Anmeldedienst: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
 
(19 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Infobox article
+
{{service portal
| os = Any <!-- one or many operating systems, the acticle is written for. please choose only options from the same os family. for a common article choose any. this is also the default, if os is left empty or is omitted -->
+
|image=service_selfcare.png
| service = Verschiedenes <!-- one or many services, the acticle is written for. for a common article choose any. this is also the default, if service is left empty or is omitted -->
+
|glossary=Nein
| targetgroup = Angestellte, Bereiche, Besucher, Gäste, Studierende <!-- targetgroup(s), the acticle is written for. if left empty, default is Angestellte, Gäste, Studierende -->
 
| type = Information <!-- please pick one and only one -->
 
| disambiguation = <NAME OF DISAMBIGUATION PAGE. Left empty or omitted if none> <!-- if there are multiple aricles for a certain how-to (eg. eduroam (windows 7), eduroam (windows 8) etc.), please create a disambiguation page for the topic and put the name of that page here. leave empty if none disambiguation present -->
 
 
}}
 
}}
 +
Der Anmeldedienst oder die Serveranwendung Authentifizierung ist für Bereiche (z. B. Fakultäten, Institute, Lehrstühle, Einrichtungen, Gremien, Hochschulgruppen) der Universität Paderborn konzipiert und ermöglicht ihnen, den Zugang zu eigenen Anwendungen zu sichern. Die Nutzer profitieren dadurch, dass sie sich über ihren Uni-Account an Anwendungen dezentraler Bereiche authentifizieren können. Die Authentifizierung setzt voraus, dass die entsprechenden Anwendungen der Bereiche gesichert betrieben werden und LDAP oder Kerberos „können”. Weitere Voraussetzungen sind im Einzelfall zu klären.
  
{{draft}}
 
 
Der Anmeldedienst oder die Serveranwendung Authentifizierung ist für Bereiche (z. B. Fakultäten, Institute, Lehrstühle, Einrichtungen, Gremien, Hochschulgruppen) der Universität Paderborn konzipiert und ermöglicht ihnen, den Zugang zu eigenen Anwendungen zu sichern. Die Nutzer profitieren dadurch, dass sie sich über ihren Uni-Account an Anwendungen dezentraler Bereiche authentifizieren können. Die Authentifizierung setzt voraus, dass die entsprechenden Anwendungen der Bereiche gesichert betrieben werden und LDAP oder Kerberos „können”. Weitere Voraussetzungen sind im Einzelfall zu klären, z. B. die Einrichtung eines eigenen LDAP-Servers bei hoher Last.
 
 
== Grundlegende Informationen ==
 
 
Das IMT setzt an vielen Stellen zur Anmeldung über das Netzwerk das Kerberos-Protokoll ein. Kerberos bietet gegenüber anderen Systemen einige Vorteile:
 
 
* Passwörter gehen nicht über das Netz (weder verschlüsselt noch im Klartext)
 
* Es findet eine bidirektionale Authentifizierung statt, d. h. der Server erkennt den Benutzer, aber auch der Benutzer erkennt den Server.
 
* Kerberos unterstützt ein Single-Sign-On. Man muss sich also nur einmal anmelden und kann danach weitere Dienste nutzen ohne Passworteingabe.
 
 
Für die Funktion des Single-Sign-On ist es natürlich nötig, einige Anmeldeinformationen auf dem lokalen Rechner zu speichern. Bei Kerberos wird aber nicht das Passwort selbst gespeichert, sondern nur ein so genanntes Ticket. Der Vorteil dieser Vorgehensweise ist, dass ein Ticket nur eine begrenzte Lebensdauer hat. Wenn ein Ticket also in die falschen Hände geraten sollte, kann es nur für eine begrenzte Zeit missbraucht werden, danach ist es wertlos.
 
 
Im IMT werden folgende Standardzeiten verwendet:
 
 
Ein Ticket ist 10 Stunden gültig. Ohne weiteres Zutun ist es danach wertlos.
 
