DE69532736T2 - Betriebsverfahren für Rechnernetz - Google Patents

Betriebsverfahren für Rechnernetz Download PDF

Info

Publication number
DE69532736T2
DE69532736T2 DE69532736T DE69532736T DE69532736T2 DE 69532736 T2 DE69532736 T2 DE 69532736T2 DE 69532736 T DE69532736 T DE 69532736T DE 69532736 T DE69532736 T DE 69532736T DE 69532736 T2 DE69532736 T2 DE 69532736T2
Authority
DE
Germany
Prior art keywords
user
request
identifier
network
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69532736T
Other languages
English (en)
Other versions
DE69532736D1 (de
Inventor
Eric Bauer
Russel W. Schaffer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NCR International Inc
Original Assignee
NCR International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NCR International Inc filed Critical NCR International Inc
Application granted granted Critical
Publication of DE69532736D1 publication Critical patent/DE69532736D1/de
Publication of DE69532736T2 publication Critical patent/DE69532736T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Computernetzwerkes und eine Vorrichtung zum Ausführen des Verfahrens.
  • Lokale Netzwerke (LANs) erlauben es Personalcomputern (PCs) gemeinsam von einem Hostcomputer vorgehaltene Ressourcen wie Dateien und Drucker zu nutzen. Diese Arten von Netzwerken werden allgemein als Client/Server- Netzwerke bezeichnet, wobei die PCs als "Clients" bezeichnet werden, deren Anfragen durch den Host "Server" bearbeitet werden.
  • Netzwerk-Betriebssysteme nutzen zunehmend "netzwerkweite" Benutzerkennungen, bei denen ein "Netzwerkbenutzer", wie John Smith, eine einzige netzwerkweite Kennung erhält, die dazu benutzt werden kann, um diesen Nutzer überall im Netzwerk einheitlich zu identifizieren. Netzwerkweite Kennungen erleichtern administrative und andere Aufgaben durch Ermöglichen der Verwendung eines einzelnen netzwerkweiten "Namens", um einen bestimmten Nutzer unabhängig von der Netzwerk-Topologie oder der Netzwerk-Organisation zu identifizieren. Servercomputer benötigen hierzu typischerweise eine separate lokal gültige Nutzerkennung oder einen Account, um das Eigentum an Ressourcen und die lokale Verwendung von Ressourcen dem Servercomputer mitzuteilen. Beispielsweise verwenden UNIX-Systeme die lokal gültige Integervariable "User Identifier" oder einfach "uid", um das Eigentum an Dateien, Verzeichnissen und Prozessen zu verfolgen.
  • Da der Satz von gültigen "Netzwerknutzern" viel größer sein kann, als die Anzahl der einzelnen Nutzer, die von einem ein zelnen Servercomputer adäquat verwaltet werden können, ist es unpraktisch, eine lokal gültige Kennung für jeden Nutzer auf jedem Server des Netzwerks zu erstellen. Beispielsweise kann eine Universität zehntausende von Studenten haben, die jeweils unterschiedliche "Netzwerknutzer" sind, wobei es jedoch unpraktisch ist, zehntausende von lokalen Benutzer-Accounts auf einer Anzahl von verschiedenen Servercomputern zu erstellen, mit Ausnahme der größten Computer.
  • EP-A-0483547 offenbart ein Adressenmanagementsystem für ein Netzwerk, das mobile Nutzer aufweist, bei dem die Adressen aus einem Pool verfügbarer Pseudo-IP-Adressen zugeteilt und freigegeben werden. In der Veröffentlichung "Implementation of a dynamic address assingnment protocol in a local area network", von Loucks W.M. et al, Proceedings of the Conference on Local Computer Networks, US, Washington, IEEE Comp. Soc. Press, vol. Conf 10, Ocotber 1985 (1985–10), Seiten 149-157, XP000809824 ist die Implementierung eines dynamischen Adresszuweisungsprotokolls (Dynamic Address Assignment Protocol, DAAP) offenbart, das die Verwendung von kürzeren Adressen für jedes Datenpaket erlaubt, was zu reduzierten O-verheads in Netzwerken führt, die kurze Datenpakete unterstützen. EP-A-0579368 offenbart ein Computerdateisystem, das die Erstellung von Übersichtsskizzen erlaubt, die aus einer Anzahl von Lagen bestehen, die jeweils einen baumförmigen Satz von Verzeichnissen und Dateien umfassen. Ein Nutzer, der auf eine Übersichtsskizze zugreift, sieht gewissermaßen eine zusammengesetzte Dateistruktur, welche die Gesamtheit der Verzeichnisse und Dateien in allen Lagen umfasst, wobei er die Dateien der obersten Lage seiner eigenen Übersichtsskizze verändern kann, ohne die Übersichtsskizzen der anderen Nutzer zu beeinflussen.
