Thomas Pauls, Günter Enzi
Österreichischer Lehrzielkatalog
Der eine hat’s, der andere braucht’s.
Man muß drauf schau’n, daß es der, der’s braucht, kriegt, wenn
er’s will und beide dabei glücklich sind.
Beschreibung einer personenbezogenen
rollenbasierten Zugriffskontrolle und dezentralen Rechteverwaltung –
SIDES Sicherheit für Resourcen im WorldWideWeb.
Stellen Sie sich vor, Sie möchten sich von Ihrem Freund, dem Franz, einem wahren Kenner klassischer Musik übrigens, die Goldberg-Variationen von Bach, natürlich in der Interpretation Glenn Goulds, ausborgen. Sie rufen ihn also an und fragen, ob er Ihnen die Platte borgt. „Aber ja“, meint er, „ich kenn dich ja, du paßt mir sicher gut d’rauf auf und wenn ich sie wieder brauch’ krieg’ ich sie eh gleich wieder, nicht wahr?” „Natürlich“, versichern Sie, und Franz schlägt vor, Ihnen die Platte vorbeizubringen, dann könne er sich nämlich auch gleich Ihren neuen Pentium II Computer ansehen. Das mit der Schallplatte wäre also geregelt ...
Und wie ist das nun, wenn Sie (vielleicht mit Ihrem neuen Pentium II ?) auf eine Seite im Intranet zugreifen wollen? Sagen wir, auf eine Seite, oder gleich exakt formuliert, eine „Resource“, die durch das Sicherheits- system des Sicheren Internetbasierten DatenErfassungs- systemes SIDES geschützt ist?
Zunächst müssen Sie „bekannt“ sein, das heißt, Sie müssen über einen Eintrag in den White Pages der TU Wien verfügen. Das Personal der TU Wien wird regelmäßig (i.a. am Beginn des Monats) aus den Daten der Universitätsdirektion automatisch eingetragen, ebenso jene Studierenden, die im Rahmen des Mail/News/Info Services eine Berechtigung erhalten haben. An den Instituten können, von den jeweils zuständigen Address-Managern, zusätzliche Angehörige des Institutes hinzugefügt werden, beispielsweise jene, die privatrechtlich angestellt sind, oder jene, die über Drittmittel refundiert werden. Zu jedem White Pages Eintrag wird ein Paßwort vergeben.
Im Weiteren geht es darum, Ihre Identität zweifelsfrei festzustellen. Im persönlichen Kontakt ist das relativ einfach: Franz erkannte Sie an Ihrer Stimme, Ihrer Art zu sprechen. In einem elektronischen System bedarf es naturgemäß anderer Merkmale. SIDES verwendet für die webbasierte Zugriffskontrolle eine sogenannte Basic Authentication: als Merkmale werden Benutzername und Paßwort herangezogen. Benutzername ist Ihr Nachname, als Paßwort wird jenes der White Pages verwendet. Die Eindeutigkeit folgt aus der Kombination beider Merkmale. Falls Sie beispielsweise Schmidt heißen, lassen Sie sich also bitte nicht davon irritieren, daß es mehrere Schmidts gibt. Benutzername ist in jedem Fall nur Ihr Nachname, Groß- und Kleinschreibung spielen dabei keine Rolle (case insensitive).
Sollte es im Anschluß an die Aufforderung zur Eingabe von „User Name“ und „Password“ zu einer Fehlermeldung kommen, gibt es dafür verschiedene mögliche Ursachen:
Ist die Authentifikation erfolgreich, tritt das SIDES Sicherheitssystem im Normalfall nicht mehr sichtbar in Erscheinung. Das System zeichnet sich durch diesen einfachen Zugang aus: Sie brauchen sich kein neues Paßwort zu merken, weil jenes der White Pages Verwendung findet, und Sie müssen sich nur ein einziges Mal mit Nachname und Paßwort anmelden. Umgekehrt gewinnt damit das Paßwort an Bedeutung. Bitte wählen Sie es sorgfältig (keine einfachen Zeichenkombinationen) und ändern Sie es auch regelmäßig. Zur Änderung steht Ihnen das WWW Gateway der White Pages (http://wp.tuwien. ac.at) zur Verfügung.
Der nächste Schritt, die Überprüfung, ob Sie die gewünschte Resource auch „haben“ dürfen, läuft in der Regel ab, ohne daß Sie es bemerken.
Sie erinnern sich: Franz borgt seine Platten nur jenen Freunden, von denen er weiß, daß sie darauf aufpassen. Verschiedene Personen besitzen verschiedene Rechte. So verhält es sich auch in SIDES.
Für die Verteilung von Zugriffsrechten gibt es die Möglichkeit der automatisierten Rechtevergabe nach einem bestimmten Schema und der händischen Zuteilung an bestimmte Benutzerinnen und Benutzer.
