Identity & Access Management (IAM)

Ursprünglich zentrale Benutzer_innen-Verwaltung genannt, reden wir genaugenommen von der Identitäts- und Zugriffsverwaltung. In diesem Artikel geht es um die Umsetzung eines Systems entsprechend folgender Anforderungen:

• Benutzer_innen verwalten:
  User erstellen, ändern, löschen, Passwörter setzen, Gruppen zuordnen (Details siehe User)
• Gruppen verwalten:
  Gruppen erstellen, ändern, anderen Gruppen zuordnen (Details siehe Gruppen)
• Authentifizierung ermöglichen:
  Andere Anwendungen (z.B. Website, Netzwerkordner, VPN,…) prüfen hier über verschiedene Schnittstellen (Active Directory, LDAP) die Zugangsdaten der sich anmeldenden User. Richtlinien für Passwörter werden hier festlegt.
• Berechtigungen steuern
  Über die Gruppen können wir die Berechtigen von Usern für diverse IT-Ressourcen (z.B. Berechtigungen Fileserver) steuern.
• Ein einziges System
  Die Verwaltung obiger Anforderungen erfolgt an einem einzigen Ort, nicht wie bisher verteilt. Ein User ist etwas einmaliges in der gesamten Mauerseglerei-IT und nicht mehr mehrfach parallel auf verschiedenen Plattformen individuell angelegt.

Dies alles wird über UCS realisiert. Die Verwaltung erfolgt auf der Weboberfläche des Servers und ist unter user.mauerseglerei.at zu erreichen.

Beweggründe

Weshalb wollen wir eine zentrale Verwaltungsplattform einrichten und nur einen User pro Person (IT-Admins ausgenommen) anlegen?

• Für IT-Administrator_innen
  • Eine zentrale Verwaltung ist leichter zu warten als viele individuelle Systeme, auch wenn es anfangs einen Mehraufwand durch die Konfiguration der Schnittstellen gibt (z.B. Ports in der Firewall freischalten). Diese Erleichterung zeigt sich insbesondere bei den Anfragen das Passwort neu setzen zu dürfen, welche durch solch eine Maßnahme deutlich zurückgehen.
  • Außerdem ist es möglich mit vertretbarem Aufwand ein Web-Interface zum Rücksetzen des Passworts zu implementieren, was wiederum die Admins entlastet.
  • Die Ausrollung neuer Softwareprodukte ist viel simpler, weil man sich den Schritt, alle User ein weiteres Mal anzulegen und für diese neue Passwörter einzuholen, erspart.

• Für Endanwender_innen
  All jene, die mehr als ein System unserer IT-Infrastruktur nützen werden, werden dankbar sein, wenn sie sich nur ein Passwort merken müssen. Außerdem merken sich User ihre Passwörter besser, wenn es weniger sind und diese dafür öfter zum Einsatz kommen. Auch User sind genervt, wenn sie vergessene Passwörter zurücksetzen lassen müssen. Noch besser würde es, wenn wir SSO realisieren (Single-Sign-On: Wenn man sich an einem Gerät bei einem Service angemeldet hat, ist man bei allen anderen automatisch auch angemeldet und muss dies nicht erneut tun. Derzeit nur optionale Zukunftsperspektive).

