Autorisierungsphase, Zertifikatssperrprüfung, Zu beachtende sicherheitsmaßnahmen – HP Systems Insight Manager Benutzerhandbuch
Seite 135
Autorisierungsphase
Auf die Authentifizierungsphase folgt die Autorisierungsphase.
In dieser Phase wird der Benutzer zur Ausführung von Aufgaben in CMS autorisiert. Dieser Schritt
verifiziert, dass der authentifizierte Benutzer über ein gültiges HP SIM-Benutzerkonto verfügt.
Zertifikatssperrprüfung
Dies ist eine der Voraussetzungen für die Aktivierung der 2-Faktor-Authentifizierung.
Voraussetzungen für die Aktivierung der 2-Faktor-Authentifizierung
•
In HP SIM muss ein Domänenserverkonto konfiguriert sein.
•
Der Distinguished Name des Benutzers muss in HP SIM konfiguriert sein.
•
Die Zertifikatssperrprüfung muss in HP SIM konfiguriert werden. Weitere Informationen finden
Sie unter
„Ablauf des Zertifikats und Zertifikatsperrprüfung“
.
•
Zu den Benutzerzertifikaten gehörende Stamm- und Zwischenzertifikate müssen nach HP SIM
importiert werden. Wählen Sie zu diesem Zweck Options (Optionen)
→Security
(Sicherheit)
→Credentials (Anmeldedaten)→Trusted Systems (Vertrauenswürdige
Systeme)
→Trusted Certificates (Vertrauenswürdige Zertifikate).
•
Wechseln Sie zur 2-Faktor-Authentifizierung, und starten Sie CMS neu.
Alle Benutzer müssen Zertifikate besitzen, um sich bei HP SIM anmelden zu können.
Administratoren können weiterhin auf alle Befehlszeilenschnittstellen (z. B. mxuser, mxnode usw.)
zugreifen, wenn HP SIM im Modus der 2-Faktor-Authentifizierung ausgeführt wird.
Smart Cards und CSP (Cryptographic Service Provider)
HP SIM kommuniziert nicht direkt mit dem CSP, sondern nutzt die im Browser bereitgestellten
Funktionen. Browser müssen manuell für die Kommunikation mit dem CSP der Smart Card konfiguriert
werden. Browser müssen in der Lage sein, Smart Cards zu erkennen und die PIN vom Benutzer
anzufordern, wenn dieser die Verbindung zu HP SIM herstellt.
Wenn beispielsweise Active Client auf einer Client-Workstation installiert ist und ausgeführt wird
und der Benutzer über Internet Explorer eine Verbindung zu HP SIM herstellt, startet Internet Explorer
die Kommunikation mit dem Active Client-CSP und fordert den Benutzer zum Einlegen der Smart
Card auf.
Zu beachtende Sicherheitsmaßnahmen
•
Sie sollten den Browser schließen und die Smart Card unmittelbar nach dem Abmelden von
HP SIM entnehmen. Dadurch werden alle vom Browser oder vom Software-CSP
zwischengespeicherten Zertifikate aus dem Speicher entfernt.
•
Es wird empfohlen, für die Anmeldung bei HP SIM ein neues Browserfenster zu öffnen.
•
Legen Sie die Smart Card immer ein, bevor Sie die Verbindung zu HP SIM herstellen. Einzelne
Browser erkennen möglicherweise den CSP nicht oder kommunizieren nicht mit ihm, bevor
Sie die Smart Card eingelegt haben.
•
Wenn im Rahmen der Authentifizierung eine Fehlermeldung angezeigt wird, schließen Sie
den Browser, und wiederholen Sie den Vorgang. Der Grund besteht darin, dass der Browser
die aktuelle Sitzung als fehlgeschlagen betrachtet und kein erneutes Handshake mit dem Server
zulässt.
•
Speichern Sie Ihre Zertifikate nicht im Browser. Dies würde es Dritten ermöglichen, Ihre
Zertifikate zu benutzen.
Anmeldeschritte:
•
Geben Sie im Browser (Internet Explorer oder Firefox) „https://<CMS>:50000“ ein.
2-Faktor-Authentifizierung
135