-
Die
Erfindung betrifft ein Gerät
und ein Verfahren zur Automatisierung eines autorisierten Nutzerzugriffs
auf ein geografisch verstreutes Netzwerk von irgendeinem von einer
Mehrzahl von Arbeitsplatzrechnern aus.
-
Das
heutige Geschäftsumfeld
wird durch Informationen getrieben und das Erzielen der effektivsten
Nutzung der Informationstechnologie (IT) ist eine entscheidende
Komponente für
den Erfolg einer jeden Organisation. Die Fortentwicklung der IT
und ihre Ausbreitung in alle Bereiche des geschäftlichen und persönlichen
Lebens hat wachsende Herausforderungen entstehen lassen – sowohl
für IT-Experten
als auch für
Endverbraucher.
-
In
der vergangenen Dekade hat sich das Standardmodell für IT-Systeme
signifikant geändert. Anstelle
von auf Großrechnern
basierenden Systemen, die von einer einzigen zentralen Abteilung
gesteuert worden sind, bewegt sich ihre Organisation nun schnell
hin zu einer verteilten Rechnerumgebung, in der sich Anwendungen
und Dienste irgendwo in dem Netzwerk auf der Hardware und Betriebssystemen
unterschiedlicher Anbieter befinden können. Der Hauptgrund, um Rechner
zu Netzwerken und Netzwerke mit anderen Netzwerken zu verbinden,
besteht darin, Computer zu einer effizienten Zusammenarbeit zu befähigen und
die gemeinsame Nutzung von Ressourcen zu vereinfachen.
-
Verteilte
Computersysteme haben häufig eine
globale Ausdehnung und können
viele Tausend Arbeitsplatzrechner an diversen geografischen Orten umfassen.
Derartige Systeme sind insbesondere nützlich für Geschäftsreisende, die ihr Netzwerk
von praktisch überall
aus in der Welt erreichen können. Beispielsweise
könnte
ein Geschäftsreisender
an einem entfernten Arbeitsplatz die neuesten Kostendaten abrufen,
den Status einer anhängigen
Bestellung erhalten, eine neue Bestellung aufgeben oder einfach
seine E-Mail lesen wollen. Unglücklicherweise enthalten
viele der heute installierten Client-Server-Netzwerke eine große Bandbreite
unabhängiger Netzwerk-Server-Ressourcen,
die diese Aufgabe verhindert oder wenigstens erschwert. "Unabhängig" bedeutet in diesem
Zusammenhang, daß die
Netzwerk-Ressource eine unabhängige,
im Gegensatz zu einer gemeinsam genutzten Nutzer-Datenbank aufweist.
In einem unabhängigen
Netzwerk werden Nutzer, die geografisch entfernt von ihren Heim-Terminals
sind und die sich auf ihren Heim-Netzwerk-Server einwählen wollen,
gezwungen, Verbin dungs- und Authentisierungs-Informationen anzugeben,
wie z. B. Netzwerk-Server-ID,
Nutzer-Identifizierung und Passwort, um auf die lokale, unabhängige Netzwerk-Ressource
zugreifen zu können,
auf der deren Zugangskonto geführt
wird. Das Vergessen des Passworts und der Zugriff auf den falschen
Dienst oder die falsche Anwendung sind nur zwei der Frustrationen,
die Anwender zu eliminieren versuchen, indem sie einfach zu erinnernde
Passworte wählen
und ihre Einwahl-Informationen sogar an leicht zugängigen Orten
notieren. Indem sie dies tun, untergraben sie die Sicherheit. Computerverständige Nutzer,
die vertraut sind mit Netzwerk-Namenskonventionen, können die
Schwierigkeit leicht überwinden,
sich an ihrem Arbeitsplatzrechner von einem entfernten Ort anzumelden,
wohingegen die große
Mehrheit der anderen Netzwerk-Nutzer entweder die Fertigstellung einer
Aufgabe zurückstellen,
oder möglicherweise auf
andere, netzwerkunabhängige
Mittel zurückgreifen
muß, um
die Informationen zu erhalten.
-
Tatsächliche
und potentiell kostspielige Risiken zeitgemäßer Rechnerumgebungen – böswillige oder
nachlässige
Angestellte, Häcker
oder sogar Spionage – werden
manchmal toleriert, um die Produktivität aufrechtzuerhalten, und um
ein Ansteigen der Verwaltungsgemeinkosten durch Sicherheitsmaßnahmen
zu verhindern, die legitimierte Nutzer behindern. Dem Stand der
Technik entsprechende Zugriffsdienste sind zur Behandlung der Probleme
entwickelt worden, die beim Versuch von Nutzern entstehen, auf verteilte
Netzwerke von entfernten Orten aus zuzugreifen. Diese Dienste stellen
einen Nutzerzugang zu entfernten Netzwerk-Ressourcen durch die Verwendung
von Authentisierungsdaten zur Verfügung, die im lokalen Speicher
abgelegt sind. Beispielsweise offenbart die US-A-5,483,652 ein Verfahren
und eine mit ihr verbundene Vorrichtung, um einer Client-Einheit
zu gestatten, den Zugang zu einem Dienst oder zu einer Ressource
mit der alleinigen Kenntnis des allgemeinen Namens für den Dienst oder
die Ressource anzufordern. Unglücklicherweise sieht
dieses System üblicherweise
vor, daß ein
Nutzer versuchen wird, auf entfernte Netzwerk-Ressourcen (z. B.
Drucker, Spezialcomputer und einmalige Dateien) von seinem Arbeitplatzrechner
aus zuzugreifen, und es ermöglicht
dem Nutzer nicht, sich bei dem Netzwerk anzumelden oder auf solche
Ressourcen von entfernten Arbeitsplatzrechnern aus zuzugreifen.
-
Auf
der anderen Seite offenbart die US-A-5,598,536 eine Vorrichtung
und ein Verfahren, um entfernten Nutzern über einen Fernzugriff-Netzwerk-Server
einen Zugriff auf ihr lokales Computernetzwerk zu ermöglichen.
In diesem System gibt ein entfernter Nutzer eine eindeutige Nutzer-ID-Zeichenkette
ein, um Zugriff auf einen entfernten Rechner zu erhalten. Ist der
entfernte Nutzer einmal authentifiziert, wird diesem entfernten
Nutzer Zugang zu dem lokalen Netzwerk gewährt. Während dieses System viele der
Schwierigkeiten überwunden
hat, die vor seinem Entwurf existierten, ist immer noch ein Nutzer
notwendig, der zwei verschiedene Authentisierungs-Zeichenketten
verwendet, abhängig
davon, ob er versucht, sich bei seinem lokalen Netzwerk-Server von
einem lokalen oder einem entfernten Arbeitsplatz aus anzumelden.