  • Es ist ein Ziel der vorliegenden Erfindung, ein Verfahren zum Betrieb eines einen Clientcomputer und einen Servercomputer enthaltenden Computernetzwerks bereit zu stellen, bei dem einen Nutzer des Netzwerks automatisch eine lokale Kennung des Servers in einer effizienten Weise zugeteilt werden kann.
  • Dazu wird gemäß der vorliegenden Erfindung ein Verfahren zum Betrieb eines einen Clientcomputer und ein Servercomputer enthaltenden Computernetzwerks angegeben, das ein Kontrollieren des Servercomputers zum Ausführen folgender Schritte umfasst: Zuweisen einer temporären lokalen Kennung an eine Netzwerkkennung, die mit einem Benutzer des Clientcomputer verknüpft ist; Empfangen und Beantworten von Anfragen des Clientcomputers zum Ausführen von Funktionen; Auslösen einer Eigentumsfehlermeldung (ownership fault) als Antwort auf eine bestimmte Anfrage, die von der zugewiesenen temporären lokalen Kennung empfangen wurde, die mit dem Benutzer des Clientcomputers verknüpft ist; Ermitteln, ob die bestimmte Anfrage entsprechend einer auf dem Servercomputer eingerichteten Sicherheitsrichtlinie ausgeführt wird, und Zuweisen einer permanenten lokalen Kennung an die Netzwerkkennung, die mit dem Benutzer des Clientcomputers verknüpft ist, als Antwort auf die Eigentumsfehlermeldung, wobei die zugewiesene permanente lokale Kennung dauerhaft der Netzwerkkennung des Benutzers während nachfolgender Sitzungen des Benutzers und des Servers zugeordnet ist.
  • Ein Vorteil eines Verfahrens gemäß der vorliegenden Erfindung ist, dass es geeignet ist, einen Netzwerkzugriff auf Servercomputer zu bewältigen, falls die Mehrzahl der Netzwerkzugriffe nicht die Verwendung von einheitlichen lokal gültigen Kennungen erfordert. Konkreter erlaubt es die vorliegende Erfindung, eine große Anzahl von Netzwerkkennungen für normalen Zugriff als "Gast"-Kennungen oder temporär lokal gültigen Kennungen eines Servercomputer zu führen und nur bei Auftreten einer "Eigentumsfehlermeldung" eine permanente lokale Kennung an eine Netzwerkkennung zu vergeben. Diese Technik vermeidet die unpraktische Alternative des Erstellens einer lokal gültigen Kennung auf jedem Server des Netzwerks für jeden Netzwerknutzer.
  • Ein anderer Vorteil der vorliegenden Erfindung ist, dass sie eine Technik zum Vergeben lokal gültiger Kennungen oder Benutzer-Accounts an Netzwerkkennungen in einer Weise bereit stellt, die die Notwendigkeit eines manuellen Eingriffes überflüssig macht. Dadurch kann die vorliegende Erfindung den zum Bewerkstelligen des Netzwerkzugriffes auf einem Servercomputer notwendigen Aufwand der Systemadministratoren erheblich vereinfachen. Außerdem können die Eigentümer von lokalen Ressourcen, wie Dateien auf einem Servercomputer, leicht identifiziert werden.
  • Eine Ausführungsform der vorliegenden Erfindung wird nun exemplarisch unter Bezugnahme auf die beigefügten Zeichnungen erklärt, wobei:
  • 1 eine typische Client/Server-Computernetzwerkarchitektur zeigt; und
  • 2 ein Flussdiagramm ist, dass die Schritte zeigt, die gemäß der vorliegenden Erfindung ausgeführt werden.
