DE69915441T2 - System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung - Google Patents

System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung Download PDF

Info

Publication number
DE69915441T2
DE69915441T2 DE69915441T DE69915441T DE69915441T2 DE 69915441 T2 DE69915441 T2 DE 69915441T2 DE 69915441 T DE69915441 T DE 69915441T DE 69915441 T DE69915441 T DE 69915441T DE 69915441 T2 DE69915441 T2 DE 69915441T2
Authority
DE
Germany
Prior art keywords
user
local
local security
server
security server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69915441T
Other languages
English (en)
Other versions
DE69915441D1 (de
Inventor
Clive John White
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CA Inc
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Publication of DE69915441D1 publication Critical patent/DE69915441D1/de
Application granted granted Critical
Publication of DE69915441T2 publication Critical patent/DE69915441T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Collating Specific Patterns (AREA)
  • Storage Device Security (AREA)

Description

  • Die Erfindung betrifft ein Gerät und ein Verfahren zur Automatisierung eines autorisierten Nutzerzugriffs auf ein geografisch verstreutes Netzwerk von irgendeinem von einer Mehrzahl von Arbeitsplatzrechnern aus.
  • Das heutige Geschäftsumfeld wird durch Informationen getrieben und das Erzielen der effektivsten Nutzung der Informationstechnologie (IT) ist eine entscheidende Komponente für den Erfolg einer jeden Organisation. Die Fortentwicklung der IT und ihre Ausbreitung in alle Bereiche des geschäftlichen und persönlichen Lebens hat wachsende Herausforderungen entstehen lassen – sowohl für IT-Experten als auch für Endverbraucher.
  • In der vergangenen Dekade hat sich das Standardmodell für IT-Systeme signifikant geändert. Anstelle von auf Großrechnern basierenden Systemen, die von einer einzigen zentralen Abteilung gesteuert worden sind, bewegt sich ihre Organisation nun schnell hin zu einer verteilten Rechnerumgebung, in der sich Anwendungen und Dienste irgendwo in dem Netzwerk auf der Hardware und Betriebssystemen unterschiedlicher Anbieter befinden können. Der Hauptgrund, um Rechner zu Netzwerken und Netzwerke mit anderen Netzwerken zu verbinden, besteht darin, Computer zu einer effizienten Zusammenarbeit zu befähigen und die gemeinsame Nutzung von Ressourcen zu vereinfachen.
  • Verteilte Computersysteme haben häufig eine globale Ausdehnung und können viele Tausend Arbeitsplatzrechner an diversen geografischen Orten umfassen. Derartige Systeme sind insbesondere nützlich für Geschäftsreisende, die ihr Netzwerk von praktisch überall aus in der Welt erreichen können. Beispielsweise könnte ein Geschäftsreisender an einem entfernten Arbeitsplatz die neuesten Kostendaten abrufen, den Status einer anhängigen Bestellung erhalten, eine neue Bestellung aufgeben oder einfach seine E-Mail lesen wollen. Unglücklicherweise enthalten viele der heute installierten Client-Server-Netzwerke eine große Bandbreite unabhängiger Netzwerk-Server-Ressourcen, die diese Aufgabe verhindert oder wenigstens erschwert. "Unabhängig" bedeutet in diesem Zusammenhang, daß die Netzwerk-Ressource eine unabhängige, im Gegensatz zu einer gemeinsam genutzten Nutzer-Datenbank aufweist. In einem unabhängigen Netzwerk werden Nutzer, die geografisch entfernt von ihren Heim-Terminals sind und die sich auf ihren Heim-Netzwerk-Server einwählen wollen, gezwungen, Verbin dungs- und Authentisierungs-Informationen anzugeben, wie z. B. Netzwerk-Server-ID, Nutzer-Identifizierung und Passwort, um auf die lokale, unabhängige Netzwerk-Ressource zugreifen zu können, auf der deren Zugangskonto geführt wird. Das Vergessen des Passworts und der Zugriff auf den falschen Dienst oder die falsche Anwendung sind nur zwei der Frustrationen, die Anwender zu eliminieren versuchen, indem sie einfach zu erinnernde Passworte wählen und ihre Einwahl-Informationen sogar an leicht zugängigen Orten notieren. Indem sie dies tun, untergraben sie die Sicherheit. Computerverständige Nutzer, die vertraut sind mit Netzwerk-Namenskonventionen, können die Schwierigkeit leicht überwinden, sich an ihrem Arbeitsplatzrechner von einem entfernten Ort anzumelden, wohingegen die große Mehrheit der anderen Netzwerk-Nutzer entweder die Fertigstellung einer Aufgabe zurückstellen, oder möglicherweise auf andere, netzwerkunabhängige Mittel zurückgreifen muß, um die Informationen zu erhalten.
  • Tatsächliche und potentiell kostspielige Risiken zeitgemäßer Rechnerumgebungen – böswillige oder nachlässige Angestellte, Häcker oder sogar Spionage – werden manchmal toleriert, um die Produktivität aufrechtzuerhalten, und um ein Ansteigen der Verwaltungsgemeinkosten durch Sicherheitsmaßnahmen zu verhindern, die legitimierte Nutzer behindern. Dem Stand der Technik entsprechende Zugriffsdienste sind zur Behandlung der Probleme entwickelt worden, die beim Versuch von Nutzern entstehen, auf verteilte Netzwerke von entfernten Orten aus zuzugreifen. Diese Dienste stellen einen Nutzerzugang zu entfernten Netzwerk-Ressourcen durch die Verwendung von Authentisierungsdaten zur Verfügung, die im lokalen Speicher abgelegt sind. Beispielsweise offenbart die US-A-5,483,652 ein Verfahren und eine mit ihr verbundene Vorrichtung, um einer Client-Einheit zu gestatten, den Zugang zu einem Dienst oder zu einer Ressource mit der alleinigen Kenntnis des allgemeinen Namens für den Dienst oder die Ressource anzufordern. Unglücklicherweise sieht dieses System üblicherweise vor, daß ein Nutzer versuchen wird, auf entfernte Netzwerk-Ressourcen (z. B. Drucker, Spezialcomputer und einmalige Dateien) von seinem Arbeitplatzrechner aus zuzugreifen, und es ermöglicht dem Nutzer nicht, sich bei dem Netzwerk anzumelden oder auf solche Ressourcen von entfernten Arbeitsplatzrechnern aus zuzugreifen.
  • Auf der anderen Seite offenbart die US-A-5,598,536 eine Vorrichtung und ein Verfahren, um entfernten Nutzern über einen Fernzugriff-Netzwerk-Server einen Zugriff auf ihr lokales Computernetzwerk zu ermöglichen. In diesem System gibt ein entfernter Nutzer eine eindeutige Nutzer-ID-Zeichenkette ein, um Zugriff auf einen entfernten Rechner zu erhalten. Ist der entfernte Nutzer einmal authentifiziert, wird diesem entfernten Nutzer Zugang zu dem lokalen Netzwerk gewährt. Während dieses System viele der Schwierigkeiten überwunden hat, die vor seinem Entwurf existierten, ist immer noch ein Nutzer notwendig, der zwei verschiedene Authentisierungs-Zeichenketten verwendet, abhängig davon, ob er versucht, sich bei seinem lokalen Netzwerk-Server von einem lokalen oder einem entfernten Arbeitsplatz aus anzumelden.
  • Die US-A-5,655,077 offenbart ein Verfahren und eine Vorrichtung für den authentifizierten Zugriff auf heterogene Computer-Dienste von einer Mehrzahl von Nutzer-Arbeitplatzrechnern aus, bei Minimierung der Anzahl von Nutzer-Interaktionen. Um Zugriff auf dieses System zu erlangen, bestimmt der Nutzer einen Haupt-Anmelde-Provider, um eine erste Nutzerschnittstelle zur Verfügung zu stellen. Der Nutzer gibt Identifikations-Informationen ein und das Computersystem führt eine Anmeldesequenz aus, die zuerst den identifizierten Haupt-Anmelde-Provider aufruft. Das System authentifiziert die gesammelten Identifikations-Informationen, um dem Nutzer Zugriff auf die Netzwerk-Computer-Dienste zu geben. Falls die System-Anmeldeprozedur nicht erfolgreich ist, zeigt die Anmeldesequenz einen zusätzlichen Dialog, um weitere Anmelde-Informationen zu sammeln. Die Anmeldesequenz ruft dann die Anmelderoutinen von anderen Anmelde-Providern auf, um diese zu befähigen, bereits gesammelte Identifikations-Informationen zu authentifizieren, ohne zusätzliche Nutzer-Schnittstellen anzuzeigen. Während dieses System versucht, einen Nutzer mit der geringsten Anzahl von Nutzerinteraktionen bei einem Netzwerk anzumelden, benötigt es einen Nutzer, um einen Haupt-Anmelde-Provider zu bestimmen und um dann zwei Zeichenketten zur Nutzer-Authentifizierung anzugeben, bevor der Nutzerzugriff auf das Netzwerk gewährt wird.