-
Die
US-A-5,655,077 offenbart ein Verfahren und eine Vorrichtung für den authentifizierten
Zugriff auf heterogene Computer-Dienste von einer Mehrzahl von Nutzer-Arbeitplatzrechnern
aus, bei Minimierung der Anzahl von Nutzer-Interaktionen. Um Zugriff auf dieses
System zu erlangen, bestimmt der Nutzer einen Haupt-Anmelde-Provider,
um eine erste Nutzerschnittstelle zur Verfügung zu stellen. Der Nutzer
gibt Identifikations-Informationen ein und das Computersystem führt eine
Anmeldesequenz aus, die zuerst den identifizierten Haupt-Anmelde-Provider
aufruft. Das System authentifiziert die gesammelten Identifikations-Informationen,
um dem Nutzer Zugriff auf die Netzwerk-Computer-Dienste zu geben. Falls die System-Anmeldeprozedur
nicht erfolgreich ist, zeigt die Anmeldesequenz einen zusätzlichen
Dialog, um weitere Anmelde-Informationen zu sammeln. Die Anmeldesequenz
ruft dann die Anmelderoutinen von anderen Anmelde-Providern auf,
um diese zu befähigen,
bereits gesammelte Identifikations-Informationen zu authentifizieren,
ohne zusätzliche
Nutzer-Schnittstellen
anzuzeigen. Während
dieses System versucht, einen Nutzer mit der geringsten Anzahl von
Nutzerinteraktionen bei einem Netzwerk anzumelden, benötigt es
einen Nutzer, um einen Haupt-Anmelde-Provider zu bestimmen und um dann
zwei Zeichenketten zur Nutzer-Authentifizierung anzugeben, bevor
der Nutzerzugriff auf das Netzwerk gewährt wird.
-
Ein
weiteres Konzept zur Reduzierung der Notwendigkeit von Nutzerinteraktionen
bei der Systemanmeldung ist offenbart in der US-A-5,689,638 die ein
Verfahren und eine Vorrichtung für
den Zugriff auf unabhängige
Netzwerk- Ressourcen
offenbart. Bei der Systemanmeldung werden die Anmeldedaten im Speicher
des Client-Computers abgelegt. Wenn auf einen Server zugegriffen
wird, werden die Server-Authentisierungsdaten in einem Catch gespeichert. System-Anmeldedaten
und Autorisierungsdaten können
später
verwendet werden, um auf eine weitere unabhängige Ressource zuzugreifen,
ohne weitere Nutzer-Interaktionen
zu benötigen.
Jedoch beschäftigt
sich dieses Druckschrift nicht mit dem Problem der Authentifizierung
eines Nutzers durch einen entfernten Arbeitsplatzrechner, dessen
Standard-Server daran scheitert, die für die erste Authentifizierung notwendigen
Nutzerinformationen darin abzulegen. Anders ausgedrückt, wenn
der Standard-Server den eingegebenen Nutzer-Namen und das eingegebene Passwort
nicht erkennt, wird der Zugriff auf das Netzwerk verweigert.
-
Ein
zusätzliches
Problem, mit dem sich Netzwerknutzer, die sich bei einem entfernten
Netzwerkserver anmelden möchten,
konfrontiert sehen, ist die Notwendigkeit, über das Internet kommunizieren
und Verbindungen mit den vielfältigen
Protokollen, die das Internet benutzt (z. B. IPX, TCP/IP, MetBeoi, etc.),
herstellen zu müssen.
In der Vergangenheit konnte ein Nutzer, der über mehrere Grenzen hinweg zu
kommunizieren beabsichtigte, dies aufgrund von Sprach- und Kommunikationsbarrieren
zwischen dem Nutzer und den vielfältigen Netzwerkeinheiten nicht
einfach tun. Der Nutzer mußte
das spezifische Protokoll jeder Datenspeicherungseinheit kennen und
sich daran anpassen, um Informationsanfragen an diese Einheit in
erkennbarer Form zu richten und um einmal empfangene Informationen übersetzen
zu können.
Existierende Geräte
sind dadurch beschränkt,
daß sie
einfach nur die Fähigkeit
zur Nutzung eines einzigen Protokolls für die Kommunikation in einem
Netzwerk zur Verfügung
stellen.
-
In
den letzten Jahren wurden einige Anstrengungen unternommen um ein
standardisiertes Datenbank-Protokoll zu entwickeln, das es Nutzern
erlaubt, über
eine Anzahl von verschiedenen Netzwerk-Protokollen hinweg zu kommunizieren.
Ein solches Standardprotokoll ist der X.500 Standard, der von dem
International Telegraph and Telephone Consultative Comitee (CCITT)
entwickelt wurde. Er bietet ein Standardprotokoll, das die Kommunikationsbarrieren,
die die Anzahl der verschiedenen, im Internet operierender Protokolle
darstellen, reduziert und er gestattet es, von verschiedenen Einheiten
gepflegten lokalen Verzeichnissen, miteinander zu kommunizieren.
CCITT, The Directory-Overview Concepts, Models, and Services, X.500
Series Recommendation, Dokument AP IX-47-E. X.500 gestattet es Nutzern
Informationen wie Telefonnummern, Adressen und andere Details von
Einzelpersonen und Organisationen in einer geeigneten Struktur zu
finden. X.500 Verzeichnisse werden auch durch ihre Fähigkeit
charakterisiert, große
Mengen hochgradig verteilter Informationen effizient handzuhaben.
-
Demzufolge
ist es eine Aufgabe der vorliegenden Erfindung, die Gewährung eines
Nutzer-Zugriffs auf ein heterogenes Netzwerk durch eine Vorrichtung
und ein Verfahren zu vereinfachen, die bzw. das es einem Nutzer
ermöglicht,
sich bei einem Computernetzwerk von irgendeinem einer Mehrzahl von geografisch
verteilter Nutzer-Arbeitsplatzrechnern des Netzwerks anzumelden,
wobei derselbe Nutzer-Name und dasselbe Passwort verwendet wird, die
bzw. das es einem Nutzer insbesondere gestattet, sich von irgendeinem
Arbeitsplatzrechner des Unternehmens aus, durch Benutzung eines
einzigen Nutzer-Namens, Passworts und einer Nutzer-Rolle bei einem
Intranet anzumelden.
-
Die
obige Aufgabe wird gelöst
durch eine Vorrichtung gemäß Anspruch
1 oder durch ein Verfahren gemäß Anspruch
14. Bevorzugte Ausführungsformen
sind Gegenstand der Unteransprüche.
-
Der
Gegenstand der Erfindung vereinfacht die Prozedur zur Anmeldung
an ein Netzwerk durch die Benutzung einer einzigen Anmeldeprozedur
(Single Sign-On)
erheblich. Sobald der Nutzer sich mit einer Anmeldeprozedur bei
einem Netzwerk anmeldet, wie z. B. mit der als AUTOSECURETM Single Sign-On (SSO) bezeichneten Prozedur,
die im Features Guide für
V.5.1, "AUTOSECURE
SSO", mit Copyright
bei Platinum Technology, Inc., 1997, beschrieben wird, bei der ein
Nutzer einen Nutzer-Namen und Passwort eingibt, erledigt das System
den Rest durch Freischaltung von transparentem Zugriff auf alle
autorisierten Anwendungen und Dienste und durch Bereitstellung einer
einfachen, integrierten Sicht auf das Computernetzwerk. Die Single
Sign-On-Fähigkeit funktioniert
unabhängig
davon, ob ein Dienst auf einem lokalen oder auf einem entfernten
Netzwerk-Server angesiedelt ist und sie läßt Nutzer sich von überall aus
anmelden, sogar wenn sie zu entfernten Orten unterwegs sind. Darüber hinaus
ist die vorliegende Erfindung nicht beschränkt auf die Sicherung von nur
einer speziellen (homogenen) Umgebung. Sie operiert über heterogene
Plattformen hinweg, was bedeutet, daß sie zur Steuerung von Systemen
von beliebigen Anbietern oder einer Mischung von Systemen verschiedener
Anbieter verwendet werden kann. Dies macht sie weit besser anwendbar auf
eine Unternehmensumgebung, die eine beliebige Zahl verschiedener
Anbieterplattformen beinhalten kann – sowohl jetzt, als auch in
der Zukunft.
-
Diese
und andere, spezifischere Aspekte und Vorteile des Gegenstands der
Erfindung werden insbesondere anhand eines verteilten Rechnernetzwerk
gezeigt, das eine adaptive Fähigkeit
aufweist, einen Nutzer, von einem von einer Mehrzahl von Arbeitsplatzrechnern
aus an einem von einer Mehrzahl von vorgegebenen Netzwerk-Servern,
mit einer einzigen Anmeldung anzumelden. In einem bevorzugten Ausführungsbeispiel
authentifiziert ein lokaler, zum Anschluß an einen Nutzer-Arbeitsplatzrechner angepaßter Haupt-Sicherheits-Server
die durch einen Nutzer an diesem Arbeitsplatzrechner eingegebenen
Nutzer-Identifikationsinformationen, oder er generiert ein Anmeldung-Gescheitert-Signal
für den Fall,
daß die
vom Nutzer bereitgestellten Authentisierungs-Informationen ungültig für die Gewährung des Zugriffs
auf den lokalen Sicherheits-Server sind. Ein auf dem lokalen Sicherheits-Server
arbeitender Personen-Server empfängt
dann das Anmeldung-Gescheitert-Signal von dem lokalen Sicherheits-Server, bestimmt
eine alternative lokale Sicherheits-Server-ID, in der der vorher
eingegebene Nutzer-Name mit einem gültigen Nutzer korrespondiert
und überträgt die alternative
lokale Sicherheits-Server-ID zurück
zu dem ersten lokalen Sicherheits-Server. Wenn der erste lokale
Sicherheits-Server die alternative lokale Sicherheits-Server-ID
empfängt, überträgt er die Nutzer-Identifikationsinformationen
zu dem alternativen lokalen Sicherheits-Server, und der Nutzer wird auf
dem alternativen lokalen Sicherheits-Server bestätigt und bei dem Computernetzwerk
angemeldet.
-
Ein
anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine
Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen,
die es einem Nutzer gestatten, transparent in einem Netzwerk zu
kommunizieren, das eine Vielzahl von Netzwerk-Kommunikationsprotokollen
umfaßt.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine
Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen,
die bzw. das zunächst
ein Anmeldeanforderung von einem Nutzer-Arbeitsplatzrechner zu einem
lokalen Sicherheits-Server überträgt, der entweder
die Authentifizierungs-Anfrage
gewährt, oder
der einen zweiten lokalen Sicherheits-Server in dem Netzwerk identifiziert,
der die Authentifizierungs-Anfrage möglicherweise gewähren kann.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und darüber hinaus eine
Netzwerk-Zugriffsvorrichtung und ein Verfahren bereitzustellen,
die eine Anmeldeanforderung durch Durchsuchen einer lokalen Authentisierungs-Datenbank
auswerten, die auf einem lokalen Sicherheits-Server angesiedelt
ist, um zu entscheiden, ob ein Nutzerzugriff auf das Netzwerk über den
lokalen Sicherheits-Server gewährt
wird.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und ein Verfahren bereitzustellen, die die in einer lokalen Authentisierungs-Datenbank
gespeicherten Passworte verschlüsseln.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und ein Verfahren bereitzustellen, die auf eine im internen Speicher
eines lokalen Sicherheits-Servers angesiedelte Netzwerk-Datenbank
zugreifen, um einen zweiten lokalen Sicherheits-Server des Netzwerks
zu identifizieren, der eine Authentifizierungs-Anfrage gewähren kann,
für den Fall,
daß dem
Nutzer ein Netzwerkzugriff über
den ersten lokalen Sicherheits-Server verweigert wird.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, eine oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und ein Verfahren bereitzustellen, die Authentifizierungs-Anfragen
von einem ersten lokalen Sicherheits-Server direkt zu einem zweiten
lokalen Si cherheits-Server kommunizieren, für den Fall, daß der erste
lokale Sicherheits-Server nicht
in der Lage ist, einen Netzwerkzugriff zu gewähren.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und ein Verfahren bereitzustellen, die Authentifizierungs-Anfragen
von einem Nutzer-Arbeitsplatzrechner zu wenigstens einem lokalen
Sicherheits-Server
ohne irgendeine Nutzerinteraktion kommunizieren.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die eine Revisionsaufzeichnung aller
gescheiterten Versuche von Zugriffen auf Netzwerk-Ressourcen pflegen.