  • 1 ist ein Blockdiagramm eines beispielhaften Client/Server-Systems oder Netzwerks, in dem die vorliegende Erfindung verwendet werden kann. Das Netzwerk umfasst einen Servercomputer 10, der mit einer Vielzahl von Client-Workstations oder Personalcomputern (PCs) 12 über ein lokales Netzwerk (LAN) 14 verbunden ist. Der Servercomputer 10 ermög licht den Client-PCs 12 gemeinsamen Zugriff auf Daten, die auf einer Festplatte 16 gespeichert sind.
  • In einer beispielhaften Anordnung kann der Servercomputer 10 ein AT&T System 3450TM Computer sein, der unter einem UNIX®-System V Release 4.0 Betriebssystem 18 läuft. Jeder der Client-PCs 12 kann mit einem bekannten MS-DOS®-Betriebssystem oder OS/2®-Betriebssystem 20 betrieben werden. Das LAN 14 kann ein AT&T STARLANTM System sein.
  • Die Client-PCs 12 und der Servercomputer 10 können die AT&T StarGROUPTM-System-Software verwenden. Die StarGROUPTM-System-Software erlaubt es den MS-DOS- und OS/2-Client-PCs 12 transparent Datendateien im LAN 14 gemeinsam zu benutzen. Der Servercomputer 10 kann eine oder mehrere große Festplatten 16 unterstützen, die den Client-PCs 12 im LAN 14 verfügbar gemacht werden können. Das UNIX Betriebssystem 18, das den Betrieb des Servercomputers 10 kontrolliert, ist in drei Lagen geteilt, die einen Benutzer-Level 22, einen Kernel-Level 24 und einen Hardware-Level 26 umfassen. Der Benutzer-Level 22 umfasst Benutzerprogramme 28, wie ein Serverprogramm 30 und Bibliotheken 32, die mit den Client-PCs 12 über das LAN 14 verbunden sind, um den Zugriff auf die auf der Festplatte 16 gespeicherten Daten zu ermöglichen. Der Kernel-Level 24 umfasst eine Systemaufruf-Schnittstelle (System call interface) 34, ein Dateisystem 36, ein Prozesskontrollsubsystem 38, einen Gerätetreiber 40 und eine Hardwarekontrolle 42, so dass er direkt mit dem Hardware-Level 26 interagiert, wobei es dem Benutzer-Level 22 die üblichen Services zur Verfügung stellt, um dem Benutzer-Level 22 von den Eigenarten des Hardware-Levels 26 zu isolieren. Der Hardware-Level 26 umfasst einen Hardwaregerätetreiber 44 und stellt dem Betriebssystem 20 grundlegende Services bereit, die der Computer 10 benötigt.
  • Die Systemaufruf-Schnittstelle 34 des Kernel-Levels 24 stellt die Grenze zwischen dem Benutzer-Level 22 und dem Kernel-Level 24 dar. Die Systemaufruf-Schnittstelle 34 konvertiert Benutzerprogrammaufrufe (User programm calls) in UNIX-Systemaufrufe (UNIX System Calls). Systemaufrufe sehen wie normale Funktionsaufrufe in C-Programmen aus und die Bibliotheken 32 ordnen diese Funktionsaufrufe den Grundelementen zu, die benötigt werden, um das Betriebssystem in einer an sich bekannten Weise zu betreiben. Der Satz Systemaufrufe umfasst solche, die mit dem Prozesskontrollsubsystem 38 interagieren und solche, die mit dem Dateisystem 36 interagieren.
  • Eine Software 46 des Client-PCs 12 interagiert mit dem Serverprogramm 30 des Servercomputers 10, um Zugriff auf die Festplatte 16 zu erhalten. Insbesondere werden Systemaufrufe der Software 46, die die Festplatte 16 betreffen, in Anfragemitteilungen (request messages) durch einen Redirector 48 umgewandelt und werden über eine Netzwerksoftware 50 und eine LAN-Schnittstelle 52 über das LAN 14 an das Serverprogramm 30 gesendet.
  • Die 2 ist ein Flussdiagramm, das die Schritte, die im Rahmen der vorliegenden Erfindung ausgeführt werden, zeigt, wobei die Interaktion des Servers 10 und des Client-PCs 12 aus der Perspektive des Servers 10 gezeigt ist.
  • Ein Block 54 zeigt den Server 10 beim Empfangen und Beantworten eines Negotiation-Server-Message-Blocks (SMB) von dem Client-PC 12, wobei der Server 10 die mit dem Client-PC 12 zu verwendende Protokollsprache festlegt. Das SMB-Protokoll ist ein bekanntes Protokoll, das in vielen Netzwerkprodukten verwendet wird. Das Negotiation-SMB ist das erste SMB, das über eine neu aufgebaute virtuelle Verbindung gesendet wird. In der Antwort auf das Negotiation-SMB sendet der Server 10 Informationen, die seinen Funktionsumfang angeben, an den Client-PC 12. Der letzte Schritt der Negotiation findet statt, wenn der Client-PC 12 ein Session-Setup-and-X-SMB sendet.
