Glossar

Clientauthentifizierung

Bei der Clientauthentifizierung (auch als Benutzerauthentifizierung bezeichnet) müssen Benutzer ihre Identität durch digitale Zertifikate beweisen (Standardeinstellung für den Reflection-Sicherheitsproxy).

Eine Clientauthentifizierung ist in der Regel beim Aufbau einer SSL-Sitzung erforderlich. Ein TN 3270-Server erfordert ebenfalls Clientauthentifizierung, wenn der Benutzer die auf manchen Mainframe-Systemen bereitgestellte Express-Anmeldefunktion verwendet.

Clientautorisierung

Clientautorisierung wird bei Verbindungen verwendet, die durch den Management and Security Server gesichert werden, um sicherzustellen, dass vor Herstellung der Verbindung der Zugriff auf die Hostsysteme genehmigt wurde.

Wenn sich ein Benutzer am Management and Security Server anmeldet, erhält er nur Zugriff auf Terminalsitzungsdateien und andere Funktionen, für die ihm explizit die Nutzungsautorisierung erteilt wurde.

CRL (Certificate Revocation List)

Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.

Digitale Zertifikate

Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist.

Express-Anmeldefunktion (ELF)

Diese Funktion wird auch als Einmalanmeldung (Single Sign-on, SSO) bezeichnet. Die Expressanmeldung ist eine Funktion des IBM-Mainframe, mit der sich Benutzer anmelden und eine Verbindung zum Host aufbauen können, ohne jedes Mal eine Benutzerkennung und das zugehörige Kennwort eingeben zu müssen. Die Expressanmeldung authentifiziert den Benutzer auf dem Mainframe anhand des SSL-Clientzertifikats anstelle anhand einer Benutzerkennung und dem zugehörigen Kennwort.

OCSP (Online Certificate Status Protocol)

Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: „Good“ (Zertifikat gültig), „Revoked“ (Zertifikat gesperrt) und „Unknown“ (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen.