Hallo,
dass man eine OU ins CA Prozess migrieren kann ist mir klar.
Kann man auch eine O ins CA Prozess migrieren?
Hat jemand bereits eine O als CA benutzt ? Was ist mit der Sicherheit ?
Gruss
SNAKER
O ins CA Prozess migrieren
- snaker
- Erledigt
-
Man kann jeden Certifier in eine CA migrieren, also auch eine O.
Sicherheit ist ne gute Frage. Je nachdem was man als "sicher" interpretiert kann man die CA nutzen oder nicht. Durch das Verknüpfen der CA mit Personen, die die CA verwalten und verwenden dürfen ist das System so sicher, wie diese Personen es machen. Jede berechtigte Person kann alleine neue Benutzer zulassen, was in meinen Augen nicht sinnvoll ist.
Ich persönlich finde den ganzen CA-Kram nützlich, wenn man nicht Wert auf Sicherheit legt (wobei "Sicherheit" individuell definiert werden muss). Ich habe die CA noch bei keinem unserer Kunden implementiert (Banken und Sparkassen denken da fast paranoid
)Vielleicht hat einer der Profis (Ronka, Carsten und co.) noch ein paar EIndrücke
Zur CA gibts auch ein gutes PDF in der LDD, mal schauen ob ich das auf die Schnelle finde.
/edit: dieses Doc wars glaube ich -
Migrieren kann man prinzipiell jeden Zertifizierer, also auch die Organisation. Allerdings wage ich den Sinn anzuzweifeln da aus Gründen der Sicherheit direkt unter O keine Benutzer oder Server liegen sollten und damit der Nutzen der Migration Null wäre.
Zur allgemeinen Frage der Sicherheit von migrierten Zertifizierern gibt es eine übersichtliche Tabelle in der Adminhilfe unter dem Titel: "Zertifizierer in den CA-Prozess migrieren". Dort wird die Frage nach Sicherheit ausführlich beantwortet.
-
Da war BANXX wieder schneller...*g* Ok, ich mag grad streiten *fg*
ZitatIch persönlich finde den ganzen CA-Kram nützlich, wenn man nicht Wert auf Sicherheit legt ...
Richtig angewendet ist der "CA-Kram" sogar noch um einiges sicherer als die herkömmliche Zertifizierung.
Begründung:
Administratoren Meier und Müller von Firma SuperBank registrieren öfter User und haben dazu Zugriff auf die Bank.ID (O) und alle OU's. Aus Bequemlichkeit ist nur 1 Kennwort eingerichtet, weil 1 von beiden ja mal im Urlaub sein kann.
[2 Jahre später...]
Meier bekommt supertolles Jobangebot von MegaSuperBank und wechselt dorthin. Auf seinem PC zu Hause hat er Kopien der alten ID's und weiß natürlich auch sein altes Kennwort. Müller hat inzwischen das Kennwort auf alle IDs zwar geändert aber damit natürlich nicht an die Kopien von Meier gedacht. MegaSuperBank möchte gern wegen einem Rechtsstreit einige interne Dinge über SuperBank erfahren und unser Meier wäre mit Hilfe seiner Kopien in der Lage gültige und funktionierende ID's zu generieren, die auf die Server seiner alten Firma zugreifen können, weil es ja einen Internetzugang für HomeOffice und Vertrieb gibt. Möglich ist das, sobald einer der Server keinen Schlüsselvergleich durchführt (Security-Einstellung im Serverdokument, die von vielen Admins nicht aktiviert wird).
Dieses Szenario wäre undenkbar, wenn entweder:
- Cert.ID's mit Mehrfachkennwörtern geschützt sind (sind viele simpel zu faul für, weil es müssen ja immer mindestens 2 Personen ihr Kennwort eintippen. jeder der eine cert.id und das kennwort hat stellt ein späteres Risiko dar)
- CA-Prozeß verwendet wird (dabei kann Meier die ID nämlich nie mitnehmen, weil er sie schlicht nie in der Hand hat sondern ihm nur via Kennwort temporär das Recht gegeben wird, den CA zu benutzen. dieses Recht kann ihm jederzeit und risikolos entzogen werden)Ich habe mehrere Kunden mit CA im Einsatz, den lokalen Admins werden nur Rechte und Kennwörter zugeteilt, die echten ID's haben die größtenteils noch nie gesehen bzw. kennen sie die dazugehörenden Kennwörter nicht.
-
Hey Carsten,
ich bin voll bei Dir, aber ich bin scheinbar durch unser Kundenumfeld geschädigt, mein Sicherheitsdenken (geprägt vom Sicherheitsanspruch der Kunden), ist relativ hoch.
Das geht so weit, dass die Zulassungsstellen mit Mehrfachkeennwörter gesichert im 4-Augenprinzip verschlossen werden. Die Kennwörter der beteiligten Instanzen (z.B. Administration und Revision) sind mehreren Leuten bekannt (z.B. 3 Admins und 2 Revisoren), damit wird eine Vertreterregelung gewährleistet. Die verwendeten Kennwörter werden zusätzlich schriftlich dokumentiert und versiegelt verwahrt um im Notfall noch an die Zulassungsstelle dran zu kommen. Dieses Verfahren wird seit vielen Jahren eingesetzt, größtenteils deswegen weil unter Notes 4 kaum was anderes möglich war. Und nun kann ich verstehen, wenn die Ihr einmal ziemlich hoch angesetztes Sicherheitsnevieau nicht wieder zugunsten der CA runterschrauben wollen.
Nenn es paranoid (ist es auch ein bisschen...) aber diesen Anspruch haben die Banken (insbesondere die Geno-Banken in Norddeutschland). Und das hat mein eigenes Empfinden was Sicherheit von Zulassungsstellen anbetrifft, wohl ein wenig beeinflusst....
Insgesamt finde ich den CA-Prozeß durchaus sinnvoll, aber ein paar zusätzliche Sicherheitsmechanismen fände ich gut. -
Wenn die Sicherheit der Mehrfachkennwörter derart sichergestellt ist dann ists auch ok so *Beifallklatsch*
Nur sind das meiner Trainererfahrung nach eher die Ausnahmen...daher mein langes (abschreckendes) Beispiel ;=)