  • Ein weiteres Konzept zur Reduzierung der Notwendigkeit von Nutzerinteraktionen bei der Systemanmeldung ist offenbart in der US-A-5,689,638 die ein Verfahren und eine Vorrichtung für den Zugriff auf unabhängige Netzwerk- Ressourcen offenbart. Bei der Systemanmeldung werden die Anmeldedaten im Speicher des Client-Computers abgelegt. Wenn auf einen Server zugegriffen wird, werden die Server-Authentisierungsdaten in einem Catch gespeichert. System-Anmeldedaten und Autorisierungsdaten können später verwendet werden, um auf eine weitere unabhängige Ressource zuzugreifen, ohne weitere Nutzer-Interaktionen zu benötigen. Jedoch beschäftigt sich dieses Druckschrift nicht mit dem Problem der Authentifizierung eines Nutzers durch einen entfernten Arbeitsplatzrechner, dessen Standard-Server daran scheitert, die für die erste Authentifizierung notwendigen Nutzerinformationen darin abzulegen. Anders ausgedrückt, wenn der Standard-Server den eingegebenen Nutzer-Namen und das eingegebene Passwort nicht erkennt, wird der Zugriff auf das Netzwerk verweigert.
  • Ein zusätzliches Problem, mit dem sich Netzwerknutzer, die sich bei einem entfernten Netzwerkserver anmelden möchten, konfrontiert sehen, ist die Notwendigkeit, über das Internet kommunizieren und Verbindungen mit den vielfältigen Protokollen, die das Internet benutzt (z. B. IPX, TCP/IP, MetBeoi, etc.), herstellen zu müssen. In der Vergangenheit konnte ein Nutzer, der über mehrere Grenzen hinweg zu kommunizieren beabsichtigte, dies aufgrund von Sprach- und Kommunikationsbarrieren zwischen dem Nutzer und den vielfältigen Netzwerkeinheiten nicht einfach tun. Der Nutzer mußte das spezifische Protokoll jeder Datenspeicherungseinheit kennen und sich daran anpassen, um Informationsanfragen an diese Einheit in erkennbarer Form zu richten und um einmal empfangene Informationen übersetzen zu können. Existierende Geräte sind dadurch beschränkt, daß sie einfach nur die Fähigkeit zur Nutzung eines einzigen Protokolls für die Kommunikation in einem Netzwerk zur Verfügung stellen.
  • In den letzten Jahren wurden einige Anstrengungen unternommen um ein standardisiertes Datenbank-Protokoll zu entwickeln, das es Nutzern erlaubt, über eine Anzahl von verschiedenen Netzwerk-Protokollen hinweg zu kommunizieren. Ein solches Standardprotokoll ist der X.500 Standard, der von dem International Telegraph and Telephone Consultative Comitee (CCITT) entwickelt wurde. Er bietet ein Standardprotokoll, das die Kommunikationsbarrieren, die die Anzahl der verschiedenen, im Internet operierender Protokolle darstellen, reduziert und er gestattet es, von verschiedenen Einheiten gepflegten lokalen Verzeichnissen, miteinander zu kommunizieren. CCITT, The Directory-Overview Concepts, Models, and Services, X.500 Series Recommendation, Dokument AP IX-47-E. X.500 gestattet es Nutzern Informationen wie Telefonnummern, Adressen und andere Details von Einzelpersonen und Organisationen in einer geeigneten Struktur zu finden. X.500 Verzeichnisse werden auch durch ihre Fähigkeit charakterisiert, große Mengen hochgradig verteilter Informationen effizient handzuhaben.
  • Demzufolge ist es eine Aufgabe der vorliegenden Erfindung, die Gewährung eines Nutzer-Zugriffs auf ein heterogenes Netzwerk durch eine Vorrichtung und ein Verfahren zu vereinfachen, die bzw. das es einem Nutzer ermöglicht, sich bei einem Computernetzwerk von irgendeinem einer Mehrzahl von geografisch verteilter Nutzer-Arbeitsplatzrechnern des Netzwerks anzumelden, wobei derselbe Nutzer-Name und dasselbe Passwort verwendet wird, die bzw. das es einem Nutzer insbesondere gestattet, sich von irgendeinem Arbeitsplatzrechner des Unternehmens aus, durch Benutzung eines einzigen Nutzer-Namens, Passworts und einer Nutzer-Rolle bei einem Intranet anzumelden.
  • Die obige Aufgabe wird gelöst durch eine Vorrichtung gemäß Anspruch 1 oder durch ein Verfahren gemäß Anspruch 14. Bevorzugte Ausführungsformen sind Gegenstand der Unteransprüche.
  • Der Gegenstand der Erfindung vereinfacht die Prozedur zur Anmeldung an ein Netzwerk durch die Benutzung einer einzigen Anmeldeprozedur (Single Sign-On) erheblich. Sobald der Nutzer sich mit einer Anmeldeprozedur bei einem Netzwerk anmeldet, wie z. B. mit der als AUTOSECURETM Single Sign-On (SSO) bezeichneten Prozedur, die im Features Guide für V.5.1, "AUTOSECURE SSO", mit Copyright bei Platinum Technology, Inc., 1997, beschrieben wird, bei der ein Nutzer einen Nutzer-Namen und Passwort eingibt, erledigt das System den Rest durch Freischaltung von transparentem Zugriff auf alle autorisierten Anwendungen und Dienste und durch Bereitstellung einer einfachen, integrierten Sicht auf das Computernetzwerk. Die Single Sign-On-Fähigkeit funktioniert unabhängig davon, ob ein Dienst auf einem lokalen oder auf einem entfernten Netzwerk-Server angesiedelt ist und sie läßt Nutzer sich von überall aus anmelden, sogar wenn sie zu entfernten Orten unterwegs sind. Darüber hinaus ist die vorliegende Erfindung nicht beschränkt auf die Sicherung von nur einer speziellen (homogenen) Umgebung. Sie operiert über heterogene Plattformen hinweg, was bedeutet, daß sie zur Steuerung von Systemen von beliebigen Anbietern oder einer Mischung von Systemen verschiedener Anbieter verwendet werden kann. Dies macht sie weit besser anwendbar auf eine Unternehmensumgebung, die eine beliebige Zahl verschiedener Anbieterplattformen beinhalten kann – sowohl jetzt, als auch in der Zukunft.
  • Diese und andere, spezifischere Aspekte und Vorteile des Gegenstands der Erfindung werden insbesondere anhand eines verteilten Rechnernetzwerk gezeigt, das eine adaptive Fähigkeit aufweist, einen Nutzer, von einem von einer Mehrzahl von Arbeitsplatzrechnern aus an einem von einer Mehrzahl von vorgegebenen Netzwerk-Servern, mit einer einzigen Anmeldung anzumelden. In einem bevorzugten Ausführungsbeispiel authentifiziert ein lokaler, zum Anschluß an einen Nutzer-Arbeitsplatzrechner angepaßter Haupt-Sicherheits-Server die durch einen Nutzer an diesem Arbeitsplatzrechner eingegebenen Nutzer-Identifikationsinformationen, oder er generiert ein Anmeldung-Gescheitert-Signal für den Fall, daß die vom Nutzer bereitgestellten Authentisierungs-Informationen ungültig für die Gewährung des Zugriffs auf den lokalen Sicherheits-Server sind. Ein auf dem lokalen Sicherheits-Server arbeitender Personen-Server empfängt dann das Anmeldung-Gescheitert-Signal von dem lokalen Sicherheits-Server, bestimmt eine alternative lokale Sicherheits-Server-ID, in der der vorher eingegebene Nutzer-Name mit einem gültigen Nutzer korrespondiert und überträgt die alternative lokale Sicherheits-Server-ID zurück zu dem ersten lokalen Sicherheits-Server. Wenn der erste lokale Sicherheits-Server die alternative lokale Sicherheits-Server-ID empfängt, überträgt er die Nutzer-Identifikationsinformationen zu dem alternativen lokalen Sicherheits-Server, und der Nutzer wird auf dem alternativen lokalen Sicherheits-Server bestätigt und bei dem Computernetzwerk angemeldet.
  • Ein anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die es einem Nutzer gestatten, transparent in einem Netzwerk zu kommunizieren, das eine Vielzahl von Netzwerk-Kommunikationsprotokollen umfaßt.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die bzw. das zunächst ein Anmeldeanforderung von einem Nutzer-Arbeitsplatzrechner zu einem lokalen Sicherheits-Server überträgt, der entweder die Authentifizierungs-Anfrage gewährt, oder der einen zweiten lokalen Sicherheits-Server in dem Netzwerk identifiziert, der die Authentifizierungs-Anfrage möglicherweise gewähren kann.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die eine Anmeldeanforderung durch Durchsuchen einer lokalen Authentisierungs-Datenbank auswerten, die auf einem lokalen Sicherheits-Server angesiedelt ist, um zu entscheiden, ob ein Nutzerzugriff auf das Netzwerk über den lokalen Sicherheits-Server gewährt wird.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die die in einer lokalen Authentisierungs-Datenbank gespeicherten Passworte verschlüsseln.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die auf eine im internen Speicher eines lokalen Sicherheits-Servers angesiedelte Netzwerk-Datenbank zugreifen, um einen zweiten lokalen Sicherheits-Server des Netzwerks zu identifizieren, der eine Authentifizierungs-Anfrage gewähren kann, für den Fall, daß dem Nutzer ein Netzwerkzugriff über den ersten lokalen Sicherheits-Server verweigert wird.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, eine oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die Authentifizierungs-Anfragen von einem ersten lokalen Sicherheits-Server direkt zu einem zweiten lokalen Si cherheits-Server kommunizieren, für den Fall, daß der erste lokale Sicherheits-Server nicht in der Lage ist, einen Netzwerkzugriff zu gewähren.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die Authentifizierungs-Anfragen von einem Nutzer-Arbeitsplatzrechner zu wenigstens einem lokalen Sicherheits-Server ohne irgendeine Nutzerinteraktion kommunizieren.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die eine Revisionsaufzeichnung aller gescheiterten Versuche von Zugriffen auf Netzwerk-Ressourcen pflegen.
  • Ein anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte umzusetzen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die die Anzahl der fehlgeschlagenen Versuche von Zugriffen auf Netzwerk-Ressourcen überwachen und die Netzwerk-Ressource in dem Fall abschalten, daß die Anzahl der fehlgeschlagenen Anmeldeversuche einen Wert der Datenbank übersteigt.
  • Ein anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrer der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die eine redundante lokale Sicherheits-Server-Fähigkeit bereitstellen, wobei ein oder mehrere Ersatz-Server in dem Fall benutzt werden kann bzw. können, daß ein lokaler Haupt-Sicherheits-Server aus irgendeinem Grund nicht verfügbar ist.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrer der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die es einem Nutzer gestatten, sich bei dem lokalen Sicherheits-Server mit höchster Priorität anzumelden, der von irgendeinem Nutzer-Arbeitsplatzrechner des Netzwerks aus verfügbar ist, durch einfache Eingabe des Nutzer-Namens und Passworts.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu erreichen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die eine einzige, zentrale X.500 Datenbank der autorisierten Netzwerknutzer auf jedem lokalen Sicherheits-Server pflegt.
  • Ein weiterer Aspekt des Gegenstands der Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die ein Abbild der Verbindungsinformationen für jeden lokalen Sicherheits-Server pflegen, der im Unternehmen betrieben wird.
  • Es ist ein weiterer Aspekt des Gegenstands der Erfindung, einen oder mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die einen Dienst-Zuordnungs-Datei-Server benutzen, um jeden verbundenen Arbeitsplatzrechner periodisch mit einem Update des Abbilds der Verknüpfungsinformationen für jeden lokalen Sicherheits-Server zu versorgen, der im Unternehmen betrieben wird.
  • Ein weiterer Aspekt des Gegenstands der Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die ein aktualisiertes Abbild der Verbindungsinformationen für jeden lokalen Sicherheits-Server durch systematisches Pollen der anderen lokalen Sicherheits-Server im Unternehmen bereitstellen.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung und Methode bereitzustellen, die es einem am Netzwerk angemeldeten Nutzer gestatten, eine Auswahl von Netzwerkdiensten zu benutzen, die auf der Rolle des Nutzers basiert.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist es, eine Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen, die auf jedem lokalen Sicherheits-Server genau eine X.500 Datenbank pflegen, die die Nutzer, die autorisiert sind, auf jeden lokalen Sicherheits-Server zuzugreifen und die mit ihnen verbundenen Passworte umfaßt.
  • Eine bevorzugte Ausführungsform und weitere Aspekte, Eigenschaften und Vorteile der vorliegenden Erfindung werden im folgenden anhand der Zeichnung ausführlich erklärt. Die Zeichnung zeigt in:
  • 1 ein schematisches Blockdiagramm eines typischen Computer-Fernnetzes,
  • 2 ein schematisches Blockdiagramm eines typischen lokalen Computer-Netzwerks,
  • 3 ein Strukturdiagramm der Aufzeichnung einer lokalen Authentifizierungs-Datenbank,
  • 4 ein Strukturdiagramm der Aufzeichnung einer Dienst-Zuordnungsdatei,
  • 5 ein Strukturdiagramm der Aufzeichnung einer typischen Netzwerk-Datenbank und
  • 6a, 6b Flußdiagramme, die den computerisierten Prozeß der Netz-Anmeldung eines Nutzers in Übereinstimmung mit dem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung beschreiben.
  • In der folgenden detaillierten Beschreibung des bevorzugten Ausführungsbeispiels wird auf die beiliegende Zeichnung verwiesen, die ein spezielles Ausführungsbeispiel illustriert, in dem die Erfindung ausgeführt werden könnte.
  • Das Ausführungsbeispiel ist in ausreichendem Detaillierungsgrad beschrieben, um den Fachmann zu seiner Umsetzung zu befähigen und es ist selbstverständlich, das andere Ausführungsformen verwendet werden können, und daß strukturelle Änderungen vorgenommen werden können, ohne den Bereich der vorlie genden Erfindung zu verlassen. Die nun folgende detaillierte Beschreibung ist deshalb nicht in beschränkender Art und Weise aufzufassen.
  • In dieser Patentschrift bezeichnet der Begriff "Server" einen Softwareprozeß oder einen Satz von Prozessen, der bzw. die eine Funktionalität unterstützt bzw. unterstützen. Ein lokaler Sicherheits-Server ist ein Softwareprozeß zur Sicherheits-Zugangskontrolle, bei dem sich Endanwender authentisieren müssen, bevor sie Zugang zu Anwendungen und Systemen des Computernetzwerks erhalten können.
  • Gemäß 1 sind Computer-Arbeitsplatzrechner 11 und 21 in einem Computernetzwerk oder Unternehmen 10 über Kommunikationsverbindungen 15 bzw. 35 zu lokalen Sicherheits-Servern (LSS) 12 und 22 verbunden. Während 1 nur einen einzigen, mit jedem LSS verbundenen Nutzer-Arbeitsplatzrechner zeigt, sollte es für den Durchschnittsfachmann offensichtlich sein, daß eine beliebige Anzahl von Arbeitsplatzrechnern mit jedem LSS verbunden sein könnte. Jeder lokale Sicherheits-Server (12 und 22) ist konfiguriert, um Mehrbenutzer-Zugang zu dem Server, allein durch Nutzer-Authentisierung an dem Server, zu gestatten. Ist einem Nutzer einmal der Zugang zu dem Netzwerk über einen LSS (12 und 22) gestattet, arbeitet der LSS als ein Gateway, um dem Nutzer Zugang zu allen Netzwerkdiensten zu gestatten, auf die der Server autorisiert ist, zuzugreifen. Ein LSS kann in Abhängigkeit von dem Kontext als Standard-, Haupt und/oder Ersatz-LSS ausgelegt werden. Genauer gesagt, ist ein Standard-LSS ein in der Client-Software von dem System-Administrator vorgesehener LSS, der als maßgeblicher Server eines bestimmten Arbeitsplatzrechners arbeitet, so daß, wenn irgend jemand unter Benutzung des Nutzer-Arbeitsplatzrechners versucht auf das Netzwerk zuzugreifen, das System die Anfrage automatisch zu dem Standard-LSS des Arbeitsplatzrechners leitet. Auf der anderen Seite ist ein Haupt-Server ein LSS, der von dem System Administrator vorgesehen wird, um als der Server zu arbeiten, bei dem ein bestimmter Nutzer immer angemeldet wird, wenn der Nutzer versucht, auf das Netzwerk zuzugreifen. Entsprechend ist ein Ersatz-Server ein LSS mit denselben Nutzerinformationen eines Haupt-Servers. Ein Ersatz-Server kann genutzt werden, wenn der Haupt-Server eines Nutzers aus irgendeinem Grund nicht verfügbar ist. Jeder Haupt-Server kann ein oder mehrere Ersatz-Server haben. Für einen Durchschnittsfachmann sollte es offensichtlich sein, daß ein LSS vielfachen Zwecken auf mehreren Arbeitsplatzrechner dienen kann. Mit erneutem Verweis auf 1 kann LSS 12 als ein Standard-LSS für Nutzer-Arbeitsplatzrechner 11 und als Ersatz-Server für Nutzer-Arbeitsplatzrechner 21 arbeiten, wie auch als ein Haupt-LSS für einen bestimmten Nutzer. Im wesentlichen kann also ein LSS der Standard-LSS für einige Nutzer-Arbeitsplatzrechner, der Ersatz-LSS für andere Arbeitsplatzrechner, wie auch der Haupt-LSS für einige Nutzer sein.
  • Ein Client-Softwareprozeß 40 (wie in 2 gezeigt) arbeitet auf jedem Computer-Arbeitsplatzrechner 11 und 21. Wenn ein Nutzer an einem Arbeitsplatzrechner Zugang zu dem Computer-Netzwerk haben möchte, gibt der auf dem Nutzer-Arbeitsplatzrechner arbeitende Client die Netzwerk-Zugangsanfrage zur Authentifizierung zu einem Standard-LSS weiter. Der logische Ort und die Identität des Standard-LSS eines Arbeitsplatzrechners ist ein in dem Client des Arbeitsplatzrechners gespeicherter Datenwert. Der Standard-LSS könnte der zu dem Arbeitsplatzrechner nächstgelegene Server sein oder es könnte ein anderer LSS sein, der anderswo im Netz arbeitet. LSS 12 oder LSS 22 in 1 könnte der Standard-Server von Arbeitsplatzrechner 11 sein. LSS 22 oder LSS 12 könnte auch der Standard-Server von Arbeitsplatzrechner 21 sein. Es ist wichtig festzuhalten, daß der einem Arbeitsplatzrechner zugewiesene Standard-LSS einfach von einem Systemadministrator geändert werden kann.
  • Um dem Netzwerk einen neuen Nutzer hinzuzufügen, erstellt der Systemadministrator einen neuen Datensatz der lokalen Authentisierungs-Datenbank (3) und kopiert den Datensatz in den internen Speicher des LSS, der der neue Haupt-LSS des Nutzers werden soll. In dem bevorzugten Ausführungsbeispiel leitet der Haupt-LSS, wenn ein neuer Datensatz in die lokale Authentisierungs-Datenbank des Haupt-LSS kopiert ist, automatisch eine Kopie des neuen Nutzer-Datensatzes zu allen Ersatz-Servern des Haupt-LSS, wie es in der Dienst-Zuordnungs-Datei spezifiziert ist (was später behandelt wird), was in einem neuen Nutzer resultiert, der automatisch als ein gültiger Nutzer im Speicher des Ersatz-Servers abgelegt wird. Zur Erhöhung der Sicherheit kann die gesamte Datei oder wenigstens der Nutzer-Name und das Nutzer-Passwort vor der Übertragung zu dem Ersatz-Server verschlüsselt und nach Empfang wieder entschlüsselt werden.
  • Auf jedem Arbeitsplatzrechner wird außerdem eine Dienst-Zuordnungs-Datei gespeichert. Wie in 4 gezeigt, enthält die Dienst-Zuordnungs-Datei 41 eine Liste aller Netzwerk-LSS mit dem Namen und logischem Ort ihrer zugehörigen Ersatz-Server. Der Ersatz-Server ist ein weiterer LSS im Netzwerk mit denselben Nutzer-Informationen in seiner lokalen Authentisierungs-Datenbank wie die der Standard-LSS. Versucht ein Client auf einen LSS zuzugreifen, wenn der LSS nicht verfügbar ist, wird sein Ersatz-Server aufgerufen, um die Anmeldeanfrage zu bearbeiten. Ein Ersatz-Server ist mit einem bestimmten LSS durch einen Netzwerk-Datenbankeintrag verknüpft. Ein Beispiel für einen Datensatztyp, der abgespeichert werden könnte, ist in 5 beschrieben. Dieser Netzwerk-Datenbankeintrag könnte in das System durch einen Systemadministrator eingegeben werden. Jeder Datensatz der Netzwerk-Datenbank 43 besteht aus einem LSS mit dessen logischem Ort und den Namen und logischen Orten der verknüpften Ersatz-Server zusammen mit den Namen der zur Anmeldung an dem LSS autorisierten Nutzer. In dem bevorzugten Ausführungsbeispiel könnte die Netzwerk-Datenbank in dem Format X.500 oder einer anderen geeigneten Datenbank auf Plattenspeichern des LSS angesiedelt sein.
  • Jeder LSS könnte darüber hinaus mit dem Internet oder ähnlichen Computernetzwerken über Kommunikationsverbindungen 20 bzw. 40 verbunden sein. Wie in 2 gezeigt wird, hat jeder LSS Zugriff auf eine lokale Authentisierungs-Datenbank 42 und eine Netzwerk-Datenbank 43. Diese Datenbanken könnten entweder auf internen oder externen Plattenspeicher oder anderen geeigneten Speichersystemen abgelegt werden. Ein typischer Datenbank-Datensatz für die lokale Authentisierungs-Datenbank 42 ist in 3 dargestellt. Wie 3 zeigt, besteht ein Datensatz zumindest aus einem Nutzer-Namen, einem Passwort und einer Nutzer-Rolle. Ein Nutzer kann mehrere lokale Authentisierungs-Datenbankeinträge haben, wobei jeder zu einer unterschiedlichen Rolle des Nutzers korrespondiert. Rollenbeispiele können sein "Direktor", "Manager", "Angestellter" etc., wobei die Rollen nicht auf diese Beispiele beschränkt sind. Rollen können unter anderem bezogen sein auf besondere Abteilungen oder Positionen in einer Organisation. Die Nutzer-Rolle bestimmt, auf welchen Dienst des Netzwerks der Nutzer zugreifen kann. Ein Netzwerk-Dienst kann ein Anwendungsprogramm sein, das ordnungsgemäß auf den internen Plattenspeicher eines Servers installiert wurde. Die auf jedem lokalen Sicherheits-Server verfügbaren und ausführbaren Dienste werden von dem Systemadministrator festgelegt und auf den Plattenspeicher des Servers installiert, wenn die lokale Sicherheit zu den Netzwerken zugefügt ist. Netzwerk-Dienste können jederzeit durch den Systemadministrator einfach hinzugefügt, gelöscht oder modifiziert werden. Während diese Patentschrift die Erfindung bezüglich einer begrenzten Anzahl von Netzwerk-Diensten beschreibt, ist es für den Durchschnittsfachmann offensichtlich, daß die Anzahl der Netzwerk-Dienste tatsächlich unbegrenzt ist. In dem bevorzugten Ausführungsbeispiel ist die lokale Authentisierungs-Datenbank 42 auf dem Plattenspeicher des LSS im Format einer X.500-Datenbank oder einer anderen geeigneten Datenbank abgelegt. Wie dem Durchschnittsfachmann bekannt ist, kann die X.500-Datenbank auch auf einem externen Speicherplatz abgelegt sein.
  • Wie in 2 zu sehen ist, umfaßt ein LSS einen Personen-Server 31 und einen Dienst-Zuordnung-Datei-Server (SMF-Server; service mapping file, SMF). Der Personen-Server 31 ist ein auf dem LSS arbeitender Softwareprozeß, der alle Anfragen zur Netzwerkanmeldung von einem Client 40 empfängt, die Anfragen bearbeitet und das Ergebnis der Anmeldungsanfrage zu dem Client 40 zurückschickt. Der Personen-Server 31 benutzt die vom Client empfangene Nutzer-Name/Passwort-Kombination, um per Index auf die lokale Authentisierungs-Datenbank 42 zuzugreifen, die auf dem Plattenspeicher des Servers abgelegt ist. Wenn der/das korrespondierende Nutzer-Name/Passwort in der lokalen Authentisierungs-Datenbank 42 gespeichert ist, wird der Nutzer mit dem lokalen Server verbunden. Wenn die Nutzer-Name/Passwort-Kombination in der lokalen Authentisierungs-Datenbank nicht gefunden wird, dann durchsucht der Personen-Server 31 die Netzwerk-Datenbank 43 (Verzeichnis) um festzustellen, ob der Nutzer-Name im Unternehmen existiert. Wird der Nutzer-Name in der Netzwerk-Datenbank gefunden, wird die Nutzer-Authentifizierungs-Anfrage zu dem identifizierten LSS für die Bearbeitung der Anfrage weitergeleitet. Wenn andererseits der Nutzer-Name nicht in der Netzwerk-Datenbank gefunden wird, wird das System die Nutzeranfrage ablehnen oder es wird den Nutzer auffordern, weitere Informationen zur Verfügung zu stellen, um die Authentifizierungs-Anfrage zu bearbeiten.
  • Der SMF-Server speichert die Dienst-Zuordnungs-Datei 41 auf jedem LSS. Wie zuvor erwähnt, enthält die Dienst-Zuordnungs-Datei 41 operative Einzelheiten aller Server des Unternehmens. Der SMF-Server 32 pflegt eine aktuelle "Karte" des Unternehmens durch periodisches Pollen der Netzwerk-Datenbank. Alle LSS sind in der Netzwerk-Datenbank unter ihrem Servernamen und ihren Verbindungsinformationen (d. h. Comms-Adresse) definiert. Sie wird erzeugt durch Informationen der Netzwerk-Datenbank 43 und sie wird regelmäßig aktualisiert und durch den Personen-Server 31 zu allen Arbeitsplatzrechnern weitergereicht. Während das bevorzugte Ausführungsbeispiel ein Netzwerk vorsieht, in dem der Personen-Server 31 und der SMF-Server 32 auf derselben Plattform ansässig sind, ist es auch möglich, daß der Personen-Server und der SMF-Server auf verschiedenen Plattformen betrieben werden.
  • Wie in 1 zu sehen ist, können mehrere lokale Computernetzwerke an das Internet gekoppelt sein, um ein Netzwerk von geografisch getrennten und kleineren Computernetzwerken zu bilden, die aus einer großen Vielfalt von Computern und Peripheriegeräten bestehen. Der Prozeß der Gewährung eines Zugangs zu dem Computernetzwerk für einen Nutzer, wie in 6 dargestellt, beginnt mit dem Versuch des Nutzers, sich von einem Nutzer-Arbeitsplatzrechner 11 aus bei dem Computernetzwerk anzumelden. Der auf dem Arbeitsplatzrechner betriebene Client 40 zeigt dem Nutzer eine Anmeldeaufforderung (Schritt 600). In Schritt 610 startet der Nutzer den Versuch, durch Eingabe des Nutzer-Namens und des Passworts, Zugang zu dem lokalen Rechner 11 zu erlangen. Der Nutzer-Name ist eine vorbestimmte alphanumerische Zeichenkette, die den Nutzer eindeutig kennzeichnet. Üblicherweise wird sie dem Nutzer durch den Systemadministrator zugewiesen, der dafür Sorge tragen muß, daß die Namen innerhalb des Unternehmens eindeutig sind. Der auf dem lokalen Rechner betriebene Client 40 erfaßt die Nutzereingabe und überträgt dann in Schritt 620 die durch den Nutzer bereitgestellten Informationen und die Versionsnummer (4) der Dienst-Zuordnungs-Datei 41 zu dem Standard-LSS des Arbeitsplatzrechners über Kommunikationsverbindungen 15 oder 35 (abhängig von dem besonderen Arbeitsplatzrechner). Die Versionsnummer ist im wesentlichen ein Zeitstempel, der anzeigt, wann die Dienst-Zuordnungs-Datei erzeugt wurde. Jedesmal, wenn der Client 40 versucht, sich an dem LSS anzumelden, vergleicht der LSS die Versionsnummer der Dienst-Zuordnungs-Datei des Clients mit der Versionsnummer, die bei dem SMF-Server 32 hinterlegt ist. Wenn die Kopie des Clients veraltet ist, schickt der LSS die jüngste Kopie zu dem Client 40 zurück. Auf diese Art und Weise verfügt der Client 40 immer über die neuesten Verbindungsinformationen für alle LSS des Netzwerks. Für den Fall, daß der Standard-LSS des Clients nicht verfügbar ist, was es für den Client 40 erforderlich macht, auf einen Ersatz-LSS zuzugreifen, würde der Client die Verbindungsinformationen für einen Ersatz-Server in dem Netzwerk erhalten, durch Zugriff auf seine Kopie der Dienst-Zuordnung-Datei 41, die in dem Plattenspeicher eines jeden Arbeitsplatzrechners abgelegt ist (Schritt 640). Wenn ein Ersatz-Server identifiziert ist (Schritt 650), kehrt der Prozeß zu Schritt 620 zurück, indem der Client 40 die Nutzerinformationen zu dem identifizierten Server überträgt. Wenn ein Ersatz-Server nicht identifiziert ist, zeigt der Client 40 eine Anmeldung-Gescheitert-Nachricht (Schritt 660) auf dem Bildschirm des Arbeitsplatzrechners an und beendet den Prozeß.
  • Wenn in Schritt 630 festgestellt wird, daß der Standard-Server verfügbar ist, durchsucht der auf dem LSS arbeitende Personen-Server 31 die lokale Authentisierungs-Datenbank (Schritt 670) und versucht in Schritt 680 einen einzelnen Nutzer-Namen zu identifizieren, der mit dem eingegebenen Nutzer-Namen und Passwort korrespondiert. Wenn ein übereinstimmender Nutzer-Name und übereinstimmendes Passwort gefunden wird, wird der Nutzer in Schritt 690 bei dem Netzwerk angemeldet. Wenn dem Nutzer Zugriff zu dem Netzwerk gewährt ist, ermittelt die Client Software die Rolle des Nutzers, die mit der zuvor zur Verfügung gestellten Nutzer-Namen- und Nutzer-Passwort-Kombination verknüpft ist, um die ergänzenden Netzwerkdienste zu bestimmen, auf die der Nutzer befugt sein wird, zuzugreifen. Beispielsweise wird ein Nutzer, der als Manager in dem Netzwerk angemeldet ist, die Erlaubnis haben, auf die auf dem Netzwerk verfügbaren Dienste zuzugreifen, die Manager autorisiert sind, zu nutzen. Wenn ein Nutzer bei dem Netzwerk als Angestellter angemeldet ist, wird er die Erlaubnis haben, auf die Dienste zuzugreifen, die normalerweise für alle Angestellten verfügbar sind. Es ist vorgesehen, daß die für Manager verfügbaren Dienste sehr wahrscheinlich verschieden von den Diensten sind, die für alle Angestellten verfügbar sind.
  • Wenn ein übereinstimmender Nutzer-Name und übereinstimmendes Passwort nicht gefunden wird, durchsucht der Personen-Server 31 die Netzwerk-Datenbank 43 (Schritt 690) um herauszufinden, ob der Nutzer-Name im Unternehmen bekannt ist. Wenn kein Eintrag gefunden wird, oder wenn mehr als ein übereinstimmender Eintrag gefunden wird, schickt der Personenserver 31 in Schritt 710 eine Anmeldung-Gescheitert-Nachricht zu dem Client 40 (Schritt 720) zurück. Bei Empfang dieser Nachricht zeigt Client 40 in Schritt 730 die Nachricht auf der Anzeige des Arbeitsplatzrechners an, und der Prozeß wird beendet. Während diese Patentschrift die Erfindung so beschreibt, als wenn mehrfache übereinstimmende Einträge von der Netzwerk-Datenbank 43 zu einer Anmeldung-Gescheitert-Antwort führen würde, sollte es für den Durchschnittsfachmann offensichtlich sein, daß eine Reihe anderer Optionen angewendet werden könnten, ohne den Bereich und Inhalt dieser Erfindung zu verlassen. Beispielsweise könnte das System dem Nutzer eine Gelegenheit bieten, um seinen LSS-Namen manuell einzugeben, oder das System könnte dem Nutzer Gelegenheit geben, eine Kombination von Nutzer-Name und LSS aus einem Drop-Down-Menü mit abgerufenen Nutzer-Namen auszuwählen. Wenn der Nutzer schließlich den richtigen LSS-Namen bereitgestellt oder die richtige Kombination aus Nutzer-Name und LSS identifiziert hat, schickt der Personen-Server 31 den LSS-Namen zu dem Client 40 zurück, und die Bearbeitung wird in Schritt 750 fortgesetzt. Obwohl diese Patentschrift die Erfindung dahingehend beschreibt, daß der Personen-Server eine lokale Sicherheits-ID zurück zu einem Nutzer-Arbeitsplatzrechner überträgt, bevor der Nutzer-Arbeitsplatzrechner auf den zweiten lokalen Sicherheit-Server zugreift, sollte es offensichtlich für einen Durchschnittsfachmann sein, daß der Personen-Server eine Netzwerkverbindung aufbauen und deshalb einen Nutzer bei dem Netzwerk anmelden kann, ohne Anmeldefunktionen zu dem Nutzer-Arbeitsplatzrechner zurückzusenden.
  • Wenn ein einzelner übereinstimmender Eintrag in Schritt 740 gefunden wird, überträgt der Personen-Server 31 in Schritt 750 den Namen des Haupt-LSS des Nutzers zurück zu dem Client 40. Sobald der Client den neuen LSS-Namen empfängt, kehrt der Prozeß zurück zu Schritt 620, in dem der Client 40 den logischen Ort des neuen LSS von seiner Dienst-Zuordnungs-Datei 41 abruft und übermittelt die Nutzerinformationen zu dem identifizierten Server. Wenn keine übereinstimmende Einträge gefunden werden, antwortet der Personen-Server 31 (Schritt 760) dem Client 40 mit einer Anmeldung-Gescheitert-Nachricht. Mit Empfang dieser Nachricht zeigt der Client 40 (Schritt 770) diese auf der Anzeige des Arbeitsplatzrechners an und beendet den Prozeß. Als Sicherheitsvorkehrung könnte der Personen-Server 31 alle fehlgeschlagene Versuche, auf einen lokalen Server zuzugreifen in einer Revisionsaufzeichnung protokollieren, die von dem Systemadministrator periodisch begutachtet wird, als ein Weg, um Sicherheitslöcher aufzudecken. Auch der lokale Sicherheits-Server könnte die Anzahl der fehlgeschlagenen Versuche aufzeichnen, und er könnte das Datenendgerät abschalten, nachdem die Datenbank-Anzahl der fehlgeschlagenen Versuche überschritten ist.
  • Obwohl diese Patentschrift viele Details und Genauigkeiten enthält, sind diese ausschließlich zum Zweck der Illustration gedacht und sie beabsichtigen nicht, die Erfindung zu beschränken. Viele Modifikationen der oben beschriebenen Beispiele werden für den Durchschnittsfachmann offensichtlich sein, die jedoch nicht außerhalb des Bereichs der Erfindung liegen, wie er durch die folgenden Ansprüche und ihre rechtmäßigen Äquivalente definiert ist.
  • Die Methode und Vorrichtung der vorliegenden Erfindung zur Ermöglichung einer automatisierten Server-Bestimmung bei fremden Systemanmeldungen könnte zur Automatisierung des autorisierten Nutzerzugriffs auf ein geografisch verteiltes Netzwerk von irgendeiner von einer Mehrzahl von Arbeitsplatzrechnern aus genutzt werden. Darüber hinaus könnte das Verfahren und die Vorrichtung dort, wo es erwünscht ist, dazu genutzt werden, einem Nutzer die Fähigkeit bereitzustellen, sich bei einem Netzwerk von irgendeinem Arbeitsplatzrechner des Netzwerks aus, durch Benutzung eines einzigen Passworts, anzumelden. Darüber hinaus könnte das Verfahren und die Vorrichtung zur Ermöglichung einer automatisierten Server-Bestimmung bei fremden Systemanmeldungen der vorliegenden Erfindung dort, wo es wünschenswert ist, dazu verwendet werden, einem Netzwerk die Fähigkeit zur Verfügung zu stellen, den Heim-Server eines Nutzers automatisch zu identifizieren und den Nutzer, als Antwort auf die Nutzereingabe eines einzigen Nutzer-Namens und Nutzer-Passworts, bei dem System anzumelden.
  • Ein Verfahren und eine Vorrichtung wird vorgestellt, zur Bereitstellung einer automatischen Nutzer-Zugriffs-Authentifizierung eines beliebigen Nutzers, der zu einer Menge von autorisierten Nutzern eines Computer-Unternehmens gehört, von irgendeinem einer Mehrzahl von geografisch verstreuten Nutzer-Arbeitsplätzen aus, auf einen von einer Mehrzahl vorbestimmter lokaler Sicherheits-Server, durch Verwendung einer einzigen Anmeldung. Ein Personen-Server, der auf einem lokalen Sicherheits-Server angesiedelt ist, vergleicht die durch den Nutzer bereitgestellten Identifikations-Informationen mit Eintragungen, die in der lokalen Authentisierungs-Datenbank enthalten sind. Wenn der Personen-Server eine passende Eintragung findet, wird dem Nutzer Zugang zu dem lokalen Sicherheits-Server gewährt. Wenn der Personen-Server keine passende Eintragung findet, ist die durch den Nutzer bereitgestellte Authentisierungs-Information nicht zulässig für die Gewährung eines Zugangs zu dem lokalen Sicherheits-Server, und der Personen-Server sucht anschließend eine Netzwerk-Datenbank, um bestimmen zu können, ob der eingegebene Nutzer-Name im Unternehmen bekannt ist. Wenn der Personen-Server einen einzigen Nutzer-Namen findet, der zu dem zuvor eingegebenen Nutzer-Namen paßt, sendet er den Namen jenes lokalen, mit dem Computer-Unternehmen verknüpften Sicherheits-Servers zurück, dessen lokale Authentisierungs-Datenbank die zur Gewährung der ordnungsgemäßen Authentisierung des Nutzers notwendigen Informationen haben könnte. Bei Empfang des Namens des neu identifizierten Servers ruft der Client automatisch den logischen Ort des Servers aus einer Dienst-Zuordnungs-Datei ab und leitet die Authentisierungs-Anfrage weiter an den neuen lokalen Sicherheits-Server. Falls der Personen-Server mehr als einen Nutzer unter dem eingegebenen Nutzer-Namen findet, oder wenn der Personen-Server scheitert, irgendeinen Nutzer-Namen zu finden, der zu dem zuvor eingegebenen Nutzer-Namen paßt, dann sendet er eine Anmeldungsanfrage-Gescheitert-Nachricht zum dem Client. Das System hat die Fähigkeit, durch die Benutzung eines Standard-Verzeichnis-Protokolls, wie z. B. dem X.500-Standard, über eine Anzahl von Netzwerk-Protokollen hinweg zu arbeiten.

Claims (20)

  1. Vorrichtung für die automatische Nutzer-Zugriffs-Authentisierung durch einen beliebigen Nutzer, der Mitglied einer Gruppe von autorisierten Nutzern eines Computer-Unternehmens ist, von einem beliebigen, von einer Mehrzahl von geografisch verteilten, mit dem Computer-Unternehmen operativ verknüpften Arbeitsplatzrechnern aus, aufweisend: Client-Software, die auf jedem der verknüpften Arbeitsplatzrechner zur interaktiven Kommunikation mit einem potentiellen Nutzer, der Authentifizierung für den Zugriff auf das Computer-Unternehmen wünscht, betrieben wird, um Identifikations-Daten von dem potentiellen Nutzer zu erhalten, der an dem verknüpften Arbeitsplatzrechner Zugang begehrt; eine Mehrzahl lokaler Sicherheits-Server, die operativ mit den mit dem Computer-Unternehmen verknüpften Arbeitsplatzrechnern verbunden sind, um die von jedem potentiellen Nutzer bereitgestellte Identifikations-Information zu empfangen und authentifizieren, wobei jeder der lokalen Sicherheits-Server mit einem oder mehreren, aber nicht allen, der verknüpften Arbeitsplatzrechner verbunden ist und umfaßt: eine lokale Authentisierungs-Datenbank, die über die notwendigen Informationen zur Gewährung ordnungsgemäßer Authentifizierung einiger, aber nicht notwendiger Weise aller Nutzer aus der gesamten Gruppe der autorisierten Nutzer des Computer-Unternehmens verfügt; ein Netzwerk-Datenbank-Verzeichnis, das über die notwendigen Informationen zur Identifizierung eines lokalen, mit dem Computer-Unternehmen verbundenen Sicherheits-Servers verfügt, dessen lokale Authentisierungs-Datenbank über die zur Gewährung einer ordnungsgemäßen Authentifizierung notwendigen Informationen für die gesamte Gruppe der autorisierten Nutzer des Computer-Unternehmens verfügt; und einen Personen-Server zur: Ermöglichung der Authentisierung für den Zugang eines potentiellen Nutzers, wenn die von der Client-Software an einem verknüpften Arbeitsplatzrechner empfangenen Identifikations-Daten mit den Daten übereinstimmen, die in der Authentisierungs-Datenbank, die mit dem lokalen Sicherheits-Server verknüpft ist, enthalten sind; und Kommunikation mit der Netzwerk-Datenbank, um einen zweiten lokalen, mit dem Computer-Unternehmen verknüpften Sicherheits-Server zu identifizieren, dessen lokale Authentisierungs-Datenbank die notwendigen Informationen für die Ermöglichung einer ordnungsgemäßen Authentifizierung aufweisen kann, und um eine Versorgung des zweiten lokalen Sicherheits-Servers mit den Identifikations-Informationen zu bewirken, um die Authentifizierung des Nutzers zu ermöglichen, ohne weitere Aktivität des Nutzers zu benötigen, wenn der Nutzer nicht über die lokale Authentisierungs-Datenbank identifiziert werden kann.
  2. Vorrichtung gemäß Anspruch 1, dadurch gekennzeichnet, daß jeder der lokalen Sicherheits-Server eine Dienst-Zuordnungs-Datei enthält zur Pflege einer aktualisierten Dienst-Zuordnungs-Datei, die vorzugsweise eine Liste der lokalen Sicherheits-Server mit ihren zugehörigen Verknüpfungsinformationen und eine Versionsnummer der Datei enthält, und zur Bereitstellung der aktualisierten Dienst-Zuordnungs-Datei für die Mehrzahl der mit dem lokalen Sicherheits-Server verbundenen Nutzer-Arbeitsplatzrechnern.
  3. Vorrichtung gemäß Anspruch 2, dadurch gekennzeichnet, daß der lokale Sicherheits-Server durch die Client-Software mit einer Versionsnummer einer auf dem Nutzer-Arbeitsplatzrechner gespeicherten Dienst-Zuordnungs-Datei versorgt wird, wenn der Client versucht, sich bei einem der Mehrzahl von lokalen Sicherheits-Servern anzumelden, insbesondere wobei der Dienst-Zuordnungs-Datei-Server die Versionsnummer der Client-Software mit der Versionsnummer der auf einem der Mehrzahl von lokalen Si cherheits-Servern gespeicherten Dienst-Zuordnungs-Datei vergleicht und eine aktualisierte Dienst-Zuordnungs-Datei zu dem Nutzer-Arbeitplatzrechner überträgt, für den Fall, daß die Differenz zwischen den beiden Versionsnummern einen Wert der Datenbank übersteigt.
  4. Vorrichtung nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß einer der Mehrzahl von lokalen Sicherheits-Servern die Versorgung des zweiten lokalen Sicherheits-Servers mit den Identifikations-Informationen bewirkt mittels Übertragung der Identifikation des zweiten lokalen Sicherheits-Servers zu der Client-Software, vorzugsweise wobei die Client-Software die Authentisierungs-Informationen zu dem zweiten lokalen Sicherheits-Server automatisch überträgt, um die Authentifizierung des Nutzers durch den zweiten lokalen Sicherheits-Server zu ermöglichen, ohne weitere Nutzeraktivität zu benötigen, wobei vorzugsweise die Client-Software auf eine auf dem Nutzer-Arbeitsplatzrechner gespeicherte Dienst-Zuordnungs-Datei zugreift, um den logischen Ort des zweiten lokalen Sicherheits-Servers zu identifizieren.
  5. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß eine der Mehrzahl von lokalen Sicherheits-Servern die Versorgung des zweiten lokalen Sicherheits-Servers mit den Authentisierungs-Informationen bewirkt, mittels der Übertragung der Identifikation des zweiten lokalen Sicherheits-Servers zu dem zweiten lokalen Sicherheits-Server, und/oder die Identifikations-Information aus einem Nutzer-Namen, einem Nutzer-Passwort und einer Nutzer-Rolle bzw. -Funktion besteht, und/oder die lokale Authentisierungs-Datenbank aus einer Liste der für den Zugriff auf eine der Mehrzahl von lokalen Sicherheits-Servern autorisierten Nutzern mit ihren zugehörigen Passworten und Nutzer-Rollen bzw. -Funktionen besteht, vorzugsweise wobei die Client-Software eine Datenbank der Nutzer-Rollen bzw. -Funktionen mit wenigstens einem für jede Nutzer-Rolle bzw. Funktion verbundenen autorisierten Netzwerk-Dienst pflegt und einem angemeldeten Nutzer den Zugriff auf wenigstens einen zu der Nutzer-Rolle bzw. -Funktion korrespondierenden Netzwerk-Dienst ermöglicht.
  6. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die lokale Authentisierungs-Datenbank verschlüsselt ist, vorzugsweise wobei der Personen-Server das in der lokalen Authentisierungs-Datenbank enthaltene Nutzer-Passwort vor der Zugriffs-Authentifizierung eines Nutzers entschlüsselt und/oder die Netzwerk-Datenbank aus einer Liste der lokalen Sicherheits-Server mit ihren zugehörigen Verknüpfungs-Informationen, autorisierten Nutzern und lokalen Ersatz-Sicherheits-Servern besteht, vorzugsweise wobei der lokale Ersatz-Sicherheits-Server ein lokaler Sicherheits-Server ist, dessen lokale Authentisierungs-Datenbank identisch mit der lokalen Authentisierungs-Datenbank seines zugehörigen lokalen Sicherheits-Servers ist, und/oder vorzugsweise wobei die Netzwerk-Datenbank-Liste ferner den Betriebsstatus eines jeden der Mehrzahl von lokalen Sicherheits-Servern beinhaltet, insbesondere wobei der Personen-Server mit der Netzwerk-Datenbank kommuniziert, um den zugeordneten lokalen Ersatz-Sicherheits-Server zu identifizieren, für den Fall, daß der lokale Sicherheits-Server nicht betriebsbereit ist.
  7. Vorrichtung nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die Mehrzahl von lokalen Sicherheits-Servern für jeden gescheiterten Versuch des Nutzers, auf den lokalen Sicherheits-Server zuzugreifen, einen Prüf-Eintrag erzeugt, vorzugsweise wobei der Prüf-Eintrag die Identität des Arbeitsplatzrechners mit dem Datum und der Zeit des fehlgeschlagenen Anmeldeversuchs umfaßt, und/oder vorzugsweise wobei die Mehrzahl der lokalen Sicherheits-Server einen Arbeitsplatzrechner abschalten, für den Fall, daß die Anzahl der fehlgeschlagenen Anmeldeversuche einen Wert der Datenbank überschreitet.
  8. Vorrichtung für die automatische Nutzer-Zugriff-Authentisierung durch einen beliebigen Nutzer, der Mitglied einer Gruppe autorisierter Nutzer des Computer-Unternehmens ist, von irgendeinem einer Mehrzahl geografisch verteilter Arbeitsplatzrechner aus, die mit dem Computer-Unternehmen operativ verknüpft sind, vorzugsweise gemäß einem der voranstehenden Ansprüche, wobei die Vorrichtung aufweist: eine Mehrzahl von lokalen Sicherheits-Servern, die mit den zu dem Computer-Unternehmen gehörigen Arbeitsplatzrechnern operativ verbunden sind, um die von jedem potentiellen Nutzer zur Verfügung gestellten Identifikations-Informationen zu empfangen und zu authentifizieren, wobei jeder der lokalen Sicherheits-Server mit einem oder mehreren, aber nicht allen, der zugehörigen Arbeitsplatzrechner verbunden ist und umfaßt: ein Netzwerk-Datenbank-Verzeichnis, das über die für die Identifizierung eines lokalen, mit dem Computer-Unternehmen verknüpften Sicherheits-Servers notwendigen Informationen verfügt, wobei das Unternehmen über die notwendigen Informationen zur Gewährung der ordnungsgemäßen Authentifizierung der gesamten Gruppen aller autorisierten Nutzer des Computer-Unternehmens verfügt; einen Personen-Server zur Ermöglichung der Zugriffsauthentifizierung eines potentiellen Nutzers, wenn die Identifikationsdaten des Nutzers mit den Daten übereinstimmen, die in der mit dem lokalen Sicherheits-Server verknüpften Authentisierungs-Datenbank enthalten sind; und Kommunikation mit der Netzwerk-Datenbank zur Identifizierung eines zweiten, mit dem Computer-Unternehmen verbundenen Sicherheits-Server, der über die notwendigen Informationen zur Gewährung ordnungsgemäßer Authentisierung des Nutzers verfügen kann, und um eine Rücksendung der Identifikations-Informationen des zweiten lokalen Sicherheits-Servers zu dem Nutzer-Arbeitsplatzrechner zu bewirken, wenn der Nutzer durch den ersten lokalen Sicherheits-Server nicht authentifiziert werden kann; einen Dienst-Zuordnungs-Datei-Server zur: Pflege oder Aufrechterhaltung einer aktualisierten Dienst-Zuordnungs-Datei; Verfügbarmachung der aktualisierten Dienst-Zuordnungs-Datei für die Mehrzahl der mit dem lokalen Sicherheits-Server verbundenen Nutzer-Arbeitsplatzrechner; und eine Client-Software, die mit jedem der verknüpften Arbeitsplatzrechner arbeitet zur: interaktiven Kommunikation mit einem potentiellen Nutzer, der eine Authentisierung für den Zugriff auf das Computer-Unternehmen wünscht, um Identifikations-Daten von dem potentiellen Nutzer abzurufen, der Zugriff von dem verbundenen Nutzer-Arbeitsplatzrechner aus begehrt; interaktiven Kommunikation mit einem ersten lokalen Sicherheits-Server, um die aktualisierte Dienst-Zuordnungs-Datei zu empfangen und den potentiellen Nutzer für den Zugriff auf den ersten lokalen Sicherheits-Server zu authentifizieren; Aufnahme einer ID eines zweiten lokalen Sicherheits-Servers von dem ersten lokalen Sicherheits-Server, wenn der Nutzer durch den ersten lokalen Sicherheits-Server nicht authentifiziert werden kann; und Weiterleitung der Authentisierungs-Informationen zu dem zweiten lokalen Sicherheits-Server unter Nutzung der aktualisierten Dienst-Zuordnungs-Datei, um den potentiellen Nutzer für den Zugriff auf den zweiten lokalen Sicherheits-Server zu authentifizieren, ohne weitere Nutzer-Aktivität zu benötigen.
  9. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die Dienst-Zuordnungs-Datei aus einer Versionsnummer mit einer Liste der lokalen Sicherheits-Server und ihrer zugehörigen logischen Orte besteht, vorzugsweise wobei die Client-Software die Versorgung des ersten lokalen Sicherheits-Servers mit der Versionsnummer einer auf dem Nutzer-Arbeitsplatzrechner gespeicherten Dienst-Zuordnungs-Datei bewirkt, immer wenn die Client-Software versucht, sich bei dem ersten Sicherheits-Server anzumelden, vorzugsweise wobei der Dienst-Zu ordnungs-Datei-Server diese Versionsnummer des Clients mit der Versionsnummer der auf dem ersten Sicherheits-Server gespeicherten Dienst-Zuordnungs-Datei vergleicht und eine aktualisierte Dienst-Zuordnungs-Datei zu dem Client überträgt, für den Fall, daß die Differenz zwischen den beiden Versionsnummern einen Wert der Datenbank überschreitet.
  10. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß jede der Mehrzahl von lokalen Sicherheits-Servern darüber hinaus jeweils eine lokale Authentisierungs-Datenbank aufweist, die die notwendigen Informationen zur Ermöglichung ordnungsgemäßer Authentifizierung einiger, aber nicht notwendiger Weise aller der gesamten Gruppe der autorisierten Nutzer des Computer-Unternehmens aufweist, vorzugsweise wobei die Identifikations-Information aus einem Nutzer-Namen, einem Nutzer-Passwort und einer Nutzer-Rolle bzw. -Funktion besteht, und/oder vorzugsweise wobei die lokale Authentisierungs-Datenbank aus einer Liste der für einen Zugriff auf den lokalen Sicherheits-Server autorisierten Nutzer mit den zugehörigen Passworten und Nutzer-Rollen bzw. -Funktionen besteht, vorzugsweise wobei die Client-Software eine Datenbank der Nutzer-Rollen bzw. -Funktionen mit wenigstens einem für jede Nutzer-Rolle bzw. -Funktion autorisierten Netzwerk-Dienst pflegt und einem angemeldeten Nutzer den Zugang zu den Netzwerk-Diensten ermöglicht, die zu der Nutzer-Rolle bzw. -Funktion korrespondieren.
  11. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die lokale Authentisierungs-Datenbank verschlüsselt ist, vorzugsweise wobei der Personen-Server das in der lokalen Authentisierungs-Datenbank enthaltene Nutzer-Passwort vor der Zugriffs-Authentifizierung eines Nutzers, entschlüsselt und/oder daß die Netzwerk-Datenbank einer Liste jedes lokalen Sicherheits-Servers mit ihren zugeordneten Verbindungsinformationen, den autorisierten Nutzern und den lokalen Ersatz-Sicherheits-Servern umfaßt, vorzugsweise wobei der lokale Ersatz-Sicherheits-Server ein lokaler Sicherheits-Server ist, dessen lokale Authentisierungs-Datenbank identisch ist zu der lokalen Authentisierungs-Datenbank seines zugehörigen lokalen Sicherheits-Servers, und/oder vorzugsweise wobei die Netzwerk-Datenbank-Liste ferner den Betriebsstatus jedes lo kalen Sicherheits-Servers beinhaltet, insbesondere wobei der lokale Sicherungs-Server mit der Netzwerk-Datenbank kommuniziert, um einen verbundenen lokalen Ersatz-Sicherheits-Server in dem Fall zu identifizieren, daß einer der Mehrzahl von lokalen Sicherheits-Servern nicht betriebsbereit ist.
  12. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die Mehrzahl von lokalen Sicherheits-Servern für jeden gescheiterten Versuch, auf den Personen-Server zuzugreifen, einen Prüf-Eintrag generiert, vorzugsweise wobei der Prüf-Eintrag die Identität des Arbeitsplatzrechners mit dem Datum und der Zeit des fehlgeschlagenen Anmeldeversuchs umfaßt, und/oder vorzugsweise wobei einer der Mehrzahl von lokalen Sicherheits-Servern einen Nutzer-Arbeitplatzrechner in dem Fall abschaltet, daß die Anzahl der fehlgeschlagenen Anmeldeversuche einen Wert der Datenbank überschreitet.
  13. Vorrichtung gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die lokale Authentisierungs- und Netzwerk-Datenbanken X.500- oder kompatible Datenbanken sind.
  14. Verfahren für die automatische Nutzer-Authentisierung durch einen beliebigen Nutzer, der Mitglied einer Gruppe autorisierter Nutzer des Computer-Unternehmens ist, von irgendeinem einer Mehrzahl geografisch verteilter Arbeitsplatzrechner aus, die mit dem Computer-Unternehmen betriebsbereit bzw. operativ verknüpft sind, wobei das Computer-Unternehmen eine Mehrzahl von lokalen Sicherheits-Servern umfaßt, von denen jeder mit auf einem Nutzer-Arbeitsplatzrechner betriebener Client-Software verbunden ist, wobei jeder der lokalen Sicherheits-Server mit einem oder mehreren, aber nicht allen, dem Computer-Unternehmen zugeordneten Arbeitsplatzrechnern verbunden ist, wobei jeder lokale Sicherheits-Server aus einem Personen-Server, einer lokalen Authentisierungs-Datenbank, einem Dienst-Zuordnung-Datei-Server und einer Netzwerk-Datenbank besteht, wobei das Verfahren die folgenden computerimplementierten Schritte aufweist: Empfangen von Identifikations-Daten durch einen Client und Weiterleitung der Authentisierungs-Daten von der bzw. durch die Client-Software zu einem ersten lokalen Sicherheits-Server; Ermöglichen der Zugriffs-Authentifizierung eines potentiellen Nutzers durch den ersten lokalen Sicherheits-Server, wenn die durch die Client-Software empfangenen Identifikationsdaten mit den in der Authentisierungs-Datenbank enthaltenen Daten übereinstimmen, die dem ersten lokalen Sicherheits-Server zugeordnet ist; und Kommunizieren mit der Netzwerk-Datenbank, um einen zweiten lokalen, mit dem Computer-Unternehmen verknüpften Sicherheits-Server zu ermitteln, dessen lokale Authentisierungs-Datenbank die notwendigen Informationen für die Ermöglichung einer ordnungsgemäßen Nutzer-Authentifizierung aufweisen kann, und um eine Versorgung des zweiten lokalen Sicherheits-Servers mit den Identifikations-Informationen zu bewirken, um die Authentifizierung des Nutzers zur ermöglichen, ohne weitere Aktivität des Nutzers zu benötigen, wenn der Nutzer nicht über die lokale, dem ersten lokalen Sicherheits-Server zugeordnete Authentisierungs-Datenbank identifiziert werden kann.
  15. Verfahren gemäß Anspruch 14, dadurch gekennzeichnet, daß der Dienst-Zuordnungs-Datei-Server die folgenden, computerimplementierten Schritte ausführt: Pflegen oder Aufrechterhalten einer aktualisierten Dienst-Zuordnungs-Datei; und Verfügbarmachen der aktualisierten Dienst-Zuordnungs-Datei für die Mehrzahl der dem lokalen Sicherheits-Server zugeordneten Nutzer-Arbeitsplatzrechner.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß die Dienst-Zuordnungs-Datei aus einer Versionsnummer mit einer Liste der lokalen Sicherheits-Server und den ihnen zugeordneten logischen Orten besteht, vorzugsweise wobei die Client-Software den Schritt ausführt, der bewirkt, daß eine auf dem Nutzer-Arbeitsplatzrechner gespeicherte Versionsnummer einer Dienst-Zuordnungs-Datei dem ersten lokalen Sicherheits-Server zur Verfügung gestellt wird, wenn der Client versucht, sich an dem ersten lokalen Sicherheits-Server anzumelden, vorzugsweise wobei der Dienst-Zuordnungs-Datei-Server den computerimplementierten Schritt des Vergleichs der Versionsnummer des Clients mit der Versionsnummer der auf dem ersten lokalen Sicherheits-Server gespeicherten Dienst-Zuordnungs-Datei ausführt und eine aktualisierte Dienst-Zuordnungs-Datei zu dem Client überträgt, wenn die Differenz zwischen den beiden Versionsnummern einen Wert der Datenbank übersteigt.
  17. Verfahren nach Anspruch 15 oder 16, dadurch gekennzeichnet, daß der Schritt der Versorgung des zweiten lokalen Sicherheits-Servers mit den Identifikations-Informationen den computerimplementierten Schritt des Übertragens, der Identifikation des zweiten lokalen Sicherheits-Servers von dem ersten lokalen Sicherheits-Server zu dem Nutzer-Arbeitsplatzrechner aufweist, vorzugsweise wobei die Client Software die computerimplementierten Schritte des Empfangens einer lokalen Sicherheits-Server-ID von dem ersten lokalen Sicherheits-Server und das Weiterleiten der Authentisierungs-Informationen zu dem zweiten lokalen Sicherheits-Server ausführt, um den potentiellen Nutzer für den Zugriff auf den zweiten lokalen Sicherheits-Server zu authentifizieren, ohne weitere Nutzer-Aktivitäten zu erfordern, vorzugsweise wobei der Schritt des Weiterleitens der Authentisierungs-Informationen zu dem zweiten lokalen Sicherheits-Server den Schritt des Zugreifens auf die Dienst-Zuordnungs-Datei aufweist, um den logischen Ort des zweiten lokalen Sicherheits-Servers zu identifizieren.
  18. Verfahren nach einem der Ansprüche 14 bis 17, dadurch gekennzeichnet, daß der Schritt der Veranlassung der Zuführung der Identifikations-Informationen zu einem zweiten lokalen Sicherheits-Server den computerimplementierten Schritt des Übertragens der Authentisierungs-Informationen direkt zu dem zweiten lokalen Sicherheits-Server von dem ersten lokalen Sicherheits-Server aufweist, und/oder daß die Identifikations-Informationen aus einem Nutzer-Namen, einem Nutzer-Passwort und einer Nutzer-Rolle bzw. -Funktion bestehen, und/oder jede lokale Authentisierungs- Datenbank aus einer Liste der für den Zugriff auf jede der Mehrzahl von lokalen Sicherheits-Servern autorisierten Nutzern mit den ihnen zugeordneten Passworten und Nutzer-Rollen bzw. -Funktionen besteht, vorzugsweise wobei die Client-Software die folgenden computergenerierten Schritte ausführt: Pflegen oder Aufrechterhalten einer Liste der Nutzer-Rollen bzw. -Funktionen mit wenigstens einem für jede Rolle bzw. Funktion autorisierten Netzwerk-Dienst; und Versorgen eines angemeldeten Nutzers mit dem Zugriff auf die Netzwerk-Dienste, die zu der Nutzer-Rolle bzw. -Funktion korrespondieren.
  19. Verfahren nach einem der Ansprüche 14 bis 18, dadurch gekennzeichnet, daß die lokale Authentisierungs-Datenbank verschlüsselt ist, vorzugsweise wobei der Personen-Server ein in der lokalen Authentisierungs-Datenbank enthaltenes Nutzer-Passwort entschlüsselt, bevor ein Nutzer für den Zugriff authentifiziert wird, und/oder daß die Netzwerk-Datenbank aus einer Liste der lokalen Sicherheits-Server mit ihren zugeordneten Verbindungs-Informationen, autorisierten Nutzern und lokalen Ersatz-Sicherheits-Servern besteht, vorzugsweise wobei der lokale Ersatz-Sicherheits-Server ein lokaler Sicherheits-Server ist, dessen lokale Authentisierungs-Datenbank identisch zu der lokalen Authentisierungs-Datenbank seines zugeordneten lokalen Sicherheits-Servers ist, und/oder vorzugsweise wobei die Netzwerk-Datenbank-Liste ferner den Betriebsstatus jedes lokalen Sicherheits-Servers beinhaltet, insbesondere wobei der Schritt des Kommunizierens mit der Netzwerk-Datenbank zur Identifikation eines zweiten lokalen, mit dem Computer-Unternehmen assoziierten Sicherheits-Servers ferner den computerimplementierten Schritt des Identifizierens eines zugeordneten lokalen Ersatz-Sicherheits-Server für den Fall, daß der lokale Sicherheits-Server nicht betriebsfähig ist, aufweist.
  20. Verfahren nach einem der Ansprüche 14 bis 19, dadurch gekennzeichnet, daß der Personen-Server den Schritt des Erzeugens eines Prüf-Eintrags für jeden fehlgeschlagenen Zugriffsversuch auf den Personen-Server durchführt, und/oder daß der Prüf-Eintrag aus einer Arbeitsplatzrechner-Identität mit dem Datum und der Uhrzeit des fehlgeschlagenen Anmeldeversuchs besteht, vorzugsweise wobei der Personen-Server zusätzlich den Schritt des Abschaltens eines Nutzer-Arbeitsplatzrechners vornimmt, wenn die Anzahl der fehlgeschlagenen Anmeldeversuche einen Wert der Datenbank übersteigt, und/oder daß die lokalen Authentisierungs- und Netzwerk-Datenbanken X.500- oder kompatible Datenbanken sind.
DE69915441T 1998-12-23 1999-12-23 System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung Expired - Lifetime DE69915441T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/219,854 US6826692B1 (en) 1998-12-23 1998-12-23 Method and apparatus to permit automated server determination for foreign system login
US219854 1998-12-23

