16. Eindgebruikersauthenticatie in Brocade desktops

Auteur Richard Philips
Aanmaak 12 jul 2006
Oud BVV nr 2030

16.1. Abstract

Eindgebruikers maken gebruik van de elektronische bibliotheekdiensten via de Brocade desktops. Verschillende van deze diensten vereisen authenticatie/identificatie. Dit rapport vat de verschillende technieken samen.

16.2. Terminologie

Identificatie
In Brocade worden gegevens in verband met eindgebruikers bijgehouden in zogenaamde eindgebruikerssystemen. Het “identificatie” proces bestaat er in om via een (userid, wachtwoord) combinatie de gebruiker te identificeren met een record in het betreffende eindgebruikerssysteem. Zo een record wordt aangeduid met een e-loi (loi: library object identifier). Dit is een karakterrij die bestaat uit 3 velden: de letter “e”, een identificatie van het eindgebruikerssysteem en een volgnummer. Zo stelt “e:UA:9701” de eindgebruiker “Richard Philips” voor.
Authenticatie
Authenticatie is het proces waarmee een persoon bewijst te zijn dat hij wel degelijk die specifieke bibliotheekgebruiker is. In Brocade is dit steeds gebaseerd op basis van een (userid, wachtwoord) combinatie.

16.3. Hoe wordt een gebruiker geïdentificeerd?

Identificatie gebeurt steeds binnen de context van een desktop en een eindgebruikerssysteem. In de meta-informatie van de desktop wordt aangegeven tegenover welk eindgebruikerssysteem er moet worden geïdentificeerd en geauthenticeerd.

Het identificatieproces doorloopt 4 stappen. Het proces kan vroegtijdig worden afgebroken. Dit gebeurt enkel indien de gebruiker reeds positief geïdentificeerd is.

De volgende 4 stappen worden in volgorde afgewerkt.

  • Identificatie op basis van gegevens bij de e-loi

    Bij een E-loi kunnen een userid en een wachtwoord worden opgeslagen. Dit wachtwoord is zichtbaar voor het bibliotheekpersoneel.

    De software identificeert op basis van het userid de e-lois die hieraan voldoen. Van zodra het wachtwoord overeenkomt, stopt de procedure en de gebruiker wordt geïdentificeerd met de betreffende e-loi.

  • Identificatie op basis van een algoritme

    Brocade kijkt of er in de meta informatie bij het betreffende eindgebruikerssysteem een identificatie algoritme is ingevuld Voorbeeld: het algoritme d %Birth^blnsauth wordt in openbare bibliotheken gebruikt om lezers te identificeren op basis van de combinatie streepjescode/geboortedatum. Brocade gebruikt dan dit algoritme om een match (lees: E-loi) te vinden. Is er een match, dan stopt de procedure.

    Dit algoritme is gekend bij allen die toegang hebben tot de meta informatie van eindgebruikerssystemen.

  • De “blinde” wachtwoorden

    Deze stap is nauw verwant met de volgende. Succesvolle (userid, wachtwoord) combinaties kunnen worden opgeslagen. Bij een volgende authenticatie worden deze gegevens dan herbruikt.

    Het voordeel van deze procedure is tweeërlei:

    • Authenticatie gebeurt op de snelst mogelijk manier
    • Authenticatie gebeurt grotendeels onafhankelijk van externe systemen

    De organisatie omtrent het verzamelen van blinde wachtwoorden is gebaseerd op meta-informatie ter hoogte van het eindgebruikerssysteem. Twee parameters zijn van belang:

    • Mogen blinde wachtwoorden worden verzameld ?
    • Hoe lang mogen deze wachtwoorden blijven bestaan (een waarde van “”: deze wachtwoorden blijven altijd bestaan; “0”: deze gegevens worden dagelijks opgeruimd; “getal”: deze wachtwoorden blijven zoveel dagen geldig.

    Blinde wachtwoorden zijn onzichtbaar voor het bibliotheekpersoneel.

    • Identificatie met behulp van externe systemen

    Bij de eindgebruikerssystemen kan een gesorteerde verzameling externe authenticatie systemen worden gespecificeerd. Deze identificatiesystemen komen elk met hun eigen meta informatie. LDAP-servers zijn goede voorbeelden maar dit hoeft zeker niet worden beperkt tot deze technologie.

    Belangrijk is wel dat deze identificatie systemen een dubbele taak weten te vervullen:

    • Authenticatie
    • Identificatie: er moet een data element gevonden worden waarmee de E-loi kan worden gevonden binnen het eindgebruikerssysteem.

    Een belangrijke opmerking is wel dat deze wachtwoorden moeten worden meegestuurd met de Web applicatie.

    Vanaf release 3.00 laat Brocade geëncrypteerde sessies toe, zodat deze wachtwoorden onzichtbaar zijn voor kwaadwillige gebruikers.

16.4. Nieuw in release 3.00: Authenticatie tegenover externe LDAP-server

Vanaf release 3.00 is het mogelijk om de desktop te laten authenticeren tegenover een LDAP-server. Hiervoor dient het volgende te gebeuren

Meta-informatie eindgebruikerssystemen
In de meta-informatie van een eindgebruikerssysteem is het voortaan mogelijk om een cascade aan externe identificatiesystemen (LDAP-servers) op te nemen en dit ter hoogte van de optie Identificatiesystemen. Vul je hier niets in, dan worden enkel de interne identificatiesystemen aangesproken (userid/wachtwoord of streepjescode/geboortedatum). Geef in het andere geval de code van het(de) identificatiesysteem/systemen toe, gescheiden door ;
Meta-informatie identificatiesystemen

Geef voor elk extern identificatiesysteem (LDAP-server) de volgende gegevens:

  • Commando dat de identificatie uitvoert: ldapsearch -LLL -x -H LDAP://ldapcde.ua.ac.be:389 -D @ad.ua.ac.be -b DC=ad,DC=ua,DC=ac,DC=be -w SAMAccountName=
  • ‘Match’ specificatie: employeeID:\s*([a-zA-Z0-9.]+)
  • ‘Template’ specificatie: \g<1>

Met behulp van dit formulier kan je ook meteen de connectie met de externe LDAP-server testen. Geef een test userid en een test wachtwoord in en klik op de knop Test. Brocade maakt vervolgens een connectie met de LDAP-server en keert terug met een match-key zoals gespecificeerd in de optie ‘Match’ specificatie

16.5. Authenticatie via LDAP: implicaties voor leensysteem

Wanneer de desktop tegenover een externe LDAP server authenticeert (de gebruiker geeft dus een userid en een wachtwoord op en Brocade geeft dat door aan de LDAP-server) dan keert de LDAP server terug met informatie over de gebruiker. Welke informatie dat precies is, is afhankelijk van de meta-informatie bij het identificatiesysteem (cfr. hierboven). In alle geval keert de LDAP server terug met een unieke identifier waarmee de persoon in kwestie kan worden geïdentificeerd (bv. personeelsnummer, studentennummer). Deze unieke identifier wordt vervolgens door Brocade opgepikt: Brocade tracht dan op basis van de identifier de e-loi op te halen. Om dit mogelijk te maken moet in de e-loi ook de unieke identifier (personeelsnummer, studentennummer) worden opgeslagen. Dit kan manueel gebeuren, maar in de meeste gevallen zal hiervoor een procedure van automatische updating van lenersgegevens vanuit personeels- of studentenbestand worden opgezet. Zie daarover meer in Opladen van bestand met eindgebruikers.