  • Ein Block 56 zeigt den Server 10 beim Empfangen und Beantworten des Session-Setup-And-X-SMBs zum Authentifizieren einer ankommenden Netzwerkkennung von dem Client-PC 12. Die Sessi-on-Set-up-and-X-SMB umfasst den Netzwerk-weiten Benutzernamen des Benutzers und den Namen der administrativen Netzwerkdomäne, zu der sie gehören. Beispielsweise kann der Benutzername "John Smith" und der Domänenname "ACCOUNTING" sein. Der Server 10 fragt seine lokale Zuordnungstabelle (Mapping) ab, in der Netzwerkkennungen mit lokal gültigen Kennungen verknüpft sind, um die lokal gültige Kennung zu erhalten, der die ankommende Netzwerkkennung zugeordnet wird.
  • Auf einem UNIX-System kann eine solche Zuordnungstabelle als eine Datei implementiert sein, die "Benutzername: Domäne"-Namenpaare mit lokal gültigen UNIX-Benutzer-Accounts verknüpft. Beispielsweise kann "John Smith":"ACCOUNTING" der lokal gültigen "smith"-Kennung zugeordnet werden. Die bekannte UNIX-System-Datei "/etc/profile" ordnet den lokal gültigen Namen "smith" der entsprechenden numerischen uid dieses bestimmten UNIX-Systems zu.
  • Falls die ankommende Netzwerkidentität nicht über eine explizit zugewiesene lokal gültige Kennung verfügt, weist der Server 10 dem Nutzer eine lokal gültige "Gast"-Kennung zu. Im Folgenden wird angenommen, dass die ankommende Netzwerkkennung nicht ausdrücklich einer lokal gültigen Kennung entspricht und dass ihr deshalb eine lokal gültige "Gast"-Kennung zugewiesen wurde.
  • Ein Block 58 zeigt den Server 10 beim Empfang eines Kommandos des Benutzers, das eine „Eigentumsfehlermeldung" auslöst. Ein solches Kommando kann beispielsweise das Erstellen einer neuen Datei oder eines neuen Verzeichnisses, die Übernahme des Eigentums (take ownership) an einer existierenden Datei oder eines Verzeichnisses oder eine andere Funktion sein. Beispielsweise kann das Kommando ein Create-and-X-SMB zum Erstellen oder zum Öffnen einer Datei oder eines Verzeichnisses sein, wobei die Aktion, die der Server 10 unternimmt, von dem Namen des zu öffnenden Objekts, ob das Objekt bereits besteht, ob der Nutzer zum Zugriff auf das genannte Objekt autorisiert ist und von anderen Faktoren abhängt, und wobei ein Dateihandle zurückgegeben wird, das bei nachfolgenden Serviceaufrufen verwendet werden kann, um die Datei selbst oder die Daten der Datei zu verändern.
  • Da eine auf dem Server 10 gespeicherte Datei zu einer gültigen lokalen Kennung (beispielsweise einer UNIX-uid) gehören muss und die Netzwerkkennung des Benutzers der lokal gültigen "Gast"-Kennung zugeordnet wurde, d.h. einer lokal gültigen Kennung, die nicht an einen einzelnen Nutzer vergeben wurde, löst der Server 10 eine Eigentumsfehlermeldung aus. Ein Entscheidungsschritt 60 zeigt nach dem Auslösen der Eigentumsfehlermeldung den Server 10 beim Entscheiden, ob dem Netzwerkbenutzer basierend auf einer auf dem Server 10 eingerichteten Sicherheitsrichtlinie erlaubt oder nicht erlaubt wird, mit der Übernahme von Ressourcen fortzufahren. Die Sicherheitsrichtlinie kann angeben, wie Eigentumsfehlermeldungen zu behandeln sind, je nachdem welcher Organisations- oder administrativen Domäne der Benutzer angehört, welcher netzwerkweiten Gruppen der Benutzer angehört, oder auf Grund irgendeinem anderen Satz von Merkmalen. Falls dem Benutzer die Erlaubnis zur Übernahme der Ressource verweigert wird, zeigt ein Block 62 das Fehlschlagen der Anfrage und den Server beim Zurückgeben einer entsprechenden Fehlermeldung an den Client-PC 12.
