebruiker namelijk elke willekeurige login sequence waar hij zin in heeft gebruiken. • Selecteer, indien gewenst, ook een Default Login Sequence om ervoor te zorgen dat de gebruiker altijd dezelfde standaard login sequence te zien krijgt. • Klik op Apply of OK om de wijzigingen in de database door te voeren.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-19
NetWare-beveiliging
Aangeven welke login sequences de gebruiker mag gebruiken.
U hebt nu een login sequence toegevoegd aan een gebruiker. Dit zorgt ervoor dat de gebruiker voortaan gebruik kan maken van de toegevoegde NMAS-log-inmethode. In het volgende en laatste deel van deze paragraaf leest u hoe u er met behulp van graded authentication voor kunt zorgen dat de permissies die een gebruiker op een bepaald moment heeft afhankelijk is door de login methods die hij met succes gepasseerd heeft. 7/1.5.5 NMAS graded authentication Met behulp van graded authentication kunt u toegang tot resources op het netwerk verbinden aan de log-inmethodes die zijn gebruikt om contact te maken met het netwerk. Met andere woorden, u kunt gradaties in de rechten/permissies van een gebruiker aangeven en verbinden aan de wijze van inloggen. Ergo NDS- en file-systeemrechten kop7/1.5-20
Novell Netwerkoplossingen, aanvulling 11
Security
pelen aan de NMAS-log-inmethode die is gebruikt. Zo kunt u er bijvoorbeeld voor zorgen dat iemand die alleen zijn wachtwoord heeft gebruikt, alleen internettoegang krijgt om zijn mail te lezen, terwijl aan personen die de hele login sequence hebben doorlopen, volledige toegang wordt gegeven. Begrippen
Een aantal begrippen speelt bij graded authentication een centrale rol: • Security Policy-object Het Security Policy-object is een NDS-object dat wordt gebruikt om de verschillende onderdelen van graded authentication te beheren. U vindt het terug in de Security-container. • Category De mate van vertrouwen (trust) wordt met behulp van categorieën bepaald. Er zijn twee van deze categorieën. Met behulp van de Secrecy-categorie wordt het lezen van informatie bepaald, de Integrity-categorie bepaalt het wijzigen of schrijven van informatie. Beide categorieën kunnen uit drie subonderdelen bestaan: Biometric, Token en Password. • Security-label Het Security-label bepaalt hoe een NDS-object moet worden beschermd – u gebruikt het dus eigenlijk om de gevoeligheid van een object mee aan te merken. Dit gebeurt door er categorieën aan toe te kennen. • Clearance Met behulp van een clearance wordt de mate van vertrouwen die in een gebruiker wordt gesteld, bepaald. Het zijn feitelijk lijstjes waarin is gedefinieerd wat een gebruiker kan lezen en wat hij kan schrijven/wijzigen. Er kan gebruik worden gemaakt van Single Level-clearances en Multi Level-clearances. In een Single Level-clearance wordt geen onderscheid
Novell Netwerkoplossingen, aanvulling 11
7/1.5-21
NetWare-beveiliging
gemaakt tussen lezen en schrijven. In een Multi Level-clearance is dit niet het geval. In de tabel hieronder ziet u een overzicht van de clearances die standaard zijn gedefinieerd.
Overzicht van de clearances die standaard zijn gedefinieerd.
•
7/1.5-22
Dominance Alle toegang tot resources wordt bepaald door de effectieve uitkomst van de relatie tussen de informatielabels en de clearance die een gebruiker in een bepaalde sessie heeft. Er wordt onderscheid gemaakt tussen een dominate relation, een equal relation en een incomparable relation. In een dominant relation omvat een label alles wat een tweede label ook omvat. In een equal relation is dit wederzijds het geval en in een incomparable relation is er geen overlapping.
Novell Netwerkoplossingen, aanvulling 11
Security
In de toepassing van graded authentication is er ook nog een element dat u goed in de gaten moet houden. Dit blijkt uit het volgende voorbeeld. Stel dat gebruiker Pleunie een clearance heeft met zowel een Read- als een Write-label van Password en Token en zij wil een volume benaderen waarop het Security-label Password en Token van toepassing is, dan heeft deze gebruiker dus lees- en schrijfrechten op het volume. De gebruiker zal echter readonly-toegang krijgen tot elk NetWare-volume waarop het Password Security-label van toepassing is. Dit lijkt misschien recht tegenovergesteld aan wat u zou verwachten in een dergelijk scenario, er is echter wel een reden voor. Op deze wijze wordt namelijk voorkomen dat hoger geclassificeerde gegevens per ongeluk terechtkomen in een omgeving waar minder strenge regels van toepassing zijn. Configuratie van graded authentication Om graded authentication werkend te krijgen, is als eerste een Security Policy-object nodig. Dit object wordt aangemaakt in de Security-container en maakt het mogelijk namen voor clearances, Security-labels en categorieën aan te maken en te wijzigen. Deze namen worden vervolgens gebruikt om Security-labels aan gebruikersobjecten, NDSattributen of NetWare-volumes te verbinden.
