|
Verschlüsselung |
Verschlüsselung |
Erstmalige Einstellung der Authentifizierungsmethode |
|
Die AE stellt verschiedene Mechanismen bereit, die Ihr Automation Engine System sicher vor unbefugtem Zugriff schützen.
Sie lassen sich in zwei Kategorien einteilen:
Ersteres ist detailliert im Administratorhandbuch beschrieben. Dieses Dokument enthält nähere Informationen zur Verschlüsselung.
Ein Automation Engine System besteht aus verschiedenen Komponenten, die auf vielen Rechnern verteilt sind und miteinander kommunizieren. Die Automation Engine schickt beispielsweise die JCL zum Agenten, der diese am Rechner ausführt und das Ergebnis zurückmeldet. Die Kommunikation zwischen den Komponenten kann verschlüsselt werden. Angreifer können somit die übertragenen Daten nicht auslesen oder verändern. Zusätzlich haben Sie die Möglichkeit, eine Authentifizierungsmethode zu nutzen, damit es einem Angreifer nicht gelingt, sich als Komponente auszugeben.
Bei all der Sicherheit, die eine Verschlüsselung der Daten bietet, müssen Sie dennoch zusätzliche Schutzmechanismen wie z.B. Zugriffsrechte auf sensible Dateien und physikalischen Zugangsschutz zu den Servern einsetzen, um höchstmögliche Sicherheit zu erhalten.
Die Verbindung zur Datenbank wird durch den Datenbank-Mandanten des Datenbank-Herstellers abgesichert.
Passwörter werden in der Datenbank verschlüsselt abgelegt.
Sie haben die Möglichkeit, auszuwählen, ob die Kommunikation zwischen den Komponenten verschlüsselt ablaufen soll. Wenn Sie sich für eine Verschlüsselung entscheiden, können Sie die Stärke bestimmen. AES-128, AES-192 und AES-256 stehen zur Auswahl.
Die Performance des Automation Engine Systems wird auch bei der höchsten Verschlüsselungsstärke nicht negativ beeinträchtigt.
Die Verschlüsselung geht Hand in Hand mit der Authentifizierung. Bei Benutzersessions dienen die Anmeldedaten zur Authentifizierung. Die Agenten hingegen bestätigen ihre Identität auf eine andere Weise.
Der Company Key spielt bei der Authentifizierung eine große Rolle. Er wird je nach Methode entweder aus dem Namen des Automation Engine Systems abgeleitet oder aus einer von Ihnen gewählten Zeichenfolge.
Sie können zwischen den folgenden drei Authentifizierungsmethoden wählen:
|
Authentifizierungsmethode |
Beschreibung |
|---|---|
| Keine | Die Agenten können sich nach dem erstmaligen Start am Automation Engine System anmelden und sind sofort einsatzbereit. Der Company Key, eine Bezeichnung, die jedes Automation Engine System aufweist, wird in diesem Fall automatisch aus dem Namen des Automation Engine Systems abgeleitet. Er verhindert, dass sich ein Agent nach der erstmaligen Anmeldung bei einem Automation Engine System anmelden kann, das einen anderen Company Key aufweist. |
| Server | Den Company Key legen Sie bei der Installation der Automation Engine fest. Anschließend müssen Sie ihn in eine Datei exportieren und bei der Installation der Agenten verwenden. Die Agenten können sich zwar nach dem erstmaligen Start am Automation Engine System anmelden, sind aber nicht automatisch einsatzbereit. Der Administrator muss die Agenten in der Systemübersicht des Mandanten 0000 freischalten. Das Authentifizierungspaket wird dadurch von der Automation Engine automatisch über die Leitung zum Agenten transferiert. Danach ist der Agent authentifiziert und einsatzbereit. |
| Server und Agent |
Den Company Key legen Sie bei der Installation der Automation Engine fest. Es sind einige Vorbereitungen notwendig, damit sich die Agenten am Automation Engine System anmelden können. Sie müssen für jeden Agenten im Systemmandanten 0000 ein Agenten-Objekt anlegen. Anschließend müssen Sie ein sogenanntes Authentifizierungspaket exportieren und auf dem Rechner des Agenten bei der Installation ablegen. Danach ist der Agent einsatzbereit. Um eine absolut sichere Installation zu gewährleisten, sollten Sie das Authentifizierungspaket entweder manuell oder über eine gesicherte Leitung zum Agenten transferieren. Damit ist sichergestellt, dass ein potentieller Angreifer niemals Zugriff über das Netzwerk auf das Authentifizierungspaket erhält. |
Die ausgewählte Authentifizierungsmethode hat Auswirkungen auf die Befehle, die in der Systemübersicht in der Kategorie "Agent" verfügbar sind.
Sie können einem Agenten die Authentifizierung auch wieder entziehen. Markieren Sie den Agenten in der Systemübersicht des Mandanten 0000 und wählen Sie den entsprechenden Befehl aus dem Kontextmenü aus. Der Agent ist daraufhin nicht mehr einsatzbereit und kann keine Verarbeitungen durchführen, bis Sie ihn erneut authentifizieren.
Verschlüsselung
Standardmäßig ist die Verschlüsselung mit der höchsten Stärke aktiviert. Melden Sie sich am Systemmandanten 0000 an, um die Verschlüsselungsstärke bei Bedarf anzupassen oder die Verschlüsselung zu deaktivieren. Die Variable UC_AS_SETTINGS enthält den Key ENCRYPTION für diesen Zweck.
Authentifizierung
Die Authentifizierungsmethode wird bei der Installation des Automation Engine Systems eingestellt. Sie kann aber auch nachträglich geändert werden:
Kompatibilität
Ältere Agent-Versionen laufen auch in der Nachfolgerversion der AE (ein 10.0.0 Agent kann auch in einem 11.0.0 Automation Engine System eingesetzt werden). Voraussetzung dafür ist, dass sich Ihr Automation Engine System auf dem aktuellsten Hotfix-Stand befindet. Die Automation Engine unterstützt die erweiterten Verschlüsselungs- und Authentifizierungsfunktionen. Sie können in der Variable UC_AS_SETTINGS mit dem Key COMPATIBILITY festlegen, ob ältere Komponenten an der Kommunikation teilnehmen dürfen.
Bei ausgeschaltener Kompatibilität (COMPATIBILITY=NO) akzeptiert der Jobmelder nur verschlüsselte Verbindungen mit Ausnahme jener, die von der lokalen IP-Adresse kommen, und den IP-Adressen, die im Agenten-Objekt in der RegisterkarteAttribute als Ausnahme definiert wurden. Wenn Sie beispielsweise Ereignis-Monitore auf z/OS in LPARs auf verschiedenen Rechnern einsetzen, so müssen Sie die IP-Adressen der Rechner dort eintragen.
Der Agent ermittelt die Liste der lokalen IP-Adressen ausgehend vom lokalen Rechnernamen, welchen er vom Betriebssystem erhält.
Siehe auch:
|
Automic Documentation - Tutorials - Automic Blog - Resources - Training & Services - Automic YouTube Channel - Download Center - Support |
Copyright © 2016 Automic Software GmbH |