Zielsysteme: Active Directory, LDAPS, Radius

Good to know: Active Directory, LDAPS und Radius sind Authentisierungs-Infrastrukturen, welche für die Nutzung von Identitäten (Personen) und für die Zuweisung von Zugriffsrechten in einem Netzwerk genutzt werden. Sie stellen sicher, dass nur authentisierte Benutzende (Personen) auf Informationen und Systeme zugreifen können.

Identity und Access Management

Die ETH Zürich betreibt ein Identity und Access Management (IAM)-System, bei uns als ETH Web Center bekannt. Das System ermöglicht die Steuerung und Versorgung mit Daten zu den Directory Services (Active Directory, LDAP und Radius). Dies ermöglicht, dass man User-Konten erstellen kann, und es vereinheitlicht die Verwaltung von Gruppen und Verteilern.

Bild ETH Web Center

ETH Web Center Tab Self-Service

ETH Web Center Tab Self-Service > Benutzer/in-Übersicht > Abschnitt Accounts

Zielsysteme

Der Begriff «Zielsysteme» bezieht sich auf die spezifischen Plattformen oder Services innerhalb einer IT-Infrastruktur. An der ETH werden die Zielsysteme für die Authentisierung sowie teilweise auch für die Autorisierung verwendet. Sie stellen sicher, dass die Personen, welche sich anmelden, auch diejenigen sind. In einem praktischen Kontext kann ein Zielsystem alles sein, von einem Server über eine Datenbank bis hin zu einem Anwendungsprogramm.

Active Directory

Das Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst, der in Applikations-Ressourcen verwendet wird. Es ermöglicht die Verwaltung von Benutzerkonten und Computer-Objekte (IT-Geräte). Administrator:innen können damit Ressourcen steuern, Benutzerrechte verwalten und Richtlinien durchsetzen. Die gängigsten Applikationen, welche als Active Directory-Service der Informatikdienste (SLA) für die ETH-Angehörigen angeboten werden, sind:

  • Beim Einloggen am persönlichen Rechner (Desktop/Laptop)
  • Exchange (Outlook, E-Mail)
  • SharePoint
  • Confluence
  • Teams
  • OneDrive
  • Zoom
  • fast alle Cloud-Services

LDAPS

LDAPS steht für «Lightweight Directory Access Protocol Secure» und ist ein Protokoll, das verwendet wird, um Informationen aus Verzeichnisdiensten (wie z.B. Benutzernamen und Passwörter) abzufragen und zu verändern. Der LDAPS-Service ist wie AD ein ETH-weiter Authentifizierungs-, Autorisierungs- und Informationsdienst. LDAPS-Service basiert auf der OpenLDAP-Software. Er dient als zentrale Informationsquelle für Applikationen und Systeme, und ermöglicht den Austausch von Informationen über User, Gruppen, Systeme und Dienste (SLA).

Radius

Radius (Remote Authentication Dial-In User Service) ist ein Netzwerkprotokoll, das für die Authentifizierung, Autorisierung und das Accounting (AAA) von Benutzenden verwendet wird. Es wird eingesetzt, um die Zugriffskontrolle auf Netzwerke zu verwalten, insbesondere bei drahtlosen Netzwerken und Internetzugangsdiensten. RADIUS wird für den Netzwerk-Zugangsservice VPN verwendet.

Fazit

AD, LDAPS und Radius verfügen über eine SSL-Schicht (Secure Sockets Layer), um die Kommunikation zwischen dem Client und den Servern zu verschlüsseln und so die Datensicherheit zu erhöhen.

Bild Web Center

ETH Web Center Tab Self-Service > Passwort ändern

ETH Web Center Tab Self-Service > Passwort ändern > Passworte ändern für Benutzer „XXX“ > Auswahl der Zielsysteme für Passwortänderung

Identität & Zugang

Jedem ETH-Angehörigen wird beim Eintritt ein «ETH Userkonto» (IT-Wissensdatenbank) erstellt. Dieses Konto beinhaltet eine Vielzahl von Service-Rollen (Dienste wie Mailbox, VPN usw.) sowie Identitäten in verschiedenen Zielsystemen (Active Directory, LDAP, Radius). Im Webcenter kann man sehen in welchen Zielsystemen ein Account vorhanden ist und seine Passwörter verwalten.

Es gibt drei verschiedene ETH-Passwörter

  • ETH Passwort für Webapplikationen, AAI (LDAPS)
  • ETH Passwort für E-Mail (Active Directory)
  • ETH Netzwerk-Passwort (Radius)

Und zwei Passwortgruppen

  1. Gruppe = Das ETH Passwort für Webapplikationen, AAI (LDAPS) und das ETH Passwort für E-Mail (Active Directory)
  2. Gruppe = ETH Netzwerk-Passwort (Radius)

Das Passwort für das Zielsystem Radius muss verschieden vom Passwort Webapplikationen, AAI (LDAPS) oder für E-Mail (Active Directory) sein.

Posted on
in IT-Sich, Kommunikation, Mail, Web, News, Passwort, Applikationen, Software, Arbeitsplätze, Support Tags: , , , , , , , , , , , , , , ,

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.