Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Zugangsschutz

In der UTM-Konfiguration kann man für jeden Client (PTERM) und jede Client-Gruppe (LTERM-Pool; TPOOL) eine Verschlüsselungsebene festlegen. Die Verschlüsselungsebene gibt an, ob und wie Clients Nachrichten verschlüsseln müssen oder dürfen. Auf diese Weise kann sich eine UTM-Anwendung vor dem Zugang über unsichere Clients schützen.

Die Verschlüsselungsebene für einen Client legen Sie bei der KDCDEF-Generierung in der PTERM- oder TPOOL-Anweisung des Clients fest:

PTERM ...,ENCRYPTION-LEVEL=

TPOOL ...,ENCRYPTION-LEVEL=

Es gibt folgende Möglichkeiten:

  1. openUTM fordert die Verschlüsselung vom Client an.

    Der Client muss auf jeden Fall verschlüsseln, sonst bekommt er keinen Zugang zur UTM-Anwendung. Dabei wird die Mindestlänge des verwendeten RSA-Schlüssels vorgegeben. Unterstützt der Partner keine Verschlüsselung oder kann er den RSA-Schlüssel mit der geforderten Schlüssellänge nicht verwenden, dann kann er keine Verbindung zur UTM-Anwendung aufbauen.

    Diesen Fall generieren Sie mit folgenden Varianten:

    ENCRYPTION-LEVEL=3 (RSA-Schlüssellänge 1024 bit, AES-CBC-Verfahren)
    ENCRYPTION-LEVEL=4 (RSA-Schlüssellänge 2048 bit, AES-CBC-Verfahren)
    Für Unix-, Linux- und Windows-Systeme zusätzlich:
    ENCRYPTION-LEVEL=5 (RSA-Schlüssellänge 2048 bit, ECDHE-RSA-AES-GCM-Verfahren)

  2. openUTM fordert keine Verschlüsselung an, der Client kann festlegen, ob auf der Verbindung verschlüsselt wird oder nicht.
    Der Client wird zwar auch ohne Verschlüsselung zugelassen, er muss jedoch verschlüsseln, wenn es ein Service explizit verlangt (siehe nächster Abschnitt "Zugriffsschutz"). 
    Diesen Fall generieren Sie mit:

    ENCRYPTION-LEVEL=NONE

  3. Der Client wird als vertrauenswürdig eingestuft (trusted Client). Auf Verbindungen zu solchen Clients wird nicht verschlüsselt. Ein vertrauenswürdiger Client kann auch ohne Verschlüsselung „geschützte“ Services aufrufen (siehe nächster Abschnitt "Zugriffsschutz").
    Clients sollten Sie nur dann als vertrauenswürdig generieren, wenn sichergestellt ist, dass die Kommunikation über sichere Leitungen erfolgt.
    Diesen Fall generieren Sie mit:

    ENCRYPTION-LEVEL=TRUSTED

Socket- und HTTP-Clients, die sich über eine sichere Verbindung an die Anwendung anmelden, sind immer trusted Clients (siehe Anweisung BCAMAPPL T-PROT=(SOCKET,..., SECURE)). 

Unix-, Linux- und Windows-Systeme
Lokale UPIC-Clients (Typ UPIC-L) sind immer trusted Clients.

Powered by Atlassian Confluence and Scroll Viewport.