• Für die Sicherheit
  Wenn man seine erste Einschulung zum Thema IT-Sicherheit hat, dann hört man meistens, dass man besonders komplexe Passwörter haben sollte und auf jeden Fall für jeden Service ein individuelles. In der Theorie ein guter Plan, wenn er konsequent verfolgt wird. In der Realität gelingt dies meist gut, wenn ein User fortgeschritten ist und z.B. virtuelle Schlüsseltresore wie KeePassXC verwendet. In der Realität der täglichen IT-Sicherheit kommen solche User aber eher selten vor. Das Sicherheitskonzept sollte nicht auf die verantwortungsvollsten und kompetentesten User abgestimmt werden, sondern auf die Mehrheit der User und außerdem ganz besonders auch auf jene User mit dem schwächsten Sicherheitbewusstsein achten.
  • Ein wesentliches Problem ist die Verdrossenheit der User, wenn es zu einer Vielzahl an Zugangsdaten kommt („password fatigue“). Im wesentlichen lässt sich feststellen: je mehr Zugangsdaten ein User hat, desto schlampiger geht er damit um. (Passwörter in Textdateien am Desktop des Computers, Passwörter, die in Web-Browsern mit propriäterer Software wie Google Chrome oder Safari abgelegt werden, Post-Its mit Zugangsdaten, die am Monitor picken, schwache Passwörter, etc.). Ergo: Weniger ist manchmal mehr.
  • Zentral verwaltete Passwort-Richtlinien schaffen eine klare Übersicht. In individualisierten Systemen wird oft vergessen alte User oder Gruppen zu deaktivieren oder Regeln zu aktualisieren.
  • Jährliche neue Passwörter sind schwierig einzufordern, wenn die User auf verschiedenen Systemen diese jeweils neu ersinnen müssten und die Admins diese auf verschiedenen Plattformen einpflegen müssten. In einem zentral verwalteten System ist der Widerstand dagegen viel geringer und es ist mit vertretbarem Aufwand auch möglich den Usern ein Self-Service-Portal hierfür einzurichten.
  • Viele unserer Anwendungen (z.B. diese Website) leben in der DMZ, also in einer Zone, die sich zwar hinter einer Firewall befindet, aber immer noch vom Internet aus zugänglich ist. Diese Zone befindet sich zwar hinter dem “äußeren Burgwall“ unserer Firewall, diese schützt die Server darin aber nur „ein bisschen“ vor Gefahr durch Hacking und Schadsoftware. Die Zentrale Verwaltung hingegen befindet sich hinter der inneren Mauer, also von außen gar nicht direkt zu erreichen und dadurch noch einmal ein Stück sicherer. Nur dort lagern Zugangsdaten. Die Anwendungen in der DMZ kennen selbst keine Passwörter, man kann sie daher von dort auch nicht klauen.
  • Eine Sicherheitsverbesserung, die wir derzeit für die Admins der Website verwenden, aber künftig eventuell auch für andere user und Services umsetzen könnten ist eine Zwei-Faktor-Authentifizierung. Dies verlangt zwar nicht zwingend nach einer zentralisierten Verwaltung, ist aber so viel leichter für viele Services umzusetzen.

Angebundene Services

Die folgenden Services sind entweder bereits jetzt (Herbst 2019) an die zentrale Benutzerverwaltung angebunden oder wir planen sie in Zukunft daran anzubinden. Einige dieser Services gibt es derzeit noch nicht.

Derzeit erfolgreich angebunden:

• WordPress-Website (via LDAP)
• „Cloud-Gennesaret“ bzw. „adrianDS“ (via Active Directory, obsolet)
• Fileserver / Netzwerkordner (via Active Directory)
• VPN (via LDAP, zweiter Faktor Zertifikate)

Geplant angebunden zu werden (Stand Juli 2022):

• WLAN „Mauersegler“ (via RADIUS)

Überlegungen:

• Mailserver
• Web-Interface für den Fileserver

Umsetzung

Wie die zentrale Verwaltung tatsächlich implementiert ist findet sich in den zahlreichen Detail-Seiten, die die von uns konfigurierten Komponenten beschreiben.

• Server: UCS (Samba-Active-Directory-Domain-Controller)
  • Benutzer_innen- und Gruppenverwaltung: UMC
  • Passwortrichtlinie: UCR
• Technologien:
  • Samba
  • Active Directory
  • LDAP
  • Access Control List (ACL)
  • Security Identifier (SID)

Zuletzt bearbeitet am 10. Juli 2022 von Adrian Kowar