Zaručený elektronický podpis je v současnosti již běžným způsobem, jak pomocí kvalifikovaného certifikátu zajistit nezpochybnitelnou souvislost mezi elektronickým dokumentem a jeho autorem. Elektronický podpis slouží především k identifikaci autora a k zajištění integrity dokumentu, tedy aby zaručil, že dokument nebyl od svého vytvoření bez vědomí autora pozměněn. Klasická verze elektronického podpisu však chápe elektronický podpis pouze jako doplněk již existujícího dokumentu, který může vystupovat i samostatně jako nepodepsaný. Podpis není součástí dokumentu, je jen jakýmsi přívěškem, pomocí něhož je možné ověřit autorství. Tím se ale zásadně odlišuje od podpisu, jak ho uživatelé znají z dokumentů v papírové podobě. Na listině se podpis stává její neoddělitelnou součástí a je na ní viditelně přítomen, od okamžiku podpisu již není možné listinu od podpisu oddělit. Právě filosofie podpisu běžných papírových dokumentů byla motivací ke vzniku speciálního podpisu ve formátu PDF. V článku se podíváme, jak je digitální podpis PDF technicky realizován a jaké výhody to přináší uživatelům.
Oracle Waveset: připojujeme systém pomocí Scripted JDBC adaptéru
Značný počet systémů, které jsou používané v dnešní době, ukládá data o svých uživatelích do relační databáze. Každá databáze má ale jinou strukturu; data jsou rozložena do různých tabulek a má se s nimi v různých situacích jinak zacházet – některé systémy například mažou informace o odstraněných uživatelích, některé ne. Scripted JDBC adaptér představuje univerzální řešení, jak podobné systémy napojit na identity manager Oracle Waveset. Neměnná kostra adaptéru je obalena několika skripty v jazyce BeanShell, v nichž jsou popsány akce specifické pro konkrétní systém. V článku vyložíme podrobný postup jak skripty napsat a jak systém nakonfigurovat v administrátorském rozhraní.
CzechIdM správa domény
Koncových systémů, které umí náš Identity Manager spravovat je mnoho (viz http://www.czechidm.cz/reseni-pro-podnikatele/technicky-popis#seznampripojitelnychsystemu). V tomto článku si ukážeme jakým způsobem CzechIdM umí spravovat uživatelské účty v doméně postavené na Sambě.
Využití Mavenu pro CzechIdM
Pro efektivnější vývoj našeho Identity Manageru CzechIdM bylo třeba vytvořit nástroj, který provede automatické sestavení („build“) aplikace ze zdrojových kódů nezávisle na vývojovém prostředí Eclipse. Za tímto účelem jsme použili nástroj Apache Maven. Základní vlastnosti, přednosti a nevýhody Mavenu nyní shrneme v tomto článku. Zmíníme také některé záludnosti, na které je třeba dávat pozor při práci s projektem vytvořeným JBoss Seam frameworkem.
Číst dále »
Centralizovaná správa souborového systému
Stojíte před úkolem jak jednoduše delegovat přístupy k souborům a adresářům na souborovém serveru? CzechIdM nyní poskytuje jednoduché webové rozhraní pro nastavení práv na souborovém systému.
S právy a oprávněními se již většina z nás určitě setkala. A to například ve firmě, kde má každý zaměstnanec přístup pouze k datům potřebným pro jeho práci. Typicky při potřebě vytvoření práv, například pro nového zaměstnance, nejdříve změnu schválí odpovědná osoba například vedoucí oddělení a poté ji provede IT oddělení. Informace bývají předávány nejčastěji papírově nebo e-mailem. To s sebou nese hned několik nevýhod a rizik:
- uživatelé čekají dlouhou dobu, než je jejich žádost provedena;
- neexistuje centrální místo s informacemi o tom, kdo a kam má mít přístup;
- informace o změnách se zpětně těžce dohledávají (pokud vůbec – žádost se mohla ztratit nebo se v horším případě žádosti ani neuchovávají);
- informace se „po cestě“ mohou dostat i k lidem, ke kterým se dostat neměly.
Jak se ale z takové situace dostat? CzechIdM zajišťuje i správu přístupových práv k souborům a adresářům při zachování vašich firemních procesů i bezpečnosti.
Prezentace z workshopu „Autentizace, autorizace a SSO v praxi a bez licencí“
11. 04. 2012 jsme uspořádali technický seminář na téma Autentizace, autorizace a SSO v praxi a bez licencí. V prostředí kulturního centra Zahrada se nás sešlo kolem 20. Z množství zajímavých dotazů během prezentací je vidět, že tato témata v současné době řeší množství státních organizací i soukromých společností. Konečná diskuze o konkrétních problémech a možnostech řešení se protáhla téměř na 2 hodiny. Všem účastníkům děkujeme a těšíme se na další setkání, třeba na semináři na téma centrální správy identit. Číst dále »
Spacewalk – centrální správa serverů
Spacewalk je OpenSource variantou k programu RH Satellite. Jeho úkolem je usnadnit administrátorům správu většího množství serverů, jejich operačních systémů RedHat nebo CentOS. Usnadnění spočívá zejména v zajištění lokálního repozitáře rpm balíčků a distribuci těchto balíčků na servery. Pod slovem distribuce je možné si představit jak manuální instalaci příkazem yum na koncovém serveru, také instalaci ze Spacewalk serveru „naklikanou“ administrátorem, ale i dávkové hromadné instalace balíčků na celé skupiny serverů.
Velkým úkolem ve větších prostředích je také zajištění shodnosti verzí balíčků na serverech. Pokud instalujete server a následně provedete update z internetu, tak další instalace za 14 dní již může mít jiný update, protože byly vydány nové – „opravené“ verze. Výsledkem je, že verze balíčků na serverch nejsou shodné a pokud něco nebude na jednom ze serverů fungovat, je hledání problému daleko složitější. Díky Spacewalku je tedy možné garantovat i to, že budete mít jeden server s OS Linux jako druhý (stejný set balíčků) a to i v případě, že je budete instalovat s větším časovým odstupem.
Doménový řadič a další služby sítě – Adresářový server I
Tento článek je pokračováním k předchozím článkům (1,2), které popisují jak vybudovat Doménový řadič a další služby sítě.
Stavíme síť, která má více vzdálených poboček a chceme nabídnout uživatelům možnost přecházet z jednoho pracoviště na druhé. Abychom mu toto mohli nabídnout, je třeba, aby jeho uživatelský účet (jméno a heslo) byl dostupný napříč všemi pobočkami. Pokud k tomu přidáme ještě skutečnost, že pobočky jsou propojeny s centrálou například přes ADSL, tak nezbývá než všechny uživatelské účty uchovávat lokálně na pobočkových serverech. Pokud by tomu tak nebylo, pobočka by byla závislá na propojení s centrálou, a každý si zřejmě dokáže představit rozladění uživatele, který přijde do práce a zjistí že se nepřihlásí, protože někdo překopl kabel od ADSL a internet prostě nejde.
Uživatelé jsou v OS Linux standardně založeni do souboru /etc/passwd, hesla mají v šifrované podobě v souboru /etc/shadow. Z hlediska doménového řadiče je jméno a heslo pouze malá část potřebných informací, další – podstatně větší množství – si Samba uchovává v lokálním souboru. Samozřejmě takto zapsané informace se velmi špatně replikují na další servery (pobočky). Číst dále »
Pozvánka na odborný workshop na téma autentizace, autorizace a SSO v praxi a bez licencí
Dovolte nám Vás tímto pozvat na technický workshop zabývající se problematikou autentizace, autorizace a SSO. Cílem workshopu je jasně vymezit jednotlivé oblasti této problematiky a nastínit způsob jejich řešení za pomocí produktů, které nevyžadují drahé licence. Pokud potřebujete vyřešit federaci identit, řízení přístupu k aplikacím nebo doménové řešení, rezervujte si místo na našem semináři.
Téma: Autentizace, autorizace a SSO v praxi a bez licencí
Kdy: 11.04.2012 v 9:15 hodin
Kde: KC zahrada, Malenická 1784, 148 00 Praha 11
Registrace: Registrační formulář (Workshop již proběhl)
Kontakt: Lucie Cirkvová, lucie.cirkvova@bcvsolutions.eu, tel: 777785847
Za kolik: Workshop je bezplatný, počet míst je omezen.
Číst dále »
Pravidla v CzechIdM
V tomto článku si povíme něco o pravidlech v našem Identity Management systému CzechIdM. Ukážeme si, co jsou to pravidla, jaké druhy pravidel v CzechIdM používáme a k čemu slouží. Je důležité zmínit, že máme na mysli například pravidla definující politiku hesel (tomu je věnován článek „Pravidla pro vytváření hesel v CzechIdM“) a podobně. Na pravidla zde nahlížíme z programátorského pohledu.