Sicherheit und Zugriffssteuerung. Auf Sicherheit ausgelegt.

Mac OS X Server baut auf einer ausgereiften Architektur aus, um Ihnen die gewünschten Funktionen mit dem benötigten Maß an Sicherheit zur Verfügung zu stellen. Dieses innovative Serverbetriebssystem ist darauf ausgerichtet, Ihren Server, Ihr Netzwerk und Ihre Daten mit einer Fülle von Funktionen zu schützen. Hierzu gehören beispielsweise eine integrierte Firewall mit Paketanalyse, starken Verschlüsselungs- und Authentifizierungsdiensten, Architekturen für die Datensicherheit und Unterstützung für Zugriffssteuerungslisten (Access Control Lists - ACLs).

Sicherheitsstandards

Sicherheitsprotokolle mit Industriestandard, auf die sich Sicherheitsexperten weltweit verlassen, unterstützen alle Aspekte der System-, Daten- und Netzwerksicherheit, die für moderne Programme unerlässlich sind.

Kerberos
  • Kerberos für die Gesamtauthentifizierung Mac OS X Server umfasst die MIT Kerberos-Technologie, um eine Gesamtauthentifizierung in Apple Open Directory und Microsoft Active Directory Umgebung zu ermöglichen.
  • SSH (Secure Shell) Mac OS X Server nutzt OpenSSH als Standardprotokoll für die sichere Konfiguration und Verwaltung ferner Server. SSH verschlüsselt den fernen Befehlszeilenverkehr, einschließlich Kennwörter, um auf effiziente Weise Lauschangriffe, unbefugte Nutzung von Verbindungen und andere Angriffe über das Netzwerk zu unterbinden, von denen rlogin- und telnet-Verbindungen geplagt werden. Mac OS X Server umfasst die gesamte Palette der OpenSSH Client- und Serverfunktionalität, einschließlich SSH für die Befehlsausführung, SFTP für den Dateitransfer und SCP für Dateikopien.
  • SSL/TLS Mac OS X Server umfasst SSL (Secure Sockets Layer), den heute gebräuchlichsten Transportmechanismus und TLS (Transport Layer Security), den Internet-Sicherheitsstandard der nächsten Generation. Das grundlegende Serverbetriebssystem und viele Netzwerkdienste, darunter Apache, OpenLDAP, Postfix und Cyrus, nutzen diese Mechanismen für Transportebenen, um einen sicheren, mit 128 Bit verschlüsselten Kanal zwischen zwei Systemen bereitzustellen und die Informationen innerhalb dieses Kanals vor unbefugten Zugriffen zu schützen. Für die sichere, authentifizierte Kommunikation kann Mac OS X Server digitale X.509-Zertifikate einsetzen, um die Echtheit eines Servers im Internet oder im lokalen Netzwerk zu überprüfen.
  • CDSA (Common Data Security Architecture). Mac OS X Server nutzt CDSA, einen offenen Standard der Open Group. CDSA bietet eine Gruppe von Sicherheitsdiensten mit mehreren Ebenen und ein kryptografisches Framework zum Erstellen vom Programmen mit aktivierter Schutzfunktion, einschließlich Unterstützung für SSL Version 2 und 3 und TLS Version 1. Die CDSA-Architektur von Apple umfasst zudem OpenSSL, eine Sicherheitsbibliothek für die Nutzung durch traditionelle Open-Source-Programme, sowie Linux PAMs (Pluggable Authentication Modules), die UNIX Programmen den Zugriff auf CDSA-Dienste via PAM API bereitstellen.

ACLs (Listen für die Zugriffssteuerung)

Mac OS X Server unterstützt die nativen Dateizugriffsrechte von Mac OS X und Windows. Listen für die Zugriffsteuerung (ACLs) ermöglichen es Administratoren, Servereinstellungen und Zugriffsrechte optimal zu steuern und so Programme und Daten vor Verwendung und Änderung durch Unbefugte zu schützen.