  • Falls die Erlaubnis zur Übernahme der Ressource erteilt wird, zeigt ein Block 64 den Server 10 beim Zuweisen einer bereits existierenden lokalen Kennung an den Benutzer aus einem Pool von zuvor reservierten lokal gültigen Kennungen. Der Pool von zuvor reservierten lokal gültigen Kennungen würde ein schnelles Zuweisen von lokal gültigen Kennungen beim Auftreten einer Eigentumsfehlermeldung erlauben. Beispielsweise kann der Server 10 fortlaufend einen Pool von fünf freien lokal gültigen Benutzerkennungsaccounts vorhalten, z.B. "newuser1" bis "newuser5". Beim ersten Auslösen einer Eigentumsfehlermeldung und dessen Löschung durch Erteilen der Benutzererlaubnis zum Zugriff auf die Ressource weist der Server 10 die lokale Kennung "newuser1" dem Benutzer zu. Es ist vorgesehen, dass der Server 10 danach eine andere "freie" lokal gültige Identität z.B. "newuser6" erstellt, so dass der Pool in adäquater Größe erhalten wird.
  • Alternativ zeigt der Block 64 den Server 10 beim Erstellen einer lokal gültigen Kennung für die Netzwerkkennung des Benutzers, beispielsweise unter Verwendung des UNIX Kommandos "useradd". Diese Technik würde jedoch vermutlich eine Echtzeit-Performance-Verschlechterung nach sich ziehen, da die Zeit zum Hinzufügen einer neuen lokalen Kennung rapide mit der Nummer der auf einigen Servern 10 zugewiesenen lokalen Kennungen steigt. Dennoch würde eine solche Technik eine Verwendung von bereits bestehenden Accounts nicht benötigen. Außerdem kann die so erstellte lokale Kennung sich offensichtlicher auf die Netzwerkkennung beziehen als eine willkürliche lokale Kennung, beispielsweise kann die Netzwerkkennung "E-RICBAUER" eher der lokalen Kennung "ejb" als der lokalen Kennung "newuser1" zugeordnet werden.
  • Unabhängig davon, wie die lokal gültige Kennung zugewiesen wird, zeigt der Block 64 auch den Server 10 beim Aktualisieren seiner Datensätze, um anzuzeigen, dass fortan diese bestimmte Netzwerkkennung eines Benutzers der neu erstellten und/oder zugewiesenen lokal gültigen Kennung zugeordnet wird. Beispielsweise kann der Server 10 den Aufruf "getpwent" der UNIX-Bibliothek 32 verwenden, um die UNIX-Benutzerkennung (uid) und die UNIX-Gruppenkennung (gid) zu erhalten, die der neu erstellten lokalen Kennung zugewiesen sind, und dann die Daten der lokalen benutzerspezifischen Datensätze des Servers 10 zu aktualisieren, um die neue UNIX-uid wiederzuspiegeln.
  • Ein Block 66 zeigt den Server 10 beim Ausführen des angeforderten Kommandos, das die Eigentumsfehlermeldung ausgelöst hat. Beispielsweise kann der Server 10 seine Antwort auf das Create-and-X-SMB durch Erstellen der angeforderten Datei und Verwenden des UNIX-Systemaufrufs "chown" zum Setzen des Eigentums an der Datei auf die korrekte UNIX-uid, die mit der lokal gültigen Kennung verknüpft ist, vervollständigen. Hier sollte der UNIX-Systemaufruf "stat" anzeigen, dass die in dem Block 66 erstellte Datei Eigentum der lokal gültigen Kennung ist, die der ankommenden Netzwerkkennung in dem Block 64 zugewiesen wurde.
  • Ein Block 68 zeigt den Server 10 beim Erstellen einer Statusantwort für das angeforderte Kommando an den Client-PC 12, die anzeigt, ob die Operation erfolgreich war.
  • Für die Dauer der Verbindung zwischen dem Client-PC und dem Servercomputer sollten keine weiteren Eigentumsfehlermeldungen auftreten, da die Netzwerkkennung des Benutzers des Client-PCs permanent der einzelnen lokal gültigen Kennung zugeordnet ist. Außerdem sollte während nachfolgender Sitzungen des Benutzers und des Servers 10 die Netzwerkkennung des Benutzers durch den Server 10 auf Grund der dauerhaften Zuordnung der Netzwerkkennung zu der vom Server 10 beibehaltenen lokal gültigen Kennung authentifiziert werden. Deshalb sollte der Netzwerkkennung des Benutzers nie wieder die "Gast"- oder temporäre lokale Kennung beim Zugriff auf den Server 10 zugewiesen werden.