-
Ein
anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte umzusetzen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die die Anzahl der fehlgeschlagenen
Versuche von Zugriffen auf Netzwerk-Ressourcen überwachen und die Netzwerk-Ressource
in dem Fall abschalten, daß die
Anzahl der fehlgeschlagenen Anmeldeversuche einen Wert der Datenbank übersteigt.
-
Ein
anderer Aspekt der vorliegenden Erfindung ist es, einen oder mehrer
der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die eine redundante lokale Sicherheits-Server-Fähigkeit bereitstellen,
wobei ein oder mehrere Ersatz-Server in dem Fall benutzt werden
kann bzw. können,
daß ein
lokaler Haupt-Sicherheits-Server aus irgendeinem Grund nicht verfügbar ist.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrer
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die es einem Nutzer gestatten, sich
bei dem lokalen Sicherheits-Server mit höchster Priorität anzumelden,
der von irgendeinem Nutzer-Arbeitsplatzrechner des Netzwerks aus
verfügbar
ist, durch einfache Eingabe des Nutzer-Namens und Passworts.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu erreichen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die eine einzige, zentrale X.500 Datenbank
der autorisierten Netzwerknutzer auf jedem lokalen Sicherheits-Server
pflegt.
-
Ein
weiterer Aspekt des Gegenstands der Erfindung ist es, einen oder
mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die ein Abbild der Verbindungsinformationen
für jeden
lokalen Sicherheits-Server pflegen, der im Unternehmen betrieben
wird.
-
Es
ist ein weiterer Aspekt des Gegenstands der Erfindung, einen oder
mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die einen Dienst-Zuordnungs-Datei-Server benutzen,
um jeden verbundenen Arbeitsplatzrechner periodisch mit einem Update
des Abbilds der Verknüpfungsinformationen
für jeden
lokalen Sicherheits-Server zu versorgen, der im Unternehmen betrieben
wird.
-
Ein
weiterer Aspekt des Gegenstands der Erfindung ist es, einen oder
mehrere der oben genannten Gesichtspunkte zu erzielen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die ein aktualisiertes Abbild der Verbindungsinformationen
für jeden
lokalen Sicherheits-Server durch systematisches Pollen der anderen
lokalen Sicherheits-Server im Unternehmen bereitstellen.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, einen oder mehrere
der oben genannten Gesichtspunkte zu verwirklichen und eine Netzwerk-Zugriffsvorrichtung
und Methode bereitzustellen, die es einem am Netzwerk angemeldeten
Nutzer gestatten, eine Auswahl von Netzwerkdiensten zu benutzen,
die auf der Rolle des Nutzers basiert.
-
Ein
weiterer Aspekt der vorliegenden Erfindung ist es, eine Netzwerk-Zugriffsvorrichtung
und ein Verfahren bereitzustellen, die auf jedem lokalen Sicherheits-Server genau eine
X.500 Datenbank pflegen, die die Nutzer, die autorisiert sind, auf
jeden lokalen Sicherheits-Server zuzugreifen und die mit ihnen verbundenen
Passworte umfaßt.
-
Eine
bevorzugte Ausführungsform
und weitere Aspekte, Eigenschaften und Vorteile der vorliegenden
Erfindung werden im folgenden anhand der Zeichnung ausführlich erklärt. Die
Zeichnung zeigt in:
-
1 ein schematisches Blockdiagramm
eines typischen Computer-Fernnetzes,
-
2 ein schematisches Blockdiagramm
eines typischen lokalen Computer-Netzwerks,
-
3 ein Strukturdiagramm der
Aufzeichnung einer lokalen Authentifizierungs-Datenbank,
-
4 ein Strukturdiagramm der
Aufzeichnung einer Dienst-Zuordnungsdatei,
-
5 ein Strukturdiagramm der
Aufzeichnung einer typischen Netzwerk-Datenbank und
-
6a, 6b Flußdiagramme, die den computerisierten
Prozeß der
Netz-Anmeldung eines Nutzers in Übereinstimmung
mit dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung beschreiben.
-
In
der folgenden detaillierten Beschreibung des bevorzugten Ausführungsbeispiels
wird auf die beiliegende Zeichnung verwiesen, die ein spezielles Ausführungsbeispiel
illustriert, in dem die Erfindung ausgeführt werden könnte.
-
Das
Ausführungsbeispiel
ist in ausreichendem Detaillierungsgrad beschrieben, um den Fachmann
zu seiner Umsetzung zu befähigen
und es ist selbstverständlich,
das andere Ausführungsformen verwendet
werden können,
und daß strukturelle Änderungen
vorgenommen werden können,
ohne den Bereich der vorlie genden Erfindung zu verlassen. Die nun
folgende detaillierte Beschreibung ist deshalb nicht in beschränkender
Art und Weise aufzufassen.
-
In
dieser Patentschrift bezeichnet der Begriff "Server" einen Softwareprozeß oder einen Satz von Prozessen,
der bzw. die eine Funktionalität
unterstützt
bzw. unterstützen.
Ein lokaler Sicherheits-Server ist ein Softwareprozeß zur Sicherheits-Zugangskontrolle,
bei dem sich Endanwender authentisieren müssen, bevor sie Zugang zu Anwendungen
und Systemen des Computernetzwerks erhalten können.
-
Gemäß 1 sind Computer-Arbeitsplatzrechner 11 und 21 in
einem Computernetzwerk oder Unternehmen 10 über Kommunikationsverbindungen 15 bzw. 35 zu
lokalen Sicherheits-Servern (LSS) 12 und 22 verbunden.
Während 1 nur einen einzigen, mit
jedem LSS verbundenen Nutzer-Arbeitsplatzrechner zeigt, sollte es
für den
Durchschnittsfachmann offensichtlich sein, daß eine beliebige Anzahl von
Arbeitsplatzrechnern mit jedem LSS verbunden sein könnte. Jeder
lokale Sicherheits-Server (12 und 22) ist konfiguriert,
um Mehrbenutzer-Zugang zu dem Server, allein durch Nutzer-Authentisierung
an dem Server, zu gestatten. Ist einem Nutzer einmal der Zugang
zu dem Netzwerk über
einen LSS (12 und 22) gestattet, arbeitet der
LSS als ein Gateway, um dem Nutzer Zugang zu allen Netzwerkdiensten zu
gestatten, auf die der Server autorisiert ist, zuzugreifen. Ein
LSS kann in Abhängigkeit
von dem Kontext als Standard-, Haupt und/oder Ersatz-LSS ausgelegt
werden. Genauer gesagt, ist ein Standard-LSS ein in der Client-Software
von dem System-Administrator vorgesehener LSS, der als maßgeblicher
Server eines bestimmten Arbeitsplatzrechners arbeitet, so daß, wenn
irgend jemand unter Benutzung des Nutzer-Arbeitsplatzrechners versucht auf
das Netzwerk zuzugreifen, das System die Anfrage automatisch zu
dem Standard-LSS
des Arbeitsplatzrechners leitet. Auf der anderen Seite ist ein Haupt-Server
ein LSS, der von dem System Administrator vorgesehen wird, um als
der Server zu arbeiten, bei dem ein bestimmter Nutzer immer angemeldet
wird, wenn der Nutzer versucht, auf das Netzwerk zuzugreifen. Entsprechend
ist ein Ersatz-Server
ein LSS mit denselben Nutzerinformationen eines Haupt-Servers. Ein
Ersatz-Server kann genutzt werden, wenn der Haupt-Server eines Nutzers
aus irgendeinem Grund nicht verfügbar
ist. Jeder Haupt-Server kann ein oder mehrere Ersatz-Server haben.
Für einen
Durchschnittsfachmann sollte es offensichtlich sein, daß ein LSS
vielfachen Zwecken auf mehreren Arbeitsplatzrechner dienen kann.
Mit erneutem Verweis auf 1 kann
LSS 12 als ein Standard-LSS für Nutzer-Arbeitsplatzrechner 11 und als
Ersatz-Server für
Nutzer-Arbeitsplatzrechner 21 arbeiten, wie auch als ein
Haupt-LSS für
einen bestimmten Nutzer. Im wesentlichen kann also ein LSS der Standard-LSS
für einige
Nutzer-Arbeitsplatzrechner,
der Ersatz-LSS für
andere Arbeitsplatzrechner, wie auch der Haupt-LSS für einige
Nutzer sein.
-
Ein
Client-Softwareprozeß 40 (wie
in 2 gezeigt) arbeitet
auf jedem Computer-Arbeitsplatzrechner 11 und 21.
Wenn ein Nutzer an einem Arbeitsplatzrechner Zugang zu dem Computer-Netzwerk
haben möchte,
gibt der auf dem Nutzer-Arbeitsplatzrechner
arbeitende Client die Netzwerk-Zugangsanfrage zur Authentifizierung
zu einem Standard-LSS weiter. Der logische Ort und die Identität des Standard-LSS
eines Arbeitsplatzrechners ist ein in dem Client des Arbeitsplatzrechners
gespeicherter Datenwert. Der Standard-LSS könnte der zu dem Arbeitsplatzrechner
nächstgelegene
Server sein oder es könnte
ein anderer LSS sein, der anderswo im Netz arbeitet. LSS 12 oder
LSS 22 in 1 könnte der
Standard-Server von Arbeitsplatzrechner 11 sein. LSS 22 oder
LSS 12 könnte
auch der Standard-Server von Arbeitsplatzrechner 21 sein.
Es ist wichtig festzuhalten, daß der
einem Arbeitsplatzrechner zugewiesene Standard-LSS einfach von einem
Systemadministrator geändert
werden kann.
-
Um
dem Netzwerk einen neuen Nutzer hinzuzufügen, erstellt der Systemadministrator
einen neuen Datensatz der lokalen Authentisierungs-Datenbank (3) und kopiert den Datensatz
in den internen Speicher des LSS, der der neue Haupt-LSS des Nutzers werden
soll. In dem bevorzugten Ausführungsbeispiel
leitet der Haupt-LSS, wenn ein neuer Datensatz in die lokale Authentisierungs-Datenbank
des Haupt-LSS kopiert ist, automatisch eine Kopie des neuen Nutzer-Datensatzes
zu allen Ersatz-Servern des Haupt-LSS, wie es in der Dienst-Zuordnungs-Datei
spezifiziert ist (was später behandelt
wird), was in einem neuen Nutzer resultiert, der automatisch als
ein gültiger
Nutzer im Speicher des Ersatz-Servers abgelegt wird. Zur Erhöhung der
Sicherheit kann die gesamte Datei oder wenigstens der Nutzer-Name
und das Nutzer-Passwort vor der Übertragung
zu dem Ersatz-Server
verschlüsselt und
nach Empfang wieder entschlüsselt
werden.
-
Auf
jedem Arbeitsplatzrechner wird außerdem eine Dienst-Zuordnungs-Datei
gespeichert. Wie in 4 gezeigt,
enthält
die Dienst-Zuordnungs-Datei 41 eine Liste aller Netzwerk-LSS
mit dem Namen und logischem Ort ihrer zugehörigen Ersatz-Server. Der Ersatz-Server
ist ein weiterer LSS im Netzwerk mit denselben Nutzer-Informationen
in seiner lokalen Authentisierungs-Datenbank wie die der Standard-LSS.
Versucht ein Client auf einen LSS zuzugreifen, wenn der LSS nicht
verfügbar
ist, wird sein Ersatz-Server aufgerufen, um die Anmeldeanfrage zu
bearbeiten. Ein Ersatz-Server ist mit einem bestimmten LSS durch
einen Netzwerk-Datenbankeintrag verknüpft. Ein Beispiel für einen
Datensatztyp, der abgespeichert werden könnte, ist in 5 beschrieben. Dieser Netzwerk-Datenbankeintrag
könnte
in das System durch einen Systemadministrator eingegeben werden.
Jeder Datensatz der Netzwerk-Datenbank 43 besteht aus einem
LSS mit dessen logischem Ort und den Namen und logischen Orten der
verknüpften
Ersatz-Server zusammen mit den Namen der zur Anmeldung an dem LSS
autorisierten Nutzer. In dem bevorzugten Ausführungsbeispiel könnte die
Netzwerk-Datenbank
in dem Format X.500 oder einer anderen geeigneten Datenbank auf Plattenspeichern
des LSS angesiedelt sein.
-
Jeder
LSS könnte
darüber
hinaus mit dem Internet oder ähnlichen
Computernetzwerken über Kommunikationsverbindungen 20 bzw. 40 verbunden sein.