Innerhalb der Gültigkeitszeit kann ein Ticket ohne Passworteingabe erneuert bzw. verlängert werden, die Gültigkeitszeit wird dabei erneut auf 10 Stunden gesetzt. Durch diese Erneuerung kann ein Ticket maximal 7 Tage lang gültig sein. Danach ist definitiv eine erneute Anmeldung mit Passwort nötig.
 
 
Die Verlängerung kann natürlich automatisch geschehen. Beim MIT Kerberos Ticket Manager für Windows z. B. geschieht die Verlängerung standardmäßig automatisch. Für Linux empfiehlt sich das graphische Tool kredentials, das ebenfalls automatisch Tickets verlängert. Für Debian und Ubuntu gibt es dieses Tool auch bereits als Paket.
 
 
Zur Zeit unterstützen folgende Dienste Kerberos und damit Single-Sign-On:
 
 
    SSH/SCP (Zugriff auf afs-gate.uni-paderborn.de)
 
    SMTP (Mailversand über mail.uni-paderborn.de)
 
    IMAP (Mailempfang über mail.uni-paderborn.de)
 
    POP (Mailempfang über mail.uni-paderborn.de)
 
    HTTP (Webseiten mit Kerberos-Authentifizierung)
 
    Sieve (Einrichten von Filterregeln auf mail.uni-paderborn.de)
 
 
Für die Verwendung des Single Sign-On mit Kerberos sind je nach Betriebsystem unterschiedliche Vorgehensweisen notwendig bevor die Authentifizierung funktioniert. Vorgehensweisen für die Einrichtung von Kerberos unter den einzelnen Betriebsysteme sowie für unterstützte Anwendungen finden Sie im Abschnitt Anleitungen.
 
  
 
== Anleitungen ==
 
== Anleitungen ==
 +
{{Service portal listing|type=Anleitung}}
  
== Funktionierende Konfigurationen und bekannte Probleme ==
 
 
'''Folgende Betriebsysteme unterstützen Kerberos und Single Sign-On'''
 
 
Windows XP, Windows Vista, Windows 7, Windows 8, Mac OS X 10.4 - 10.8
 
 
'''Folgende Anwendungen unterstützen Kerberos und Single Sign-On'''
 
  
Firefox, Chrome...
+
== Weitere Informationen ==
 +
{{Service portal listing|type=Information}}

Aktuelle Version vom 7. August 2017, 07:11 Uhr

Anmeldedienst
Ein Dienst des ZIM
Service selfcare.png
Anmeldedienst
Informationen
ZielgruppeEndbenutzer

Der Anmeldedienst oder die Serveranwendung Authentifizierung ist für Bereiche (z. B. Fakultäten, Institute, Lehrstühle, Einrichtungen, Gremien, Hochschulgruppen) der Universität Paderborn konzipiert und ermöglicht ihnen, den Zugang zu eigenen Anwendungen zu sichern. Die Nutzer profitieren dadurch, dass sie sich über ihren Uni-Account an Anwendungen dezentraler Bereiche authentifizieren können. Die Authentifizierung setzt voraus, dass die entsprechenden Anwendungen der Bereiche gesichert betrieben werden und LDAP oder Kerberos „können”. Weitere Voraussetzungen sind im Einzelfall zu klären.


Anleitungen[Bearbeiten | Quelltext bearbeiten]

Artikel Betriebssysteme Spezielle Zielgruppe
Linux-Rechner mit Uni-Account-Anmeldung versorgen Linux AngestellteGästeStudierende
Single-Sign-On einrichten LinuxmacOS MontereymacOS VenturamacOS SonomaMacOS X YosemiteMacOS X Snow LeopardMacOS X LionMacOS X Mountain LionWindows 10Windows 11Windows 7Windows 8Windows VistaWindows XP AngestellteBereicheBesucherGästeStudierende
Single-Sign-On einrichten in WinSCP Windows 10Windows 11 AngestellteBereicheStudierende


Weitere Informationen[Bearbeiten | Quelltext bearbeiten]

Artikel Betriebssysteme Spezielle Zielgruppe
Grundlegende Informationen zum Single-Sign-On Alle AngestellteBereicheBesucherGästeStudierende

Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo-Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo-Do Fr
08:00 - 16:00 08:00 - 14:30
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.