Claims (9)

  1. Verfahren zum Betreiben eines einen Clientcomputer (12) und einen Servercomputer (10) aufweisenden Computernetzwerks, das ein Kontrollieren des Servercomputers (10) zum Ausführen der folgenden Schritte umfasst: Zuweisen einer temporären lokalen Kennung an eine Netzwerkkennung, die mit einem Benutzer des Clientcomputers (12) verknüpft ist; Empfangen und Beantworten von Anfragen des Clientcomputers (12) zum Ausführen von Funktionen; gekennzeichnet durch Auslösen einer Eigentumsfehlermeldung als Antwort auf eine bestimmte Anfrage, die von der zugewiesenen temporären lokalen Kennung empfangen wurde, die mit dem Benutzer des Clientcomputers verknüpft ist; Ermitteln, ob die bestimmte Anfrage entsprechend einer auf dem Servercomputer (10) eingerichteten Sicherheitsrichtlinie ausgeführt wird; und Zuweisen einer permanenten lokalen Kennung an die Netzwerkkennung, die mit dem Benutzer des Clientcomputers verknüpft ist, als Antwort auf die Eigentumsfehlermeldung, wobei die zugewiesene permanente lokale Kennung dauerhaft der Netzwerkkennung des Benutzers während nachfolgender Sitzungen des Benutzers und des Servers (10) zugeordnet ist.
  2. Verfahren gemäß Anspruch 1, wobei der Schritt des Zuweisens einer permanenten lokalen Kennung den Schritt des Ab rufens der permanenten lokalen Kennung aus einem Pool von zuvor reservierten lokal gültigen Kennungen umfasst.
  3. Verfahren gemäß einem der Ansprüche 1 oder 2, wobei der Schritt des Zuweisens einer permanenten lokalen Kennung weiterhin den Schritt des Erstellens zusätzlicher permanenter lokal gültiger Kennungen umfasst, so dass der Pool von zuvor reservierten lokal gültigen Kennungen in einer adäquaten Größe erhalten wird.
  4. Verfahren gemäß einem der vorangehenden Ansprüche, gekennzeichnet durch Erstellen der permanenten lokalen Kennung beim Auftreten der Eigentumsfehlermeldung.
  5. Verfahren gemäß einem der vorhergehenden Ansprüche, das weiterhin folgenden Schritt aufweist: Aktualisieren von Datensätzen des Servercomputers (10), um die Zuweisung der permanenten lokalen Kennung wiederzuspiegeln.
  6. Verfahren gemäß Anspruch 5, wobei der Schritt des Aktualisierens den Schritt des Zuordnens des Namenspaares Benutzername und Domänenname zu der permanenten lokalen Kennung umfasst.
  7. Verfahren gemäß einem der vorangehenden Ansprüche, wobei die bestimmte Anfrage aus einer Gruppe ausgewählt ist, die eine Anfrage zum Erstellen einer Datei, eine Anfrage zum Erstellen eines Verzeichnisses, eine Anfrage zur Übernahme des Eigentums an einer bestehenden Datei, eine Anfrage zur Übernahme des Eigentums an einem bestehenden Verzeichnis, eine Anfrage zum Drucken einer Datei, eine Anfrage zum Kontrollieren eines Druckauftrags und eine Anfrage zum Überprüfen eines Status eines Druckauftrags umfasst.
  8. Verfahren gemäß einem der vorangehenden Ansprüche, das weiterhin den folgenden Schritt umfasst: Ermitteln, ob die bestimmte Anfrage entsprechend einem Merkmal, das mit der Netzwerkkennung verknüpft ist, ausgeführt wird und, falls die bestimmte Anfrage nicht ausgeführt wird, Ausführen der folgenden Schritte: Abweisen der bestimmten Anfrage und Antworten auf die bestimmte Anfrage durch Senden einer entsprechenden Fehlermeldung an den Clientcomputer.
  9. Computernetzwerk, das einen Clientcomputer (12) und einen mit dem Clientcomputer (12) verbundenen Servercomputer (10) umfasst, wobei der Servercomputer umfasst: Mittel zum Zuweisen einer temporären lokalen Kennung an eine Netzwerkkennung, die mit einem Benutzer des Clientcomputers (12) verknüpft ist; Mittel zum Empfangen und Beantworten der Anfragen des Clientcomputers (12) zum Ausführen von Funktionen; Mittel zum Auslösen einer Eigentumsfehlermeldung als Antwort auf eine bestimmte Anfrage, die von der zugewiesenen temporären lokalen Kennung empfangen wurde, die mit dem Benutzer des Clientcomputers (12) verknüpft ist; Mittel zur Bestimmung, ob die bestimmte Anfrage entsprechend einer auf dem Servercomputer (10) eingerichteten Sicherheitsrichtlinie ausgeführt wird und Mittel zum Zuweisen einer permanenten lokalen Kennung an die Netzwerkkennung, die mit dem Benutzer des Clientcomputers verknüpft ist, als Antwort auf die Eigentumsfehlermeldung, wobei die zugewiesene permanente lokale Kennung dauerhaft der Netzwerkkennung des Benutzers während nachfolgender Sitzungen des Benutzers und des Servers (10) zugeordnet ist.
DE69532736T 1994-06-21 1995-06-20 Betriebsverfahren für Rechnernetz Expired - Lifetime DE69532736T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US263092 1988-10-27
US08/263,092 US5550981A (en) 1994-06-21 1994-06-21 Dynamic binding of network identities to locally-meaningful identities in computer networks

