Client security for networked applications

   
   

Methods and apparatuses are provided for limiting access, by users of a networked computer system, to networked services on the computer system. More specifically, the present invention facilitates limiting access by other users to a first user's credential that can be used to facilitate access to networked services. A method includes authenticating a user, determining a credential for that user, and generating a corresponding random secret. The credential is stored in memory that can only be accessed through execution of a local security authority (LSA). The random secret is written to a secret file that is readable and writeable only by the user. When the user initiates an application, a security library associated with the application reads the random secret from the secret file and passes the secret to the LSA. The LSA identifies the credential corresponding to that secret and return a credential handle to the application client via the security library. The application client can use the credential handle to have the LSA use the credential on its behalf; in the Kerberos case, the LSA obtains GSSAPI Kerberos tokens and returns them to the application. The technique is also used in combination with the Unix setuid mechanism to allow one or more programs to have all of the user's network rights while all other programs have one of one or more subsets of the user's rights. Additional embodiments of the present invention also include computer readable medium with program instructions and a computer system configured to perform the above operations.

Methoden und Apparate werden für das Begrenzen des Zuganges, von den Benutzern eines vernetzten Computersystems, zu den vernetzten Dienstleistungen auf dem Computersystem zur Verfügung gestellt. Spezifischer, erleichtert die anwesende Erfindung, Zugang durch andere Benutzer zu begrenzen zur Bescheinigung eines ersten Benutzers, die benutzt werden kann, um Zugang zu den vernetzten Dienstleistungen zu erleichtern. Eine Methode schließt das Beglaubigen eines Benutzers, die Bestimmung einer Bescheinigung für diesen Benutzer und das Erzeugen eines entsprechenden gelegentlichen Geheimnisses mit ein. Die Bescheinigung wird im Speicher gespeichert, der durch Durchführung einer lokalen Sicherheit Berechtigung (LSA) nur erreicht werden kann. Das gelegentliche Geheimnis wird zu einer geheimen Akte geschrieben, die lesbar und nur durch den Benutzer writeable ist. Wenn der Benutzer eine Anwendung einleitet, liest eine Sicherheit Bibliothek, die mit der Anwendung verbunden ist, das gelegentliche Geheimnis von der geheimen Akte und führt das Geheimnis zum LSA. Das LSA kennzeichnet die Bescheinigung, die diesem Geheimnis entspricht und bringt einen Beglaubigungs- Handgriff zum Anwendung Klienten über die Sicherheit Bibliothek zurück. Der Anwendung Klient kann den Beglaubigungs- Handgriff benutzen, um den LSA Gebrauch zu haben die Bescheinigung für ihre Zwecke; im Kerberos Kasten erreicht das LSA GSSAPI Kerberos Zeichen und bringt sie zur Anwendung zurück. Die Technik wird verwendet auch im Verbindung mit der Unix setuid Einheit, um ein oder mehr Programme alle Netzrechte des Benutzers haben zu lassen, während alle weiteren Programme eine von einer oder mehr Teilmengen der Rechte des Benutzers haben. Zusätzliche Verkörperungen der anwesenden Erfindung schließen auch maschinell lesbares Mittel mit Programmanweisungen und ein Computersystem, das zusammengebaut wird, um die oben genannten Betriebe durchzuführen ein.

 
Web www.patentalert.com

< Methods and apparatus for selective encryption and decryption of point to multi-point messages

< Federated operating system for a server

> Enhancing application performance in dynamic networks

> Apparatus and method for verifying proper data entry and detecting common typing errors

~ 00125