Klassifizierung

Alle Informationen sollten betreffend Vertraulichkeit (Confidentiality), Unversehrtheit (Integrity) und Verfügbarkeit (Availability) (CIA-Triade) klassifiziert werden, damit die Informationen angemessen geschützt werden können.

Umsetzung der Vertraulichkeitsklassen anhand eines Beispiels mit Apache

Zum Einsatz kommt unser SSO (AuthType shibboleth), Details (z. B. zur Gruppenabfrage) mit dem ZID klären!

Die Datei attribute-map.xml schaut dabei so aus:

  <Attribute name="urn:oid:CO-TCSMAIL-C" id="TCSMAIL" />
  <Attribute name="urn:oid:TUGONLINE-GROUPMEMBERSHIP" id="groupMembership" />
  <Attribute name="urn:oid:CO-ACCOUNTTYPE-STATUS-C-oid" id="STATUS" /> 
In der httpd.conf sind dann solche Zeilen einzutragen:
  <VirtualHost *:80>
   ServerName ihr_server.tugraz.at
   Redirect permanent / https://ihr_server.tugraz.at/
  <VirtualHost>
  <VirtualHost ihr_server.tugraz.at:443>
   ServerName ihr_server.tugraz.at
   …
   DocumentRoot /path/to/white
   …
   <Directory "/path/to/green/">
    AuthType shibboleth
    ShibRequireSession On
    <RequireAll>
     Require shib-attr STATUS ~ BEDIENSTETE:OK
    </RequireAll>
   </Directory>
   <Directory "/path/to/amber/">
    AuthType shibboleth
    ShibRequireSession On
    <RequireAll>
     Require shib-attr groupMembership "CN=,OU=OE,OU=TUGRAZ,DC=tugraz,DC=local"
    </RequireAll>
   </Directory>
  </VirtualHost>
 

Die als  TLP:RED  klassifizierten Daten sollten am besten gar nicht auf einem Webserver landen, wenn dieser aber als Archiv dient, sollte der Zugriff auf den eigenen User eingeschränkt werden:

  <Directory "/path/to/red/">
   AuthType shibboleth
   ShibRequireSession On
   require valid-user
   <RequireAll>
    Require shib-attr USERNAME mein_username
   </RequireAll>
  </Directory> 
oder
  <Directory "/path/to/red/">
   AuthType shibboleth
   ShibRequireSession On
   require valid-user
   <RequireAll>
    Require shib-attr TCSMAIL meine_emailadresse
   </RequireAll>
  </Directory>