Zielsysteme: Active Directory, LDAPS, Radius
Good to know: Active Directory, LDAPS und Radius sind Authentisierungs-Infrastrukturen, welche für die Nutzung von Identitäten (Personen) und für die Zuweisung von Zugriffsrechten in einem Netzwerk genutzt werden. Sie stellen sicher, dass nur authentisierte Benutzende (Personen) auf Informationen und Systeme zugreifen können.
Identity und Access Management
Die ETH Zürich betreibt ein Identity und Access Management (IAM)-System, bei uns als ETH Web Center bekannt. Das System ermöglicht die Steuerung und Versorgung mit Daten zu den Directory Services (Active Directory, LDAP und Radius). Dies ermöglicht, dass man User-Konten erstellen kann, und es vereinheitlicht die Verwaltung von Gruppen und Verteilern.
Bild ETH Web Center
ETH Web Center Tab Self-Service > Benutzer/in-Übersicht > Abschnitt Accounts
Zielsysteme
Der Begriff «Zielsysteme» bezieht sich auf die spezifischen Plattformen oder Services innerhalb einer IT-Infrastruktur. An der ETH werden die Zielsysteme für die Authentisierung sowie teilweise auch für die Autorisierung verwendet. Sie stellen sicher, dass die Personen, welche sich anmelden, auch diejenigen sind. In einem praktischen Kontext kann ein Zielsystem alles sein, von einem Server über eine Datenbank bis hin zu einem Anwendungsprogramm.
Active Directory
Das Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst, der in Applikations-Ressourcen verwendet wird. Es ermöglicht die Verwaltung von Benutzerkonten und Computer-Objekte (IT-Geräte). Administrator:innen können damit Ressourcen steuern, Benutzerrechte verwalten und Richtlinien durchsetzen. Die gängigsten Applikationen, welche als Active Directory-Service der Informatikdienste (SLA) für die ETH-Angehörigen angeboten werden, sind:
- Beim Einloggen am persönlichen Rechner (Desktop/Laptop)
- Exchange (Outlook, E-Mail)
- SharePoint
- Confluence
- Teams
- OneDrive
- Zoom
- fast alle Cloud-Services
LDAPS
LDAPS steht für «Lightweight Directory Access Protocol Secure» und ist ein Protokoll, das verwendet wird, um Informationen aus Verzeichnisdiensten (wie z.B. Benutzernamen und Passwörter) abzufragen und zu verändern. Der LDAPS-Service ist wie AD ein ETH-weiter Authentifizierungs-, Autorisierungs- und Informationsdienst. LDAPS-Service basiert auf der OpenLDAP-Software. Er dient als zentrale Informationsquelle für Applikationen und Systeme, und ermöglicht den Austausch von Informationen über User, Gruppen, Systeme und Dienste (SLA).
Radius
Radius (Remote Authentication Dial-In User Service) ist ein Netzwerkprotokoll, das für die Authentifizierung, Autorisierung und das Accounting (AAA) von Benutzenden verwendet wird. Es wird eingesetzt, um die Zugriffskontrolle auf Netzwerke zu verwalten, insbesondere bei drahtlosen Netzwerken und Internetzugangsdiensten. RADIUS wird für den Netzwerk-Zugangsservice VPN verwendet.
Fazit
AD, LDAPS und Radius verfügen über eine SSL-Schicht (Secure Sockets Layer), um die Kommunikation zwischen dem Client und den Servern zu verschlüsseln und so die Datensicherheit zu erhöhen.
Bild Web Center
ETH Web Center Tab Self-Service > Passwort ändern > Passworte ändern für Benutzer „XXX“ > Auswahl der Zielsysteme für Passwortänderung
Identität & Zugang
Jedem ETH-Angehörigen wird beim Eintritt ein «ETH Userkonto» (IT-Wissensdatenbank) erstellt. Dieses Konto beinhaltet eine Vielzahl von Service-Rollen (Dienste wie Mailbox, VPN usw.) sowie Identitäten in verschiedenen Zielsystemen (Active Directory, LDAP, Radius). Im Webcenter kann man sehen in welchen Zielsystemen ein Account vorhanden ist und seine Passwörter verwalten.
Es gibt drei verschiedene ETH-Passwörter
- ETH Passwort für Webapplikationen, AAI (LDAPS)
- ETH Passwort für E-Mail (Active Directory)
- ETH Netzwerk-Passwort (Radius)
Und zwei Passwortgruppen
- Gruppe = Das ETH Passwort für Webapplikationen, AAI (LDAPS) und das ETH Passwort für E-Mail (Active Directory)
- Gruppe = ETH Netzwerk-Passwort (Radius)
Das Passwort für das Zielsystem Radius muss verschieden vom Passwort Webapplikationen, AAI (LDAPS) oder für E-Mail (Active Directory) sein.
Posted on
in IT-Sich, Kommunikation, Mail, Web, News, Passwort, Applikationen, Software, Arbeitsplätze, Support