Dateisystemzugriff

Mac OS X Server unterstützt sowohl traditionelle UNIX Dateizugriffsrechte als auch ACLs und bietet Administratoren ein beispielloses Maß an Steuerungsmöglichkeiten über Zugriffsrechte für Dateien und Ordner. Die meisten auf UNIX und Linux basierenden Betriebssysteme werden durch das UNIX Modell für Dateizugriffsrechte beschränkt, die auch als POSIX Zugriffsrechte (Standard Portable Operating System Interface) bezeichnet werden. Mit den standardmäßigen UNIX Dateizugriffsrechten können Sie den Zugriff auf eine Datei für drei Benutzerformen zuteilen: Benutzer, Gruppe und Alle anderen. Mehrere Benutzer und mehrere Gruppen sind ebenso wenig zulässig wie eine Gruppe als Eigentümer.

Dem traditionellen UNIX Modell fehlen auch weitere wichtige Funktionen für den Zugriff auf Dateien: Es unterstützt drei Zugriffsrechte (Lesen, Schreiben und Ausführen) und bietet keine Unterstützung für die Vererbung von Dateiberechtigungen, mit der neue oder kopierte Dateien automatisch die Zugriffssteuerung des übergeordneten Verzeichnisses übernehmen.

Damit eine größere Flexibilität in komplexen Computing-Umgebungen gewährleistet ist, hat Apple Unterstützung für ACLs in Mac OS X Server integriert. Mit ACLs für Dateiberechtigungen können jedem Dateiobjekt mehrere Benutzer und Gruppen zugeordnet werden, einschließlich Gruppen innerhalb von Gruppen. Jedem Dateiobjekt können Berechtigungen zum Erteilen und Entziehen des Zugriffs zugewiesen werden. Weiterhin stehen fein abgestufte Berechtigungen für administrative Funktionen sowie Lese-, Schreib- und Löschaktionen zur Verfügung. Für noch mehr Sicherheit unterstützt Mac OS X Server die Vererbung von Dateiberechtigungen, d. h., es wird sichergestellt, dass Benutzerberechtigungen übernommen werden, wenn Dateien auf den Server bewegt werden, und sie werden neu geschrieben, wenn Dateien auf den Server kopiert werden.

Zugriff auf Dienste

Mithilfe von Zugriffssteuerungslisten für Dienste (Service Access Control Lists - SACLs) können Serveradministratoren auf einfache Weise angeben, welche Benutzer und Gruppen auf die verschiedenen Dienste zugreifen dürfen. Beispielsweise kann ein Administrator einen Arbeitsgruppen-Dateiserver, der an ein großes zentralisiertes Verzeichnis gebunden ist, so konfigurieren, dass er Verbindungen nur von den Benutzern akzeptiert, die der Arbeitsgruppe angehören. Diese Funktionalität gewinnt zunehmend an Bedeutung, da in immer mehr Arbeitsumgebungen zu einem zentralisierten Verzeichnissystems gewechselt wird. Alle benutzerbasierten Mac OS X Server Dienste, etwa AFP, SMB/CIFS, FTP, Web, Mail, SSH, iCal-Server, iChat-Server und VPN, unterstützen SACLs.

Firewall

Firewall

Ähnlich wie eine Wand einen Zugang versperrt, schützt Firewall-Software Netzwerkprogramme, die mit Mac OS X Server ausgeführt werden. Mithilfe der zuverlässigen Open-Source IPFW-Software von FreeBSD sichtet Mac OS X Server eingehende IP-Pakete und akzeptiert oder weist sie auf Basis der Filter zurück, die Sie zuvor festgelegt haben. Sie können den Zugriff auf jeden beliebigen IP-Dienst beschränken, der auf dem Server ausgeführt wird. Zudem können Sie Filter für alle eingehenden Clients oder einen Bereich von Client-IP-Adressen anpassen - jeweils im Programm "Server-Admin". Die Firewall-Software verhindert das Verschleiern (Spoofing) von IP-Adressen mithilfe der Paketanalyse, bei der geprüft wird, ob ein eingehendes Paket die rechtmäßige Reaktion auf eine ausgehende Anfrage oder Bestandteil einer laufenden Sitzung ist.