Publications (2)

Publication Number Publication Date
DE69915441D1 DE69915441D1 (de) 2004-04-15
DE69915441T2 true DE69915441T2 (de) 2005-01-13

Family

ID=22821048

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69915441T Expired - Lifetime DE69915441T2 (de) 1998-12-23 1999-12-23 System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung

Country Status (11)

Country Link
US (1) US6826692B1 (de)
EP (1) EP1014249B1 (de)
KR (1) KR100389160B1 (de)
CN (1) CN1124001C (de)
AT (1) ATE261593T1 (de)
BR (1) BR9913815A (de)
CA (1) CA2293103A1 (de)
DE (1) DE69915441T2 (de)
ES (1) ES2217681T3 (de)
HK (1) HK1034581A1 (de)
IL (1) IL133660A (de)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444390B2 (en) * 1999-10-20 2008-10-28 Cdimensions, Inc. Method and apparatus for providing a web-based active virtual file system
KR20010058088A (ko) * 1999-12-24 2001-07-05 김상동 네트워크 사용자와 다중 서버 사이의 신분 인증 방법 및시스템
AU3065301A (en) * 2000-01-28 2001-08-07 Telefonaktiebolaget Lm Ericsson (Publ) Single logon system and method for distributed software applications
KR100504088B1 (ko) * 2000-05-24 2005-07-27 박원식 네트워크를 통한 계좌 통합 관리 시스템 및 그 방법
KR100375718B1 (ko) * 2000-06-13 2003-03-15 주식회사 지지21 사용자 아이디로 분산된 위치정보 도메인 서버를 이용한사용자의 위치정보 등록 및 검색방법과 그 시스템
US20020072414A1 (en) * 2000-09-08 2002-06-13 Donald Stylinski Pilot internet practice system and methods
KR100419826B1 (ko) * 2000-11-10 2004-02-21 김희석 컴퓨터장치간의 원격 시동 및 자료전송시스템
US8117254B2 (en) * 2000-12-15 2012-02-14 Microsoft Corporation User name mapping in a heterogeneous network
US8095624B2 (en) * 2000-12-28 2012-01-10 CenterBeam Inc. Architecture for serving and managing independent access devices
US20020138437A1 (en) * 2001-01-08 2002-09-26 Lewin Daniel M. Extending an internet content delivery network into an enterprise environment by locating ICDN content servers topologically near an enterprise firewall
US20090144382A1 (en) * 2001-01-09 2009-06-04 Benninghoff Iii Charles F Method for certifying and unifying delivery of electronic packages
US7590745B2 (en) * 2001-03-02 2009-09-15 International Business Machines Corporation System and method for analyzing a router in a shared network system
US7275258B2 (en) * 2001-07-19 2007-09-25 International Business Machines Corporation Apparatus and method for multi-threaded password management
US7640006B2 (en) * 2001-10-03 2009-12-29 Accenture Global Services Gmbh Directory assistance with multi-modal messaging
US7441016B2 (en) 2001-10-03 2008-10-21 Accenture Global Services Gmbh Service authorizer
US7254384B2 (en) * 2001-10-03 2007-08-07 Accenture Global Services Gmbh Multi-modal messaging
US7233655B2 (en) * 2001-10-03 2007-06-19 Accenture Global Services Gmbh Multi-modal callback
US7472091B2 (en) 2001-10-03 2008-12-30 Accenture Global Services Gmbh Virtual customer database
JP2003141020A (ja) * 2001-10-31 2003-05-16 Toshiba Tec Corp 情報保管出力システム及び情報保管出力サービス
US7412720B1 (en) * 2001-11-02 2008-08-12 Bea Systems, Inc. Delegated authentication using a generic application-layer network protocol
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US9635540B2 (en) * 2002-03-25 2017-04-25 Jeffrey D. Mullen Systems and methods for locating cellular phones and security measures for the same
JP2003304268A (ja) * 2002-04-12 2003-10-24 Nec Corp サーバ及び該サーバを備える利用者限定型ホームサーバアクセスシステム並びにアクセス制御方法
JP4018450B2 (ja) * 2002-05-27 2007-12-05 キヤノン株式会社 文書管理システム、文書管理装置、認証方法、コンピュータ読み取り可能なプログラム、及び記憶媒体
US20040054791A1 (en) * 2002-09-17 2004-03-18 Krishnendu Chakraborty System and method for enforcing user policies on a web server
EP1540914B1 (de) * 2002-09-21 2007-08-15 Telefonaktiebolaget LM Ericsson (publ) Verfahren zur anfrage des zugangs eines teilnehmers zu einer anwendung
JP3697437B2 (ja) * 2002-10-10 2005-09-21 株式会社東芝 ネットワークシステムおよびネットワークシステムの構築方法
EP1408391A1 (de) * 2002-10-11 2004-04-14 Telefonaktiebolaget LM Ericsson (publ) Verfahren zum Zuordnen von Authentifizierungsinformation eines vertrauten Gerätes zur Identifizierung eines unvertrauten Gerätes
US8032931B2 (en) * 2002-10-30 2011-10-04 Brocade Communications Systems, Inc. Fabric manager multiple device login
US20040117386A1 (en) * 2002-12-12 2004-06-17 Sun Microsystems, Inc. Syncronization facility for information domains employing dissimilar protective transformations
JP3791489B2 (ja) * 2002-12-13 2006-06-28 ソニー株式会社 ポータブルサーバ
US7421492B1 (en) * 2003-01-24 2008-09-02 Unisys Corporation Control arrangement for operating multiple computer systems
US20040193919A1 (en) * 2003-03-31 2004-09-30 Dabbish Ezzat A. Method and apparatus for identifying trusted devices
JP2004318552A (ja) * 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
US7890477B2 (en) * 2003-08-20 2011-02-15 Total Training Network, Inc. Systems and methods for providing digital content
US7437736B2 (en) 2004-03-10 2008-10-14 Citibank, N.A. Method and apparatus for managing workflow in a single sign-on framework
US7934101B2 (en) * 2004-04-16 2011-04-26 Cisco Technology, Inc. Dynamically mitigating a noncompliant password
JP2006035849A (ja) * 2004-06-25 2006-02-09 Ricoh Co Ltd ネットワーク装置
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US7447900B2 (en) * 2004-09-15 2008-11-04 Hewlett-Packard Development Company, L.P. Method and a system for designating a user selected console device as the primary console device for a particular computer
US7493373B2 (en) 2004-12-27 2009-02-17 Nokia Corporation Providing service distribution between distributed applications
US9438683B2 (en) 2005-04-04 2016-09-06 Aol Inc. Router-host logging
JP4708862B2 (ja) * 2005-05-26 2011-06-22 キヤノン株式会社 光走査装置及びそれを用いた画像形成装置
US20070067830A1 (en) * 2005-09-20 2007-03-22 Kabushiki Kaisha Toshiba And Toshiba Tec Kabushiki Kaisha System and method for network device administration
US8032790B2 (en) * 2005-10-27 2011-10-04 International Business Machines Corporation Testing of a system logging facility using randomized input and iteratively changed log parameters
US7606937B2 (en) * 2005-12-02 2009-10-20 Microsoft Corporation Next site for distributed service connections
US7575163B2 (en) 2006-07-18 2009-08-18 At&T Intellectual Property I, L.P. Interactive management of storefront purchases
US8305604B2 (en) * 2007-04-18 2012-11-06 Hewlett-Packard Development Company, L.P. System and method of network printing
EP2023260A1 (de) * 2007-08-08 2009-02-11 Hurra Communications GmbH Zentraler Profilserver und Verfahren zum Betreiben eines Client-Server Systems
KR101177456B1 (ko) * 2007-09-05 2012-08-27 삼성전자주식회사 서버를 통한 사용자 인증 방법 및 이를 이용한화상형성장치
US9020913B2 (en) 2007-10-25 2015-04-28 International Business Machines Corporation Real-time interactive authorization for enterprise search
US20100088364A1 (en) * 2008-10-08 2010-04-08 International Business Machines Corporation Social networking architecture in which profile data hosting is provided by the profile owner
US8424065B2 (en) * 2009-11-25 2013-04-16 International Business Machines Corporation Apparatus and method of identity and virtual object management and sharing among virtual worlds
US9628583B2 (en) * 2010-04-29 2017-04-18 Nokia Technologies Oy Method and apparatus for coordinating service information across multiple server nodes
US9032488B2 (en) * 2012-04-17 2015-05-12 Salesforce.Com, Inc. Cross instance user authentication architecture
CN103678242B (zh) * 2013-12-09 2017-07-21 腾讯科技(深圳)有限公司 用户资料发送方法及装置
CN105737814B (zh) * 2014-12-10 2018-08-03 上海机电工程研究所 地空导弹武器系统实时标定的方法
US9736259B2 (en) * 2015-06-30 2017-08-15 Iheartmedia Management Services, Inc. Platform-as-a-service with proxy-controlled request routing

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3061842B2 (ja) 1990-09-07 2000-07-10 日本電気株式会社 ログオンホスト自動選択方式
US5642515A (en) 1992-04-17 1997-06-24 International Business Machines Corporation Network server for local and remote resources
US5241594A (en) * 1992-06-02 1993-08-31 Hughes Aircraft Company One-time logon means and methods for distributed computing systems
US5586260A (en) 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5548724A (en) 1993-03-22 1996-08-20 Hitachi, Ltd. File server system and file access control method of the same
JPH06282527A (ja) 1993-03-29 1994-10-07 Hitachi Software Eng Co Ltd ネットワーク管理システム
GB2281645A (en) * 1993-09-03 1995-03-08 Ibm Control of access to a networked system
US5483652A (en) 1994-01-24 1996-01-09 Digital Equipment Corporation Mechanism for locating without search discrete application resources known by common name only in a distributed network computing environment
US5598536A (en) 1994-08-09 1997-01-28 Shiva Corporation Apparatus and method for providing remote users with the same unique IP address upon each network access
US5604490A (en) 1994-09-09 1997-02-18 International Business Machines Corporation Method and system for providing a user access to multiple secured subsystems
US5764890A (en) * 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5655077A (en) 1994-12-13 1997-08-05 Microsoft Corporation Method and system for authenticating access to heterogeneous computing services
US5689638A (en) 1994-12-13 1997-11-18 Microsoft Corporation Method for providing access to independent network resources by establishing connection using an application programming interface function call without prompting the user for authentication data
US5682478A (en) 1995-01-19 1997-10-28 Microsoft Corporation Method and apparatus for supporting multiple, simultaneous services over multiple, simultaneous connections between a client and network server
US5592611A (en) 1995-03-14 1997-01-07 Network Integrity, Inc. Stand-in computer server
US5696895A (en) 1995-05-19 1997-12-09 Compaq Computer Corporation Fault tolerant multiple network servers
US5678041A (en) 1995-06-06 1997-10-14 At&T System and method for restricting user access rights on the internet based on rating information stored in a relational database
US5729682A (en) 1995-06-07 1998-03-17 International Business Machines Corporation System for prompting parameters required by a network application and using data structure to establish connections between local computer, application and resources required by application
US5774551A (en) * 1995-08-07 1998-06-30 Sun Microsystems, Inc. Pluggable account management interface with unified login and logout and multiple user authentication services
US5742759A (en) 1995-08-18 1998-04-21 Sun Microsystems, Inc. Method and system for facilitating access control to system resources in a distributed computer system
US5978813A (en) * 1995-09-25 1999-11-02 International Business Machines Corporation System for providing synchronization between a local area network and a distributing computer environment
US5818936A (en) * 1996-03-15 1998-10-06 Novell, Inc. System and method for automically authenticating a user in a distributed network system
US5684950A (en) 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
JPH1141252A (ja) 1997-07-23 1999-02-12 Nippon Telegr & Teleph Corp <Ntt> クライアント・サーバシステム
US6144959A (en) * 1997-08-18 2000-11-07 Novell, Inc. System and method for managing user accounts in a communication network
US6131120A (en) * 1997-10-24 2000-10-10 Directory Logic, Inc. Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers
US6192405B1 (en) * 1998-01-23 2001-02-20 Novell, Inc. Method and apparatus for acquiring authorized access to resources in a distributed system
US6530024B1 (en) * 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method

Also Published As

Publication number Publication date
DE69915441D1 (de) 2004-04-15
BR9913815A (pt) 2001-06-26
ATE261593T1 (de) 2004-03-15
KR100389160B1 (ko) 2003-06-25
CA2293103A1 (en) 2000-06-23
IL133660A0 (en) 2001-04-30
ES2217681T3 (es) 2004-11-01
CN1265495A (zh) 2000-09-06
IL133660A (en) 2004-01-04
US6826692B1 (en) 2004-11-30
KR20000052556A (ko) 2000-08-25
EP1014249A1 (de) 2000-06-28
EP1014249B1 (de) 2004-03-10
HK1034581A1 (en) 2001-10-26
CN1124001C (zh) 2003-10-08

Similar Documents

Publication Publication Date Title
DE69915441T2 (de) System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE69833929T2 (de) Netzzugriffsauthentifizierungssystem
DE60006451T2 (de) Verteilte Authentifizierungsmechanismen zur Behandlung von verschiedenen Authentifizierungssystemen in einem Betriebsrechnersystem
DE69635469T2 (de) Synchronisierung zwischen verschiedenen Computeranbieterumgebungen
DE69935030T2 (de) System und Verfahren zur Web-Server Benutzerauthentifizierung
DE60029774T2 (de) Videokonferenzsystem
DE10144023B4 (de) Vorrichtung und Verfahren zur automatischen Benutzerprofil-Konfiguration
DE60130377T2 (de) Verfahren zur steuerung des zugriffs auf digitalen inhalt und streaming-medien
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
US5991807A (en) System for controlling users access to a distributive network in accordance with constraints present in common access distributive network interface separate from a server
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE69818008T2 (de) Datenzugriffssteuerung
DE69832786T2 (de) Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE60133648T2 (de) System und verfahren zum führen von laufzeitdaten in einem server-netzwerk
DE60319056T2 (de) Methode und Gerät zur Bereitstellung von Informationen und Diensten bei Verhinderung des Missbrauchs derselben
DE60127834T2 (de) Sicherheitsarchitektur zur integration eines betriebsinformationssystems mit einer j2ee plattform
US8291096B2 (en) Central adminstration of one or more resources
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE602004012300T2 (de) Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff
DE602005004021T2 (de) Verfahren und system zur authentifizierung in einem computernetzwerk
EP1170664A2 (de) Verfahren und Vorrichtung zur Geräteverwaltung und Internet-Dienstbereitstellungsverfahren
EP1628184A1 (de) Verfahren und Computersystem zur Durchführung eines netzwerkgestützten Geschäftsprozesses
DE10213505A1 (de) Verfahren und System zur globalen Beschränkung des Zugangs von Klienten zu einer gesicherten Website

Legal Events

Date Code Title Description
8364 No opposition during term of opposition