Wie in 2 gezeigt wird,
hat jeder LSS Zugriff auf eine lokale Authentisierungs-Datenbank 42 und eine
Netzwerk-Datenbank 43. Diese Datenbanken könnten entweder
auf internen oder externen Plattenspeicher oder anderen geeigneten
Speichersystemen abgelegt werden. Ein typischer Datenbank-Datensatz
für die
lokale Authentisierungs-Datenbank 42 ist in 3 dargestellt. Wie 3 zeigt, besteht ein Datensatz
zumindest aus einem Nutzer-Namen, einem Passwort und einer Nutzer-Rolle.
Ein Nutzer kann mehrere lokale Authentisierungs-Datenbankeinträge haben,
wobei jeder zu einer unterschiedlichen Rolle des Nutzers korrespondiert.
Rollenbeispiele können
sein "Direktor", "Manager", "Angestellter" etc., wobei die
Rollen nicht auf diese Beispiele beschränkt sind. Rollen können unter
anderem bezogen sein auf besondere Abteilungen oder Positionen in
einer Organisation. Die Nutzer-Rolle bestimmt, auf welchen Dienst
des Netzwerks der Nutzer zugreifen kann. Ein Netzwerk-Dienst kann
ein Anwendungsprogramm sein, das ordnungsgemäß auf den internen Plattenspeicher
eines Servers installiert wurde. Die auf jedem lokalen Sicherheits-Server
verfügbaren
und ausführbaren
Dienste werden von dem Systemadministrator festgelegt und auf den
Plattenspeicher des Servers installiert, wenn die lokale Sicherheit
zu den Netzwerken zugefügt
ist. Netzwerk-Dienste können
jederzeit durch den Systemadministrator einfach hinzugefügt, gelöscht oder
modifiziert werden. Während
diese Patentschrift die Erfindung bezüglich einer begrenzten Anzahl
von Netzwerk-Diensten beschreibt, ist es für den Durchschnittsfachmann
offensichtlich, daß die
Anzahl der Netzwerk-Dienste tatsächlich
unbegrenzt ist. In dem bevorzugten Ausführungsbeispiel ist die lokale
Authentisierungs-Datenbank 42 auf dem Plattenspeicher des
LSS im Format einer X.500-Datenbank oder einer anderen geeigneten
Datenbank abgelegt. Wie dem Durchschnittsfachmann bekannt ist, kann
die X.500-Datenbank auch auf einem externen Speicherplatz abgelegt
sein.
-
Wie
in 2 zu sehen ist, umfaßt ein LSS
einen Personen-Server 31 und einen Dienst-Zuordnung-Datei-Server
(SMF-Server; service mapping file, SMF). Der Personen-Server 31 ist
ein auf dem LSS arbeitender Softwareprozeß, der alle Anfragen zur Netzwerkanmeldung
von einem Client 40 empfängt, die Anfragen bearbeitet
und das Ergebnis der Anmeldungsanfrage zu dem Client 40 zurückschickt. Der
Personen-Server 31 benutzt die vom Client empfangene Nutzer-Name/Passwort-Kombination,
um per Index auf die lokale Authentisierungs-Datenbank 42 zuzugreifen, die
auf dem Plattenspeicher des Servers abgelegt ist. Wenn der/das korrespondierende Nutzer-Name/Passwort
in der lokalen Authentisierungs-Datenbank 42 gespeichert
ist, wird der Nutzer mit dem lokalen Server verbunden. Wenn die
Nutzer-Name/Passwort-Kombination in der lokalen Authentisierungs-Datenbank
nicht gefunden wird, dann durchsucht der Personen-Server 31 die
Netzwerk-Datenbank 43 (Verzeichnis) um festzustellen, ob
der Nutzer-Name im Unternehmen existiert. Wird der Nutzer-Name in
der Netzwerk-Datenbank gefunden, wird die Nutzer-Authentifizierungs-Anfrage
zu dem identifizierten LSS für
die Bearbeitung der Anfrage weitergeleitet. Wenn andererseits der
Nutzer-Name nicht in der Netzwerk-Datenbank gefunden wird, wird
das System die Nutzeranfrage ablehnen oder es wird den Nutzer auffordern,
weitere Informationen zur Verfügung
zu stellen, um die Authentifizierungs-Anfrage zu bearbeiten.
-
Der
SMF-Server speichert die Dienst-Zuordnungs-Datei 41 auf
jedem LSS. Wie zuvor erwähnt, enthält die Dienst-Zuordnungs-Datei 41 operative Einzelheiten
aller Server des Unternehmens. Der SMF-Server 32 pflegt
eine aktuelle "Karte" des Unternehmens
durch periodisches Pollen der Netzwerk-Datenbank. Alle LSS sind
in der Netzwerk-Datenbank unter ihrem Servernamen und ihren Verbindungsinformationen
(d. h. Comms-Adresse) definiert. Sie wird erzeugt durch Informationen
der Netzwerk-Datenbank 43 und sie wird regelmäßig aktualisiert
und durch den Personen-Server 31 zu allen Arbeitsplatzrechnern
weitergereicht. Während
das bevorzugte Ausführungsbeispiel
ein Netzwerk vorsieht, in dem der Personen-Server 31 und
der SMF-Server 32 auf derselben Plattform ansässig sind,
ist es auch möglich,
daß der
Personen-Server und der SMF-Server auf verschiedenen Plattformen
betrieben werden.