Categorie aanmaken
Naast de Security- en Integrity-categorieën die standaard al bestaan, is het ook mogelijk zelf Security-labels aan te maken. Als een categorie echter is aangemaakt, is het daarna niet mogelijk hem nog te verwijderen. Wel kunt u hem bekijken of hernoemen. Om zelf een nieuwe categorie aan te maken, gaat u als volgt te werk: • Open in ConsoleOne de Security-container en klik vervolgens op de Security Policy. Klik op het tabblad Define Categories en selecteer naar wens Secrecy Categories of Integrity Categories.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-23
NetWare-beveiliging
Zelf een nieuwe Security-categorie aanmaken.
• •
Security-label
Klik op Add en voer vervolgens een naam in voor de categorie. Klik op OK om de categorie aan te maken. U kunt deze nu gebruiken bij het aanmaken van een Security-label.
Nadat u een categorie hebt aangemaakt, bestaat de volgende stap erin deze te gebruiken in een nieuw Securitylabel. Als u dit label aanmaakt, kunt u er categorieën aan toevoegen – als het echter eenmaal is aangemaakt, kan het niet meer worden gewijzigd of verwijderd. Dubbelklik in ConsoleOne op de Security Policy in de Security-container. • Selecteer het tabblad Define Labels.
7/1.5-24
Novell Netwerkoplossingen, aanvulling 11
Security
• • •
Klik op New Label en voer een naam in voor het label. Voer door gebruik te maken van de horizontale pijlen Integrity en Secrecy Categories aan het label toe. Klik op OK om het label aan te maken.
Nadat u zelf een label hebt aangemaakt, moet u bepalen welke Secrecy en Integrity Categories eraan moeten worden toegevoegd.
Clearance
De volgende stap bestaat erin een clearance aan te maken. U gebruikt hiervoor altijd twee labels, een Read-label en een Write-label. Hierbij is het niet mogelijk een Writelabel te definiëren dat het Read-label domineert. Om een voorbeeld te noemen: het Password & Token Security-label domineert het Password Security-label. Dit betekent dat het Password & Token-label als Read-label kan worden gebruikt en het Password-label als Write-label, maar niet
Novell Netwerkoplossingen, aanvulling 11
7/1.5-25
NetWare-beveiliging
andersom. Ook clearances kunnen niet worden verwijderd of gewijzigd nadat ze zijn aangemaakt. • Activeer met ConsoleOne de Security Policy in de Security-Container. • Klik op de Clearances-tab en selecteer Definition. • Selecteer New Clearance en voer een naam voor de clearance in. • Selecteer een Security-label uit de Read-labellijst. • Selecteer een Security-label uit de Write-labellijst. • Klik op OK om het label aan te maken. Nadat u de clearances en labels hebt aangemaakt, moeten ze aan NDS-attributen of NetWare-volumes worden verbonden, zodat gebruikers die inloggen alleen die resources kunnen gebruiken waar hun clearance ze rechten toe geeft. Dit betekent bijvoorbeeld dat een volume dat is gemarkeerd als Biometric & Token alleen kan worden benaderd door gebruikers die de Biometric & Token-clearance hebben en ook beide devices hebben gebruikt om zich op het netwerk aan te melden. Voer de volgende procedure uit om een Security-clearance aan een volume te verbinden: • Klik in ConsoleOne met de rechtermuisknop op het volume en kies de optie Properties. • Selecteer het tabblad Security. • Kies een Security-label en klik op OK. Alleen gebruikers met een clearance die gelijk is aan of hoger dan het label krijgen toegang. Neem er notie van dat het standaardlabel ‘logged in’ toegang verleent aan alle gebruikers.
7/1.5-26
Novell Netwerkoplossingen, aanvulling 11
Security
Een Security-label verbinden aan een volume-object.
Om een clearance aan een directory-attribuut te verbinden, voert u de volgende procedure uit: • Dubbelklik in ConsoleOne op het Security Policyobject in de Security-container en klik op ‘Directory Attribute Labels’. • Selecteer het attribuut waarvoor u een label wilt instellen en klik vervolgens op het standaardlabel dat er voor staat ingesteld. Er verschijnt nu een uitschuiflijst waar u het label kunt kiezen waarvan u gebruik wilt maken.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-27
NetWare-beveiliging
Op de Security Policy kunt u labels instellen voor alle NDS-attributen die in gebruik zijn.
De laatste stap in de toepassing van graded authentication bestaat er nu in dat u een Default Login Clearance aan een gebruiker toekent. Voer hiervoor de volgende procedure uit: • Klik in ConsoleOne met de rechtermuisknop op de gebruiker waarvoor u clearances wilt instellen. • Selecteer Properties > Security > Clearances. • Kies de gewenste Default Login Clearance en klik op OK om de wijzigingen door te voeren.
7/1.5-28
Novell Netwerkoplossingen, aanvulling 11
Security
Clearances verbinden aan een gebruikersaccount.
