Neues:

4.08.08: Vuno now in V1.6 (IE 7.0 & Firefox 3.0 Compliant)

26.5.06: Vuno Now FirefoxReady

Rechtemanagement in Verteilten Systemen mit Web-Services

Kontakt & Sales

4 LÖSUNG
        4.1 Architektur
            4.1.1 Windows Server 2003
            4.1.2 Rights Management Services
              (RMS) Server
            4.1.3 Windows Rights Management
              Client
            4.1.4 RMS-Lockbox
            4.1.5 RM-Addon für den Internet
              Explorer
            4.1.6 Geschützte Objekte
            4.1.7 Das Web-Portal
            4.1.8 Das Framework
        4.2 Einrichtung des Rechtemanagement-
              Systems
            4.2.1 Konfiguration des Clients
            4.2.2 Einrichtung des RMS-Systemes
        4.3 Funktionsweise
            4.3.1 Verschlüsseln der Objekte
            4.3.2 Dekodieren der geschützten
              Objekte
            4.3.3 Der Inhalt geschützter Objekte
        4.4 Verwaltung der VUNOs
            4.4.1 VUNO-Verwaltung
            4.4.2 Collectionverwaltung
        4.5 Zusammenfassung und weiteres
              Vorgehen

 

                                                

Nach der Erklärung der wichtigen Begriffe des RMS-Servers wird nun auf die wichtigsten
Schritte für die Installation eines RMS-Servers eingegangen. Für die Installation
des RMS-Servers muss man auf dem Server, auf welchem dieser Dienst werden
soll, mit einem Domänenkonto an, das Mitglied der lokalen Gruppe Administratoren
ist angemeldet sein. (Das dazu notwendige Programm ist kostenfrei bei Microsoft
unter dem Namen „Dienste für die Windows-Rechteverwaltung (RMS) 1.0„ erhältlich).
Nachdem der Windows RMS-Server installiert wurde, muss der erste Stammzertifizierungsserver
einer Active Directory-Gesamtstruktur, unter Verwendung eines
Domänenkontos, das ein Mitglied der lokalen Gruppe Administrator und Systemadministrator
für die SQL Server-Datenbank ist, bereitgestellt werden. Dazu ruft man
nach der Installation die Seite globale Verwaltung auf. Aus Sicherheitsgründen sollte
dieser Server nicht verwendet werden, um zusätzliche Websites oder Dienste auszuführen.
Weiterhin muss der Speicherort und Name der Konfigurationsdatenbank festgelegt
werden. Daraufhin muss man ein RMS-Dienstkonto festlegen, unter dem
Windows RMS für Standardoperationen ausgeführt wird. Da das standardmäßig vorgeschlagene
Konto „Lokales System“ über Zugriff auf fast alle Ressourcen auf dem
Betriebssystem verfügt und daher wichtige Sicherheitsimplikationen umfasst, sollte
die Verwendung diese unter allen Umständen vermieden werden. Aus diesen Gründen
sollte ein spezielles Domänenbenutzerkonto als RMS-Dienstkonto erstellt werden,
dem keine besonderen Berechtigungen erteilt werden. Das RMS-Dienstkonto darf
nicht mit dem Domänenkonto identisch sein, das zum Installieren von Windows RMS
verwendet wurde. Als nächstes wird der Mechanismus zum Schützen des privaten
Schlüssels für den Server ausgewählt. Zur Auswahl steht ein softwarebasierter Schutz,
wobei die Grundlagen für ein sicheres Kennwort und dessen Aufbewahrung beachtet
werden müssen, oder die Verwendung eines Hardwaresicherheitsmodul (HSM). Nach
der Angabe dieser und einiger fallspezifischer (Administratorkontakt, …) Daten wird
der Registrierungsprozess gestartet bei dem ein Schlüsselpaar (öffentlich/privat) erstellt
wird. Der Microsoft-Registrierungsdienst erstellt aus dem öffentlichen Schlüssel
ein Server-Lizenzgeberzertifikat und sendet dieses dann zur Speicherung in der
Konfigurationsdatenbank zurück.
Nach Beendigung des Bereitstellungsprozesses muss noch ein RMSDienstverbindungspunkt,
unter globale Verwaltung -> RMS auf dieser Website verwalten
-> RMS-Dienstverbindungspunkt festgelegt werden, bevor der RMS-Server
einsatzbereit ist. Die weitere dem jeweiligen Anwendungszweck angepasste Einrichtung
und Administration des RMS-Servers, sowie die Erstellung von Nutzungsvorlagen
wird in Kapitel 5.7 beschrieben.
Des Weiteren ist es noch möglich eine verteilte Topologie zu erstellen, falls es notwendig
sein sollte einen oder mehrere Lizenzierungsserver bereitzustellen, die nicht
Mitglieder des Stammzertifizierungsclusters sind. Gewöhnlich ist dies der Fall, wenn
Abteilungen unterstützt werden sollen, die eine direkte Steuerung der Ausstellung von
Veröffentlichungs- und Nutzungslizenzen erfordern. Hierzu zählen z. B. Rechtsabteilungen
mit Sicherheitsanforderungen, die Steuerung und Überwachung auf Abteilungsebene
erfordern. Jedoch soll im Rahmen dieser Arbeit darauf nicht näher eingegangen
werden.