Zunächst werden, abgeleitet
aus Funktionen in der universitären Struktur, sogenannte Rollen (roles)
definiert. Als Beispiel dafür lassen sich „Mitarbeiter eines Institutes“,
„Lehrveranstaltungsmitwirkende“, „Institutsvorstände“ oder „Abteilungsleiter“
anführen. Diesen Rollen werden bestimmte Rechte (privileges) und Möglichkeiten
zur Verwaltung von Rechten (grant privileges) übergeben. Schließlich
werden Benutzern (user) Rollen zugeordnet. Damit verfügen die Benutzer
über die den Rollen zugehörigen Rechte. Die für die Zuordnung Benutzer/Rollen
erforderlichen Informationen werden aus den Daten der Universitäts-
direktion (TUWIS; Funktion, Zuordnung zu einem Institut) bzw. den Einträgen
in den White Pages (Zuordnung zu einem Institut) gewonnen. Nachdem der
Import dieser Daten jeweils einmal pro Woche erfolgt, wird die aktuelle
Funktionsstruktur der Universität in den Zugriffsrechten widergespiegelt.
Rechte werden auch zentral seitens
der SIDES Systemadministration händisch an bestimmte Personen
vergeben. Insbesondere werden solcherart die sogenannten SIDES Administratoren
an den Instituten mit der Berechtigung ausgestattet, Rechte an Personen
weiterzugeben. Die Definition von Rollen erfolgt ausschließlich zentral
durch die SIDES Systemadministration. Jede Rolle erhält einen Namen
und eine kurze Beschreibung. Nun sind Sie also mit einer Rolle
und mit Rechten ausgestattet. Und möchten wahrscheinlich sofort ausprobieren,
was sich damit machen läßt. Es stehen FoDok-Online, Publikationseditor,
Rechte-Manager und LVA-Editor zur Auswahl. All diese Anwendungen werden
durch das SIDES Autorisierungssystem geschützt. Nehmen wir an, Sie sind Mitarbeiterin
bzw. Mitarbeiter im Sekretariat eines Institutes und würden gerne
die Lehrveranstaltungen des Institutes editieren. Sie entscheiden sich
also für den LVA-Editor und rufen diesen über http://www.lzk.ac.at/sides/lva/tuwien/editor.htm auf. Und: Fehlermeldung „Authorisation
failed“. Über die Seite mit der URLhttp://www.lzk.
ac.at/sides/rechte können Sie Ihre Rechte
abrufen. Und siehe da: es sind noch keine Rechte für Sie vergeben.
In diesem Falle wenden Sie sich bitte an den SIDES Administrator Ihres
Institutes. Er oder sie kann unter Verwendung des Werkzeuges SIDES-Rechte-Manager
(URL http://www.lzk.ac.at/sides/rechte-manager>)
Rechte an Personen weitergeben. Sind Sie dann mit der Berechtigung
„PRIV:LVA- Daten Exxx editieren“ (wobei „Exxx“ für die Kennzahl Ihres
Institutes steht) ausgestattet, steht dem Bearbeiten der Lehrveranstaltungsbeschreibungen
nichts mehr im Wege. Sicherheitssysteme sind stets mit der Problematik
behaftet, einerseits möglichst einfach allen berechtigten Personen
Zugang zu verschaffen, andererseits die Resourcen wirksam zu schützen.
Das SIDES Sicherheitssystem kann zum Schutz statischer und dynamischer
HTML-Seiten sowie von Java Applets verwendet werden. Für die Benutzerin, den Benutzer
ist lediglich eine einmalige Authorisierung erforderlich. Da diese unter
Verwendung des White Pages Paßwortes erfolgt, ist auch hier kein
zusätzlicher Aufwand erforderlich. Die Rechteadministration kann (weitgehend)
dezentral erfolgen. Es steht mit der SIDES Authorisierungsinfrastruktur
ein offenes und modulares System zur Verfügung, das für unterschiedlichste
Anwendungen im Intranet-Bereich genutzt werden kann. Ach ja, und viel Vergnügen
mit Bachs Goldbergvariationen ... SIDES Sicheres Internetbasiertes
DatenErfassungsSystem für Publikations-und Lehrveranstaltungsbeschreibungsdaten
an der TU Wien, Pipeline 21, Februar 1997, http://info.tuwien.
ac.at/pipeline/p21/sides.htm SIDES Lehrinformationssystem an
der TU Wien, Pipeline 23, Oktober 1997, /museum/pipeline/p23/
sides.html SIDES ist ein Produkt des Österreichischen
Lehrzielkataloges und wurde von Günter Enzi, Johannes Mayr, Martin
Eller und Sebastian Fischmeister entwickelt.
Rollenbasierte Rechteverteilung
Adressen:
Literatur:
Zum Inhaltsverzeichnis,
Pipeline 25, Juni 1998