Novell Netwerkoplossingen, aanvulling 11
7/1.5-29
NetWare-beveiliging
7/1.5-30
Novell Netwerkoplossingen, aanvulling 11
Security
7/1.6
Beveiliging van de NetWare-console
We zijn in het voorgaande behoorlijk diep ingegaan op de mogelijkheden die er zijn om het werken van gebruikers op het netwerk aan banden te leggen. Een andere zeer belangrijke vorm van beveiliging die in het NetWare-besturingssysteem zit ingebakken, is hier echter nog niet aan de orde gekomen. Dit is de beveiliging van de server-console zelf. Wanneer iemand namelijk toegang kan krijgen op de console zelf, heeft hij toegang tot elk onderdeel van het netwerk. Het is dus een halszaak ervoor te zorgen dat de beveiliging ook op dit niveau goed is geregeld. De bedreiging waartegen u zich met name moet wapenen, is het gebruik van ongeoorloofde NLM’s. Denk hierbij aan de fameuze EMADMIN.NLM en BURGLER.NLM. Beide modules kunnen op de server worden geladen om er het wachtwoord van het admin-account mee te resetten. Wanneer iemand in staat is een dergelijke module te laden, is hij dus binnen. Gelukkig valt hier het nodige tegen te doen. 7/1.6.1 Fysieke beveiliging De eerste lijn van beveiliging moet bestaan uit de fysieke beveiliging van de console van uw server. Dit betekent dat het voor onbevoegden onmogelijk moet zijn om bij het apparaat zelf te komen. Dit krijgt u voor elkaar door de server achter slot en grendel te zetten en bij voorkeur te beveiligen met een kaartlezersysteem dat ervoor zorgt dat alleen mensen die er werkelijk iets te zoeken hebben, erbij kunnen komen. Voor een goede beveiliging moet u hiermee heel ver gaan en ervoor zorgen dat ook servicepersoneel zoals schoonmakers en airco-monteurs geen toegang krijgen wanneer dat niet expliciet is toegestaan.
Novell Netwerkoplossingen, aanvulling 11
7/1.6-1
NetWare-beveiliging
SCRSAVER.NLM
7/1.6.2 Schermbeveiliger Als het iemand toch lukt om toegang te krijgen tot de console, moet het onmogelijk zijn dat hij of zij hier ook wat aanricht. Dit kunt u voor elkaar krijgen door de console te beveiligen met een schermbeveiliger. Vanaf NetWare 5.0 wordt voor dit doel een goede schermbeveiliger meegeleverd: SCRSAVER.NLM. Wanneer u hiervan gebruikmaakt, wordt alleen toegang verleend wanneer een gebruiker in staat is zich op de NDS te authenticeren. Er moet dus worden ingelogd voordat de schermbeveiliger wordt uitgezet. U moet overigens de optie Lock Console, die in eerdere versies van NetWare in MONITOR.NLM beschikbaar was, niet verwarren met een goede schermbeveiliger. Vanuit de debug-modus is het namelijk erg eenvoudig een console die op deze wijze is beveiligd, toch te benaderen. Om SCRSAVER.NLM in gebruik te nemen hoeft geen bijzonder ingewikkeld werk te worden verricht. U zorgt ervoor dat in AUTOEXEC.NCF het commando SCRSAVER ACTIVATE wordt opgenomen en uw server is voortaan beschermd. Voor een overzicht van meer opties die door dit commando worden geboden, kunt u het commando SCRSAVER HELP invoeren. 7/1.6.3 Secure console Een laatste commando dat erg aan te raden is om te gebruiken voor de beveiliging van uw server, is het commando SECURE CONSOLE. Dit commando zorgt ervoor dat het alleen mogelijk is NLM’s te laden vanuit geautoriseerde directory’s. Het is sterk aan te raden ook dit commando op te nemen in uw AUTOEXEC.NCF; zo zorgt u er namelijk voor dat het niet mogelijk is onbevoegde NLM’s vanaf een diskette of cd te laden. Op zich is dit natuurlijk geen afdoende beveiligingsmaatregel, maar u voorkomt er wel mee dat iemand die per ongeluk toegang krijgt tot de con-
7/1.6-2
Novell Netwerkoplossingen, aanvulling 11
Security
sole van de server en dan ook direct in staat is allerlei onheil te laden.
Novell Netwerkoplossingen, aanvulling 11
7/1.6-3
NetWare-beveiliging
7/1.6-4
Novell Netwerkoplossingen, aanvulling 11
Security
7/1.7
Tot slot
U hebt in dit hoofdstuk kunnen lezen over de verschillende manieren die binnen NetWare bestaan om beveiliging toe te passen. In een goed beveiligd netwerk zullen diverse van deze wijzen van beveiliging met elkaar worden gecombineerd om te zorgen voor een veilig netwerk. We zijn overigens, en dit voor alle duidelijkheid, niet ingegaan op andere producten van Novell waarin beveiliging centraal staat. Denk bijvoorbeeld aan BorderManager en iChain. Dit zijn onderwerpen die in de toekomst nog aan de orde kunnen komen.
Novell Netwerkoplossingen, aanvulling 11
7/1.7-1
NetWare-beveiliging
7/1.7-2
Novell Netwerkoplossingen, aanvulling 11