05.04.2017

Passwortmanagement mit Password Safe – die Komponenten

Wie schon in unserem Newsletter sowie im Webinar angekündigt sind wir seit letztem Jahr offizieller Partner von MATESO, die mit ihrer Lösung Password Safe ein Tool zum zentralen, sicheren Passwortmanagement anbieten. 

Im folgenden Artikel möchten wir noch ein bisschen genauer auf die technischen Eigenschaften von Password Safe eingehen.

Überblick

Jede Password-Safe-Installation besteht aus drei Komponenten:

  • SQL-Datenbank(en)
  • Admin Client (Password-Safe-Server-Komponente)
  • Clients (Password Safe Client für Windows/Web Client)

Datenbanken

Alle Datenbanken müssen auf Microsoft SQL Server bereitgestellt werden. Andere Datenbanksysteme werden aktuell noch nicht unterstützt. Eine lokale SQL-Server-Express-Installation ist allerdings ohne Einschränkungen möglich. In den meisten Installationen wird Password Safe die Express-Grenzen nicht ausreizen. Ein Argument gegen die Express-Edition wäre die fehlende Möglichkeit der Hochverfügbarkeit durch SQL-Clustering oder Ähnliches.

Bei der Grundeinrichtung des Admin Client wird immer eine globale Konfigurationsdatenbank angelegt (dazu später mehr). Hier werden alle serverseitigen Konfigurationen wie verfügbare Datenbanken und Backuppläne gespeichert.

Die restlichen Datenbanken sind die einzelnen Password-Safe-Datenbanken. Hier sind neben Passwörtern auch alle Grundeinstellungen im Client enthalten. User in Datenbank A sind also nicht in Datenbank B enthalten. Selbstverständlich sind alle Nutzdaten innerhalb der Datenbanken verschlüsselt, sodass man ohne die entsprechende Entschlüsselung durch den Admin Client mit der einfachen SQL-Datenbank nichts anfangen kann.

Admin Client

Die Grundkonfiguration des Admin Client beinhaltet die Verbindungsadresse des Servers, der Serviceuser (für Windows-Dienste sowie Datenbankverbindungen), die SQL-Datenbank (wird beim ersten Mal von Password Safe angelegt) sowie das Zertifikat, welchem alle Clients vertrauen müssen, um eine Verbindung zum Admin Client herstellen zu können. Hier kann auch ein Self-Signed-Zertifikat verwendet werden. Wildcard-Zertifikate werden nicht unterstützt.

Im Admin Client können die Datenbanken angelegt und verwaltet sowie Password-Safe-eigene Backup-Routinen konfiguriert werden. Das Backup muss aber nicht zwingend über Password Safe erfolgen.

In den meisten Fällen wird sicher nur eine (Echt-)Datenbank zum Einsatz kommen. Dies hängt aber von der Umgebung ab. Grundsätzlich ließen sich auch einzelne Geschäftsbereiche auf Datenbankebene trennen. Dies hätte dann aber den Nachteil, dass mögliche übergreifende Passwörter doppelt gepflegt werden müssten, da ein Client immer nur auf eine Datenbank zugreifen kann. Hier empfiehlt sich eine gründliche Prüfung der Möglichkeiten sowie eine saubere Konzeptionierung vor einem Echtstart.

Password Safe Client

Der Password Safe Client ist nicht nur die Ansicht für User zum Erstellen, Bearbeiten und Verwenden von Passwörtern, sondern auch für administrative Tätigkeiten innerhalb der Datenbank zuständig. Dadurch vermeidet man die Problematik, für Applikation und Administration zwischen verschiedenen Clients wechseln zu müssen.

Wichtig ist hier, von Beginn an eine saubere Struktur aufzubauen, um in Zukunft Probleme zu vermeiden. Es empfiehlt sich, eine längere Testphase mit einer separaten Datenbank zu betreiben, bevor die Produktivdatenbank übernommen wird.

Die folgenden Begriffe sind zu unterscheiden und beim Datenbankdesign von entscheidender Bedeutung:

  • Organisationseinheiten – vergleichbar mit „Active-Directory-Gruppen“. Behälter zum strukturierten Ablegen von Datensätzen (Passwörtern), Dokumenten und Benutzern. Aus Organisationseinheiten ergeben sich aber noch keine Berechtigungen für die Benutzer.
  • Tags – weitere Möglichkeit der strukturierten Ablage und Filterung von Datensätzen. Tags sind nicht hierarchisch und haben keinerlei Berechtigungsoptionen. Man kann die Anlage von Tags den Usern überlassen oder fest vorgegebene Tags von administrativer Seite vorgeben.
  • Rollen – vergleichbar mit „Active-Directory-Gruppen“. Berechtigungen und Benutzerrechte werden hauptsächlich über Rollen gesteuert.
  • Benutzer – jeder Benutzer kann einzeln angelegt oder aus Active Directory importiert oder synchronisiert werden.
  • Formulare – Vorlagen für Datensätze mit ähnlichen Inhalten. Hier lassen sich auch sehr komplexe Formularstrukturen abbilden. Ein Datensatz (Passwort) muss nicht zwangsläufig aus Benutzername/Kennwort bestehen. Auch andere schützenswerte Informationen wie Verbindungsinformationen, Kreditkartendaten oder sogar Personalinformationen können entsprechend an- bzw. abgelegt werden.

Rechte vordefinieren

Die grundlegendste Möglichkeit der Einschränkung oder Strukturierung von Datensätzen sind Berechtigungen. Jeder Datensatz kann mit einem individuellen Berechtigungssatz ausgestattet werden:

Damit Benutzer nicht bei jedem Datensatz alle Rechte setzen müssen oder um die Rechte einheitlich vorzugeben, werden an den Organisationseinheiten Rechte vordefiniert.

So wird für jeden neuen Datensatz ein bestimmtes Rechteset konfiguriert, welches dann beim User automatisch verwendet wird. Es können pro OU auch mehrere Vorlagen konfiguriert werden.

Außerdem kann die Option so gesetzt werden, dass User diese Rechtevorlage nicht verändern, nur ergänzen dürfen.

Bei Anlage eines neuen Kennworts werden nun diese Rechte auch dem User nach Auswahl der OU angezeigt:

Natürlich gibt es noch weitere Mechanismen, um die Datensätze Benutzern zur Verfügung zu stellen oder einzuschränken, unter anderem temporäre Berechtigungen, Siegelschutz (Mehr-Augen-Prinzip), Sichtschutz oder Berechtigungen auf Feldebene innerhalb der Formulare oder Datensätze.

In den folgenden Blogartikeln werden wir weiter auf einige davon eingehen.

Wenn Sie Fragen zum Thema Passwortmanagement oder Password Safe haben, wenden Sie sich gerne an uns.

Andreas Faltin

Unsere Blogs