-
Wie
in 1 zu sehen ist, können mehrere lokale
Computernetzwerke an das Internet gekoppelt sein, um ein Netzwerk
von geografisch getrennten und kleineren Computernetzwerken zu bilden,
die aus einer großen
Vielfalt von Computern und Peripheriegeräten bestehen. Der Prozeß der Gewährung eines
Zugangs zu dem Computernetzwerk für einen Nutzer, wie in 6 dargestellt, beginnt mit
dem Versuch des Nutzers, sich von einem Nutzer-Arbeitsplatzrechner 11 aus
bei dem Computernetzwerk anzumelden. Der auf dem Arbeitsplatzrechner
betriebene Client 40 zeigt dem Nutzer eine Anmeldeaufforderung
(Schritt 600). In Schritt 610 startet der Nutzer den
Versuch, durch Eingabe des Nutzer-Namens und des Passworts, Zugang
zu dem lokalen Rechner 11 zu erlangen. Der Nutzer-Name ist eine vorbestimmte
alphanumerische Zeichenkette, die den Nutzer eindeutig kennzeichnet. Üblicherweise
wird sie dem Nutzer durch den Systemadministrator zugewiesen, der
dafür Sorge
tragen muß,
daß die
Namen innerhalb des Unternehmens eindeutig sind. Der auf dem lokalen
Rechner betriebene Client 40 erfaßt die Nutzereingabe und überträgt dann
in Schritt 620 die durch den Nutzer bereitgestellten Informationen
und die Versionsnummer (4)
der Dienst-Zuordnungs-Datei 41 zu
dem Standard-LSS des Arbeitsplatzrechners über Kommunikationsverbindungen 15 oder 35 (abhängig von
dem besonderen Arbeitsplatzrechner). Die Versionsnummer ist im wesentlichen ein
Zeitstempel, der anzeigt, wann die Dienst-Zuordnungs-Datei erzeugt
wurde. Jedesmal, wenn der Client 40 versucht, sich an dem
LSS anzumelden, vergleicht der LSS die Versionsnummer der Dienst-Zuordnungs-Datei
des Clients mit der Versionsnummer, die bei dem SMF-Server 32 hinterlegt
ist. Wenn die Kopie des Clients veraltet ist, schickt der LSS die jüngste Kopie
zu dem Client 40 zurück.
Auf diese Art und Weise verfügt
der Client 40 immer über
die neuesten Verbindungsinformationen für alle LSS des Netzwerks. Für den Fall,
daß der
Standard-LSS des Clients nicht verfügbar ist, was es für den Client 40 erforderlich
macht, auf einen Ersatz-LSS zuzugreifen, würde der Client die Verbindungsinformationen für einen
Ersatz-Server in dem Netzwerk erhalten, durch Zugriff auf seine
Kopie der Dienst-Zuordnung-Datei 41, die in dem Plattenspeicher
eines jeden Arbeitsplatzrechners abgelegt ist (Schritt 640). Wenn
ein Ersatz-Server identifiziert ist (Schritt 650), kehrt
der Prozeß zu
Schritt 620 zurück,
indem der Client 40 die Nutzerinformationen zu dem identifizierten Server überträgt. Wenn
ein Ersatz-Server
nicht identifiziert ist, zeigt der Client 40 eine Anmeldung-Gescheitert-Nachricht (Schritt 660)
auf dem Bildschirm des Arbeitsplatzrechners an und beendet den Prozeß.
-
Wenn
in Schritt 630 festgestellt wird, daß der Standard-Server verfügbar ist,
durchsucht der auf dem LSS arbeitende Personen-Server 31 die
lokale Authentisierungs-Datenbank (Schritt 670) und versucht
in Schritt 680 einen einzelnen Nutzer-Namen zu identifizieren,
der mit dem eingegebenen Nutzer-Namen und Passwort korrespondiert.
Wenn ein übereinstimmender
Nutzer-Name und übereinstimmendes
Passwort gefunden wird, wird der Nutzer in Schritt 690 bei
dem Netzwerk angemeldet. Wenn dem Nutzer Zugriff zu dem Netzwerk
gewährt
ist, ermittelt die Client Software die Rolle des Nutzers, die mit
der zuvor zur Verfügung
gestellten Nutzer-Namen- und Nutzer-Passwort-Kombination verknüpft ist,
um die ergänzenden
Netzwerkdienste zu bestimmen, auf die der Nutzer befugt sein wird,
zuzugreifen. Beispielsweise wird ein Nutzer, der als Manager in dem
Netzwerk angemeldet ist, die Erlaubnis haben, auf die auf dem Netzwerk
verfügbaren
Dienste zuzugreifen, die Manager autorisiert sind, zu nutzen. Wenn
ein Nutzer bei dem Netzwerk als Angestellter angemeldet ist, wird
er die Erlaubnis haben, auf die Dienste zuzugreifen, die normalerweise
für alle
Angestellten verfügbar
sind. Es ist vorgesehen, daß die für Manager
verfügbaren
Dienste sehr wahrscheinlich verschieden von den Diensten sind, die
für alle Angestellten
verfügbar
sind.
-
Wenn
ein übereinstimmender
Nutzer-Name und übereinstimmendes
Passwort nicht gefunden wird, durchsucht der Personen-Server 31 die
Netzwerk-Datenbank 43 (Schritt 690) um herauszufinden, ob
der Nutzer-Name im Unternehmen bekannt ist. Wenn kein Eintrag gefunden
wird, oder wenn mehr als ein übereinstimmender
Eintrag gefunden wird, schickt der Personenserver 31 in
Schritt 710 eine Anmeldung-Gescheitert-Nachricht zu dem
Client 40 (Schritt 720) zurück. Bei Empfang dieser Nachricht zeigt
Client 40 in Schritt 730 die Nachricht auf der
Anzeige des Arbeitsplatzrechners an, und der Prozeß wird beendet.
Während
diese Patentschrift die Erfindung so beschreibt, als wenn mehrfache übereinstimmende
Einträge
von der Netzwerk-Datenbank 43 zu einer Anmeldung-Gescheitert-Antwort
führen
würde,
sollte es für
den Durchschnittsfachmann offensichtlich sein, daß eine Reihe
anderer Optionen angewendet werden könnten, ohne den Bereich und
Inhalt dieser Erfindung zu verlassen. Beispielsweise könnte das
System dem Nutzer eine Gelegenheit bieten, um seinen LSS-Namen manuell
einzugeben, oder das System könnte
dem Nutzer Gelegenheit geben, eine Kombination von Nutzer-Name und
LSS aus einem Drop-Down-Menü mit
abgerufenen Nutzer-Namen auszuwählen.
Wenn der Nutzer schließlich
den richtigen LSS-Namen bereitgestellt oder die richtige Kombination
aus Nutzer-Name und LSS identifiziert hat, schickt der Personen-Server 31 den LSS-Namen
zu dem Client 40 zurück,
und die Bearbeitung wird in Schritt 750 fortgesetzt. Obwohl
diese Patentschrift die Erfindung dahingehend beschreibt, daß der Personen-Server
eine lokale Sicherheits-ID zurück
zu einem Nutzer-Arbeitsplatzrechner überträgt, bevor der Nutzer-Arbeitsplatzrechner
auf den zweiten lokalen Sicherheit-Server zugreift, sollte es offensichtlich
für einen
Durchschnittsfachmann sein, daß der
Personen-Server eine Netzwerkverbindung aufbauen und deshalb einen
Nutzer bei dem Netzwerk anmelden kann, ohne Anmeldefunktionen zu dem
Nutzer-Arbeitsplatzrechner zurückzusenden.
