Die Managementebene, Ceph-interne Authentisierung und Datenservicezugänge verwenden unterschiedliche Identitäten und Schlüssel. Das Seminar führt diese Ebenen in ein minimales, prüfbares Rechte- und Zertifikatsmodell zusammen.
Inhaltsübersicht
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praxisübungen
Seminarprofil
Das Seminar entwickelt ein durchgängiges Sicherheitsmodell für die croit Ceph Management Platform und ihre Datenservices. Behandelt werden Rollen und administrative Trennung, lokale Konten, OIDC und LDAP, TLS-Zertifikate und PKCS12, CephX-Schlüssel und Capabilities, API-Token, Geheimnisübergabe, Netzwerkzonen, relevante Ports, Rotation, Audit und Notfallzugänge.
Lernziele
- Management-, CephX- und Datenserviceidentitäten klar trennen
- Rollen, OIDC oder LDAP mit Notfallzugängen sicher einführen
- TLS-Zertifikate einschließlich PKCS12 korrekt bereitstellen und erneuern
- CephX-Capabilities und API-Token nach Minimalprinzip verwalten
- Rotation, Audit, Portfreigaben und Sicherheitsvorfälle dokumentieren
Zielgruppe
Storage-, Security-, IAM- und Plattformadministratoren sowie technische Sicherheitsverantwortliche
Voraussetzungen
Ceph- und Linux-Grundlagen sowie Basiswissen zu TLS, Verzeichnisdiensten und rollenbasierter Zugriffskontrolle
Seminarinhalte
Schritt 1: Schutzobjekte und Vertrauensgrenzen
Managementplattform, Clusterdaemons, Gateways, Clients und externe Identitätsdienste werden als getrennte Zonen modelliert. Für jede Verbindung werden Identität, Verschlüsselung und Berechtigung festgelegt.
- Management- und Datenebene
- Administrations-, Service- und Clientidentitäten
- Vertrauensanker und Notfallzugang
Schritt 2: Rollen und lokale Konten
Administrative Aufgaben werden nach Betrieb, Sicherheit und Prüfung getrennt. Lokale Konten bleiben auf notwendige Bootstrap- und Notfallzwecke begrenzt.
- Least Privilege und Funktionstrennung
- Kennwort- und Sitzungsschutz
- Break-glass-Konto und Protokollierung
Schritt 3: OIDC integrieren
Die Plattform wird mit einem OpenID-Connect-Anbieter verbunden. Issuer, Client, Redirect, Claims und Gruppenabbildung werden vor Produktivsetzung getestet.
- Clientregistrierung und Redirect-URI
- Claims, Gruppen und Rollen
- Fehlerfall und lokaler Rückfallzugang
Schritt 4: LDAP integrieren
LDAP-Verbindung, Bind-Konto, Suchbasis und Filter werden minimal und nachvollziehbar konfiguriert. TLS und Gruppenabbildung sind Teil der Abnahme.
- Bind DN und Secret
- User- und Group-Filter
- LDAPS, Zertifikatsvertrauen und Ausfallverhalten
Schritt 5: TLS und PKCS12
Eigene Zertifikate werden mit vollständiger Kette und privatem Schlüssel bereitgestellt. Namen, Gültigkeit und automatische Erneuerung werden geprüft.
- Zertifikatskette und SAN
- PKCS12-Erstellung und Kennwortschutz
- Austausch, Neustart und Clienttest
Schritt 6: CephX-Schlüssel und Capabilities
Clients und Dienste erhalten getrennte Identitäten mit minimalen MON-, OSD-, MDS- oder MGR-Rechten. Generalschlüssel werden nicht an Anwendungen verteilt.
- Clientnamen und Capabilities
- Pool-, Namespace- und Pfadbegrenzung
- Export, Übergabe, Rotation und Sperrung
Schritt 7: API-Token und Automatisierung
Token werden zweckgebunden, zeitlich kontrolliert und außerhalb von Skripten gespeichert. Protokollierung und Widerruf sind obligatorisch.
- Servicekonto und Tokenumfang
- Secret Storage und Übergabe
- Rotation, Revocation und Fehlerbehandlung
Schritt 8: Netzwerk- und Portschutz
Notwendige Verbindungen werden aus Quell-, Ziel- und Dienstbeziehungen abgeleitet. Managementzugänge werden von Datenpfaden getrennt.
- Web-, PXE-, NTP- und Ceph-Ports
- Firewallregeln und Administrationsnetze
- Gateway- und Clientzugriffe
Schritt 9: Audit und Sicherheitsbetrieb
Änderungen an Rollen, Schlüsseln, Zertifikaten und Portregeln werden regelmäßig überprüft. Ein Ablaufplan behandelt kompromittierte Identitäten und abgelaufene Zertifikate.
- regelmäßige Rechteprüfung
- Ablauf- und Rotationskalender
- Incident, Sperrung und Wiederherstellung
Praxisübungen
- ein Rollen- und Identitätsmodell für Betrieb, Security und Anwendungen erstellen
- eine OIDC- oder LDAP-Anbindung mit Rückfallzugang konfigurieren
- ein TLS-Zertifikat und einen eingeschränkten CephX-Schlüssel bereitstellen und rotieren
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-

René Launa
Telefon: + 43 (720) 022000
E-Mail: rené.launa@seminar-experts.at -

Adam Steyer
Telefon: + 43 (720) 022000
E-Mail:
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Storage-, Security-, IAM- und Plattformadministratoren sowie technische Sicherheitsverantwortliche |
| Voraussetzungen: | Ceph- und Linux-Grundlagen sowie Basiswissen zu TLS, Verzeichnisdiensten und rollenbasierter Zugriffskontrolle |
| Standorte: | Bregenz, Graz, Innsbruck, Klagenfurt, Linz, Salzburg, Wien |
| Methoden: | Vortrag, Demonstrationen, angeleitete Konfigurationen und praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhouse, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Ausführliche deutschsprachige Dokumentation als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 43 (720) 022000 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