Publications (2)

Publication Number Publication Date
DE69532736D1 DE69532736D1 (de) 2004-04-29
DE69532736T2 true DE69532736T2 (de) 2005-02-10

Family

ID=23000346

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69532736T Expired - Lifetime DE69532736T2 (de) 1994-06-21 1995-06-20 Betriebsverfahren für Rechnernetz

Country Status (4)

Country Link
US (1) US5550981A (de)
EP (1) EP0689326B1 (de)
JP (1) JP3696933B2 (de)
DE (1) DE69532736T2 (de)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6304574B1 (en) * 1995-06-07 2001-10-16 3Com Corporation Distributed processing of high level protocols, in a network access server
US5826027A (en) * 1995-10-11 1998-10-20 Citrix Systems, Inc. Method for supporting an extensible and dynamically bindable protocol stack in a distrubited process system
US5835718A (en) * 1996-04-10 1998-11-10 At&T Corp URL rewriting pseudo proxy server
US5875306A (en) * 1996-10-01 1999-02-23 International Business Machines Corporation Reconfiguring computer resources in a distributed computer enterprise environment
SK102399A3 (en) * 1997-01-13 2000-01-18 John Overton Automated system for image archiving
US6401114B1 (en) 1997-05-01 2002-06-04 Stratum Technologies Corporation Method and apparatus for dynamic programming across a computer network
US7162519B2 (en) * 1998-05-01 2007-01-09 Stratum Technologies Corporation Structure and method for providing customized web pages-therefor
US6687707B1 (en) 1997-11-28 2004-02-03 International Business Machines Corporation Unique object identification in a network of computing systems
US6202056B1 (en) * 1998-04-03 2001-03-13 Audiosoft, Inc. Method for computer network operation providing basis for usage fees
US7051004B2 (en) * 1998-04-03 2006-05-23 Macrovision Corporation System and methods providing secure delivery of licenses and content
AU695645B3 (en) * 1998-06-01 1998-08-20 Yong-Cong Chen A network of distributed, non-permanent, and human interactive web servers
US7103640B1 (en) * 1999-09-14 2006-09-05 Econnectix, Llc Network distributed tracking wire transfer protocol
US7233978B2 (en) * 1998-07-08 2007-06-19 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
US6411966B1 (en) * 1998-09-21 2002-06-25 Microsoft Corporation Method and computer readable medium for DNS dynamic update to minimize client-server and incremental zone transfer traffic
US6480508B1 (en) 1999-05-12 2002-11-12 Westell, Inc. Router-based domain name system proxy agent using address translation
US6877036B1 (en) 1999-09-24 2005-04-05 Akamba Corporation System and method for managing connections between a client and a server
US6308238B1 (en) * 1999-09-24 2001-10-23 Akamba Corporation System and method for managing connections between clients and a server with independent connection and data buffers
US6801927B1 (en) 1999-09-24 2004-10-05 Akamba Corporation Network adaptor card with reverse proxy and cache and method implemented therewith
US7493497B1 (en) 2000-02-03 2009-02-17 Integrated Information Solutions Digital identity device
US20080005275A1 (en) * 2000-06-02 2008-01-03 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
US7020773B1 (en) * 2000-07-17 2006-03-28 Citrix Systems, Inc. Strong mutual authentication of devices
US6505123B1 (en) 2000-07-24 2003-01-07 Weatherbank, Inc. Interactive weather advisory system
US6986040B1 (en) 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US7562146B2 (en) 2003-10-10 2009-07-14 Citrix Systems, Inc. Encapsulating protocol for session persistence and reliability
US7100200B2 (en) * 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7320033B2 (en) * 2001-07-27 2008-01-15 Intel Corporation Dynamic local drive and printer sharing
US7661129B2 (en) 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
US7984157B2 (en) 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7177929B2 (en) * 2002-03-27 2007-02-13 International Business Machines Corporation Persisting node reputations in transient network communities
US7401235B2 (en) * 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
US7900240B2 (en) * 2003-05-28 2011-03-01 Citrix Systems, Inc. Multilayer access control security system
US7389411B2 (en) 2003-08-29 2008-06-17 Sun Microsystems, Inc. Secure transfer of host identities
GB2405965B (en) * 2003-08-29 2005-11-02 Sun Microsystems Inc Transferring system identities
US7444396B2 (en) 2003-08-29 2008-10-28 Sun Microsystems, Inc. Transferring system identities
US7533258B2 (en) * 2005-01-07 2009-05-12 Cisco Technology, Inc. Using a network-service credential for access control
US20060161469A1 (en) 2005-01-14 2006-07-20 Weatherbank, Inc. Interactive advisory system
US7562226B2 (en) * 2005-01-14 2009-07-14 Citrix Systems, Inc. System and method for permission-based access using a shared account
US8832121B2 (en) * 2005-02-02 2014-09-09 Accuweather, Inc. Location-based data communications system and method
US8229467B2 (en) 2006-01-19 2012-07-24 Locator IP, L.P. Interactive advisory system
US7730181B2 (en) 2006-04-25 2010-06-01 Cisco Technology, Inc. System and method for providing security backup services to a home network
US8634814B2 (en) 2007-02-23 2014-01-21 Locator IP, L.P. Interactive advisory system for prioritizing content
US20090328153A1 (en) * 2008-06-25 2009-12-31 International Business Machines Corporation Using exclusion based security rules for establishing uri security
CN101400062B (zh) * 2008-10-23 2010-07-14 中兴通讯股份有限公司 一种锁网终端的升级方法及系统
US8606907B1 (en) 2011-07-20 2013-12-10 Google Inc. Multi-tiered system for receiving and reporting web site traffic data
US8560685B1 (en) * 2011-07-20 2013-10-15 Google Inc. Probabilistic data storage owner election and replication protocol
US8606825B1 (en) 2011-07-20 2013-12-10 Google Inc. Query response streams based on dynamic query library
CN114500612B (zh) * 2022-04-06 2022-07-05 深圳航天信息有限公司 物联网本地组网的方法、装置、电子设备及存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4714989A (en) * 1982-02-19 1987-12-22 Billings Roger E Funtionally structured distributed data processing system
US5062040A (en) * 1986-12-22 1991-10-29 At&T Bell Laboratories Handling of notification of asynchronous events by user and stub processes of a distributed process executing on a plurality of processors of a multi-processor system
US5263157A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation Method and system for providing user access control within a distributed data processing system by the exchange of access control profiles
US5218697A (en) * 1990-04-18 1993-06-08 Microsoft Corporation Method and system for networking computers having varying file architectures
US5381535A (en) * 1990-10-24 1995-01-10 International Business Machines Corporation Data processing control of second-level quest virtual machines without host intervention
US5159592A (en) * 1990-10-29 1992-10-27 International Business Machines Corporation Network address management for a wired network supporting wireless communication to a plurality of mobile users
EP0579368A1 (de) * 1992-07-17 1994-01-19 International Computers Limited Dateisystem für einen Computer

