|
<< Klicken Sie hier um das Inhaltsverzeichnis anzuzeigen >> Navigation: Detailbeschreibung > Event Base > EB spezifische Funktionen > Titel an CMS versenden > SSH FTP > Authentifizierung |
Der Server identifiziert sich dem Client gegenüber mit einem RSA-, DSA- oder ECDSA-Zertifikat, wodurch Manipulationen im Netzwerk erkannt werden können.
Der Client kann sich wahlweise per Public-Key-Authentifizierung oder einem gewöhnlichen Kennwort authentifizieren. Die sogenannte Host-Based Authentifizierung ist eine weitere Möglichkeit der Authentifizierung, welche jedoch von DABiS Anwendugen nicht unterstützt wird.
Der Server Host Schlüssel wird benötigt um während dem Schlüsselaustausch verifizieren zu können, dass der Client wirklich mit dem korrekten Server spricht. Dazu benötigt der Client a priori den Öffentlichen Host Schlüssel. Dabei existieren zwei verschiedene Trust-Modelle.
•Der Client hält eine lokale Datenbank, welche jeden Hostnamen mit dem dazugehörigen Host Public Key assoziiert. Diese Methode benötigt keine zentral administrierte Infrastruktur und keine Koordination von Dritten. Diese DABiS Anwendung arbeitet mit dem SFTP URI Schema, dabei wird der FingerPrint des Servers verwendet um sicherzustellen, dass sie mit den richtigen Server kommunizieren und nicht mit etwa einem Man-In-The-Middle. Verwenden Sie also immer den Parameter fingerprint im URI. Siehe auch: Fingerprint des Servers ermitteln.
•Die Host name-to-key Assoziation wird von einer vertrauenswürdigen Certification Authority (CA) zertifiziert. Der Client kennt nur den CA root key und kann die Gültigkeit aller Host Keys verifizieren, welche von der CA akzeptiert wurden. Dieses Modell wird von DABiS nicht unterstützt.
Mit dieser Methode wird der Private Key des Clients für die Authentifizierung verwendet. Der Client muss ein Schlüsselpaar (Public- und Private Key) besitzen. Der Public Key wird entsprechend auf den Server abgelegt, der Private Key bleibt beim Client. Private Schlüssel können beim Client passwortgeschützt abgelegt werden. D.h. Der Client muss ein Passwort eingeben um seinen Private Key verwenden zu können. Siehe PrivateKey mit einem Passwort schützen. Diese Methode wird auch durch das von DABiS implementierte SFTP URI Schema unterstützt.
Für mehr Informationen lesen Sie auch: Verwenden der Public Key Authentifizierung.
Anstelle der Authentifizierung via Public Key kann die Authentifizierung mittels Benutzername und Passwort erfolgen. Der Client schickt das Passwort dem Server, welcher das Passwort mit seiner Datenbank vergleicht und den Benutzer authentifiziert, wenn das Passwort korrekt ist. Das Passwort wird verschlüsselt übertragen. Diese Methode wird auch durch das von DABiS implementierte SFTP URI Schema unterstützt.
Das Schlüsselpaar vom Server wird nur verwendet damit der Client sicherstellen kann, dass er mit dem richtigen Server spricht. Das Schlüsselpaar vom Client wird nur für die Authentifizierung des Clients gegenüber dem Server benötigt. Nach einem asymmetrischen Schlüsselaustausch wird die restliche Kommunikation symmetrisch verschlüsselt. D.h. Server und Client verwenden dasselbe Passwort und einen symmetrischen Verschlüsselungsalgorithmus. Dabei können Algorithmen wie Blowfish, CAST, AES oder 3DES zum Einsatz kommen.
Bei der Verwendung der Public Key Authentifizierung werden die Privaten Schlüssel der Benutzer in einem KeyStore gehalten. Sie werden für einen Verbindungsaufbau mit einem SFTP Server respektive für die Authentifizierung genutzt. Die Schlüssel werden dort in verschlüsselter Form abgespeichert. Dazu muss der Private Key eines Benutzers vor der Verbindung in den KeyStore importiert werden. Dies geschieht entweder automatisch durch die Angabe des absoluten Pfades des Private Keys in der URI, was jedoch nicht empfohlen ist. Oder Sie importieren den Private Key mittels dem Tool DABiS SSH FTP Util (Siehe Import eines privaten Schlüssels in den KeyStore) zuvor manuell.
Sie können das Verzeichnis des KeyStores in jeder DABiS Anwendung mit dem Ini-Schalter SSHKeyStoragePath konfigurieren. Im Beispiel unten das Verzeichnis D:\ssh\key\DABiSstore als KeyStore verwendet. Wenn das Verzeichnis nicht existiert, wird es automatisch erstellt.
[Parameter] SSHKeyStoragePath=D:\ssh\key\DABiSstore |