Als FTAC-Verwalter haben Sie folgende Aufgaben:

• Sie legen den Standardberechtigungssatz mit dem Kommando ftmoda @s fest.

  Nach einer Neuinstallation von openFT ist der Standardberechtigungssatz so eingestellt, dass File Transfer uneingeschränkt möglich ist. Als FTAC-Verwalter sollten Sie daher den Standardberechtigungssatz umgehend dem Schutzbedürfnis des Rechners anpassen, siehe Abschnitt „Berechtigungssätze verwalten“.

  Über die Vorgaben des Standardberechtigungssatzes kann sich ein Benutzer nur dann hinwegsetzen, wenn Sie als FTAC-Verwalter seinen Berechtigungssatz entsprechend ändern oder wenn Sie ihm ein privilegiertes Berechtigungsprofil einrichten.

• Sie können Berechtigungssätze von allen Benutzern des Systems mit dem Kommando ftshwa ansehen.

  Die Vorgaben des FTAC-Verwalters sind dort unter MAX-ADM-LEVELS aufgeführt, die Vorgaben des Benutzers unter MAX-USER-LEVELS. Gültig ist der jeweils kleinere Wert.

• Sie können für jeden Benutzer im System mit ftmoda einen individuellen Berechtigungssatz vergeben oder einen gegebenen Berechtigungssatz modifizieren.

• Sie legen erstmalig den ADM-Verwalter fest, indem Sie im Berechtigungssatz des ADM-Verwalters das ADM-Privileg setzen (siehe Abschnitt „ADM-Verwalter festlegen“).

Alternativ können Sie den openFT Explorer verwenden: Klicken Sie in der Navigationsleiste unter Administration auf Berechtigungssätze. Im Objektfenster Berechtigungssätze werden alle Berechtigungssätze aufgelistet. Der Standardberechtigungssatz hat den Namen *STD.

Berechtigungssätze sinnvoll einsetzen

Die im Berechtigungssatz festgelegte Berechtigung wird bei einem openFT-Auftrag (Outbound und Inbound) mit der FTAC-Sicherheitsstufe des jeweiligen Partners verglichen.

Um den Rechner vor Einbruchversuchen zu schützen, sollten Sie für alle administrationsberechtigten Kennungen die Inbound-Eigenschaften im Berechtigungssatz stets so restriktiv wie möglich einstellen, d.h. zumindest die Inbound-Verarbeitung verbieten.

1. Für einen sicheren Betrieb sollten Sie im Standardberechtigungssatz alle Inbound-Berechtigungen verbieten, z.B. mit dem Kommando:

   ftmoda @s -os=100 -or=100 -is=0 -ir=0 -if=0 -ip=0

2. Für jeden Benutzer, zu dem Inbound Aufträge durchgeführt werden dürfen, setzen Sie als FTAC-Verwalter alle Parameter des entsprechenden Berechtigungssatzes auf 100.

3. Anschließend sollte jeder Benutzer seine Inbound-Werte auf 0 ändern. Er hat dann die Möglichkeit, über Profile und "ignore ... level" jeden gewünschten Zugriffsmodus zuzulassen. Inbound Aufträge, deren zugehörige Berechtigungslevel auf 0 stehen, sind nur noch über FTAC-Zugangsberechtigung, jedoch nicht mehr über Login und Passwort möglich.

Zusätzlich gibt es die Möglichkeit,

• partnerspezifische Sicherheitsstufen zu vergeben

• und openFT-Partner einer gesicherten Identitätsprüfung mit kryptografischen Mitteln zu unterziehen (siehe Abschnitt „Authentifizierung“).

Zusätzliche Sicherheit bringt auch die Verwendung eines Dateinamen-Präfix im Berechtigungsprofil. Dadurch kann der Wechsel in ein übergeordnetes Verzeichnis ausgeschlossen werden.

Wichtig

Wenn Sie hohe Sicherheitsansprüche haben, sind diese Maßnahmen nur dann wirklich sinnvoll, wenn keine anderen Netzwerkzugänge möglich sind, mit denen die Schutzmechanismen umgangen werden können. D.h. insbesondere, dass TCP/IP-Dienste wie ftp, tftp nicht aktiv sein dürfen.