-
Wenn
ein einzelner übereinstimmender
Eintrag in Schritt 740 gefunden wird, überträgt der Personen-Server 31 in
Schritt 750 den Namen des Haupt-LSS des Nutzers zurück zu dem
Client 40. Sobald der Client den neuen LSS-Namen empfängt, kehrt
der Prozeß zurück zu Schritt 620,
in dem der Client 40 den logischen Ort des neuen LSS von
seiner Dienst-Zuordnungs-Datei 41 abruft und übermittelt
die Nutzerinformationen zu dem identifizierten Server. Wenn keine übereinstimmende
Einträge
gefunden werden, antwortet der Personen-Server 31 (Schritt 760)
dem Client 40 mit einer Anmeldung-Gescheitert-Nachricht.
Mit Empfang dieser Nachricht zeigt der Client 40 (Schritt 770)
diese auf der Anzeige des Arbeitsplatzrechners an und beendet den
Prozeß.
Als Sicherheitsvorkehrung könnte
der Personen-Server 31 alle fehlgeschlagene Versuche, auf
einen lokalen Server zuzugreifen in einer Revisionsaufzeichnung
protokollieren, die von dem Systemadministrator periodisch begutachtet
wird, als ein Weg, um Sicherheitslöcher aufzudecken. Auch der
lokale Sicherheits-Server könnte
die Anzahl der fehlgeschlagenen Versuche aufzeichnen, und er könnte das
Datenendgerät
abschalten, nachdem die Datenbank-Anzahl der fehlgeschlagenen Versuche überschritten
ist.
-
Obwohl
diese Patentschrift viele Details und Genauigkeiten enthält, sind
diese ausschließlich
zum Zweck der Illustration gedacht und sie beabsichtigen nicht,
die Erfindung zu beschränken.
Viele Modifikationen der oben beschriebenen Beispiele werden für den Durchschnittsfachmann
offensichtlich sein, die jedoch nicht außerhalb des Bereichs der Erfindung liegen,
wie er durch die folgenden Ansprüche
und ihre rechtmäßigen Äquivalente
definiert ist.
-
Die
Methode und Vorrichtung der vorliegenden Erfindung zur Ermöglichung
einer automatisierten Server-Bestimmung bei fremden Systemanmeldungen
könnte
zur Automatisierung des autorisierten Nutzerzugriffs auf ein geografisch
verteiltes Netzwerk von irgendeiner von einer Mehrzahl von Arbeitsplatzrechnern
aus genutzt werden. Darüber
hinaus könnte das
Verfahren und die Vorrichtung dort, wo es erwünscht ist, dazu genutzt werden,
einem Nutzer die Fähigkeit
bereitzustellen, sich bei einem Netzwerk von irgendeinem Arbeitsplatzrechner
des Netzwerks aus, durch Benutzung eines einzigen Passworts, anzumelden.
Darüber
hinaus könnte
das Verfahren und die Vorrichtung zur Ermöglichung einer automatisierten
Server-Bestimmung bei fremden Systemanmeldungen der vorliegenden
Erfindung dort, wo es wünschenswert
ist, dazu verwendet werden, einem Netzwerk die Fähigkeit zur Verfügung zu
stellen, den Heim-Server eines Nutzers automatisch zu identifizieren
und den Nutzer, als Antwort auf die Nutzereingabe eines einzigen
Nutzer-Namens und Nutzer-Passworts, bei dem System anzumelden.
-
Ein
Verfahren und eine Vorrichtung wird vorgestellt, zur Bereitstellung
einer automatischen Nutzer-Zugriffs-Authentifizierung eines beliebigen
Nutzers, der zu einer Menge von autorisierten Nutzern eines Computer-Unternehmens
gehört,
von irgendeinem einer Mehrzahl von geografisch verstreuten Nutzer-Arbeitsplätzen aus,
auf einen von einer Mehrzahl vorbestimmter lokaler Sicherheits-Server, durch Verwendung
einer einzigen Anmeldung. Ein Personen-Server, der auf einem lokalen
Sicherheits-Server angesiedelt ist, vergleicht die durch den Nutzer
bereitgestellten Identifikations-Informationen mit Eintragungen,
die in der lokalen Authentisierungs-Datenbank enthalten sind. Wenn
der Personen-Server
eine passende Eintragung findet, wird dem Nutzer Zugang zu dem lokalen
Sicherheits-Server gewährt. Wenn
der Personen-Server keine passende Eintragung findet, ist die durch
den Nutzer bereitgestellte Authentisierungs-Information nicht zulässig für die Gewährung eines
Zugangs zu dem lokalen Sicherheits-Server, und der Personen-Server sucht
anschließend
eine Netzwerk-Datenbank, um bestimmen zu können, ob der eingegebene Nutzer-Name im
Unternehmen bekannt ist. Wenn der Personen-Server einen einzigen
Nutzer-Namen findet, der zu dem zuvor eingegebenen Nutzer-Namen
paßt, sendet
er den Namen jenes lokalen, mit dem Computer-Unternehmen verknüpften Sicherheits-Servers zurück, dessen
lokale Authentisierungs-Datenbank die zur Gewährung der ordnungsgemäßen Authentisierung
des Nutzers notwendigen Informationen haben könnte. Bei Empfang des Namens
des neu identifizierten Servers ruft der Client automatisch den
logischen Ort des Servers aus einer Dienst-Zuordnungs-Datei ab und
leitet die Authentisierungs-Anfrage weiter an den neuen lokalen
Sicherheits-Server. Falls
der Personen-Server mehr als einen Nutzer unter dem eingegebenen
Nutzer-Namen findet, oder wenn der Personen-Server scheitert, irgendeinen Nutzer-Namen
zu finden, der zu dem zuvor eingegebenen Nutzer-Namen paßt, dann
sendet er eine Anmeldungsanfrage-Gescheitert-Nachricht zum dem Client.
Das System hat die Fähigkeit,
durch die Benutzung eines Standard-Verzeichnis-Protokolls, wie z. B. dem X.500-Standard, über eine
Anzahl von Netzwerk-Protokollen
hinweg zu arbeiten.