Also Published As

Publication number Publication date
JPH0888637A (ja) 1996-04-02
EP0689326A2 (de) 1995-12-27
JP3696933B2 (ja) 2005-09-21
US5550981A (en) 1996-08-27
EP0689326A3 (de) 2001-08-22
DE69532736D1 (de) 2004-04-29
EP0689326B1 (de) 2004-03-24

Similar Documents

Publication Publication Date Title
DE69532736T2 (de) Betriebsverfahren für Rechnernetz
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE69635469T2 (de) Synchronisierung zwischen verschiedenen Computeranbieterumgebungen
DE69833929T2 (de) Netzzugriffsauthentifizierungssystem
DE60006451T2 (de) Verteilte Authentifizierungsmechanismen zur Behandlung von verschiedenen Authentifizierungssystemen in einem Betriebsrechnersystem
DE69915441T2 (de) System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE102009049674B4 (de) Segregieren von anonymem Zugriff auf dynamischen Inhalt auf einem Webserver mit gecachedten Anmeldungen
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE69935030T2 (de) System und Verfahren zur Web-Server Benutzerauthentifizierung
DE69735348T2 (de) Skalierbare und erweiterbare Systemverwaltungsarchitektur mit datenlosen Endpunkten
DE69836389T2 (de) Selbstbereitstellung von Teilnehmereinrichtungen
DE69935894T2 (de) Verfahren und System zur Kommunikation mit einer Telekommunikationsvermittlungseinrichtung
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE10144023B4 (de) Vorrichtung und Verfahren zur automatischen Benutzerprofil-Konfiguration
DE10296804B4 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE69726379T2 (de) Ferninstallation von Software auf einem Rechnergerät
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE69934207T2 (de) Verfahren zur Zugriffsprüfung eines Anwenders
DE60020831T2 (de) Fernsteuerung von einer vorrichtung
DE602005004021T2 (de) Verfahren und system zur authentifizierung in einem computernetzwerk
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE602004012300T2 (de) Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff
DE602004004991T2 (de) Automatisierte Installation von Netzgeräten mit Informationen über Regeln, Authentifizierung und gerätespezische Daten
DE602004005632T2 (de) Reservierung von entfernten Ressourcen und automatische Übertragung zu diesen Ressourcen von persönlichen Telefoneinstellungen mittels einer Softwareanwendung
DE10051022B4 (de) Verfahren, System und Computerprogrammprodukt für die Neukonfiguration logischer Drucker in einem Druckernetzsystem beim Wechsel von einem Überwachungsprogramm zu einem zweiten Überwachungsprogramm

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)