Inhalt

1. Überblick und Einordnung
2. Zugriff auf die Datenbank mit JDBC
3. Sicherheitsaspekte
- 3.1 Einleitung
- 3.2 Gedanken zum Datenschutz
- 3.3 Die Benutzerverwaltung
Anhang
- Erstellen der Datenbank
  - Einrichten
  - Tools zum Bearbeiten
- JavaDoc Klassendokumentation
- Literaturliste

3. SICHERHEITSASPEKTE

3.1 Einleitung

Der Abschnitt Sicherheitsaspekte beschäftigt sich mit Datenschutzaspekten, die das Projekt "Simulation in 3D Informationssystemen" betreffen. Es soll dargestellt werden, aus welchen Gründen Datenschutz notwendig ist und wie dieser im Rahmen der Möglichkeiten im Projekt umgesetzt wurde.

Die folgenden Seiten unterteilen sich dabei in folgende Unterbereiche:

Es wird zunächst beschrieben, aus welchen Gründen überhaupt die Notwendigkeit besteht, sich über den Schutz der Daten Gedanken zu machen (3.2).
Anschließend wird der Bezug zum Projekt hergestellt. Es wird erläutert, an welcher Stelle Datenschutz notwendig ist. Hierzu wird ein konkreter Lösungsansatz angesprochen. Der Hauptteil ist hierbei die Vorstellung einer Benutzerverwaltung für das System (3.3)

3.2 Datenschutz

3.2.1 Datenschutz: Warum und Wie?

Im Rahmen des Projektes werden dem Benutzer eine große Anzahl von Daten zur Information, zur reinen Ansicht und zur Modifikation zur Verfügung gestellt. Diese Daten werden in einer Datenbank festgehalten und grafisch aufbereitet.

Dabei ist es angebracht, Aspekte des Datenschutzes (siehe auch: Exkurs Datenschutz) zu berücksichtigen, und zwar aus folgenden Gründen:

Das vorliegende System ist verteilt, d.h. es werden Daten von einer zentralen Stelle aus an einen beliebigen Host übermittelt, wobei anzunehmen ist, daß diese Datenübertragung über ungeschützte Kanäle stattfindet.
Die abzurufenden Informationen können teilweise von hoher Bedeutung sein (z.B. Klausurergebnisse). Die Gewährleistung der Authentizität der Daten ist somit sehr wünschenswert.
Die abrufbare Informationen sind klassifizierbar in dem Sinne, daß nicht alle Daten jeder beliebigen Person zur Verfügung gestellt werden sollen.
Neben dem Abruf der Informationen sollen auch Modifikationen der Daten möglich sein, jedoch ebenfalls nur von authorisierten Personen

Die Begriffe Informationen und veränderbare Daten sind im Rahmen des Projektes im mehrfachen Kontext zu verstehen. Damit sollen zum einen die konkret zur Verfügung gestellten Informationen bezeichnet werden, wie beispielsweise die Öffnungszeiten eines Sekretariats, dargestellt auf einem Türschild (als Bild) oder auf auf einer HTML-Seite (als Text). Gleichermaßen sind auch die Daten und Metadaten zur Navigation und Betrachtung des virtuellen 3D-Informationsraums gemeint, also zum Beispiel die Anordnung der Innenausstattung eines Raumes oder die Information, ob die Berechtigung einen Raum zu betreten, vorliegt.

Die Gefahren der Datenintegrität, -authentizität und des uneingeschränkten Datenzugriffs sind im Rahmen des Projektes nicht auszuschließen, und zwar an folgenden zwei Stellen:

Während der Datenübertragung über unsichere Netzwerkverbindungen
Die Rechner und Übertragungswege in Netzwerken/im Internet sind kaum kontrollierbar. Welchen Weg eine Nachricht nimmt oder in welchem Vermittlungsrechner die Nachricht bearbeitet wird, ist nicht transparent. Ohne besondere Schutzmaßnahmen kann sich ein Angreifer oft mit wenig Aufwand unter Ausnutzung der Sicherheitslücken unberechtigten Zugang zu fremden Rechnern verschaffen und dort Daten ausspähen oder sogar manipulieren oder zerstören.
Beim Zugriff auf die Daten
Daten lassen sich oftmals einer bestimmten Person oder einer Personengruppe zuordnen. Diese Personen(gruppen) sind Urheber der Daten und wollen diese Urheberrechte oftmals nicht abgeben, d.h. eine Änderung der Daten durch andere Personen ist von den Urhebern nicht immer erwünscht. In einigen Fällen ist noch nicht einmal der lesende Zugriff auf die Daten erwünscht - oftmals ist das dann der Fall, wenn es sich um personenbezoge oder kritische Daten handelt.

Das Thema der folgenden Abschnitte ist nun die Behandlung dieser zwei Sicherheitslücken, die prinzipiell jedes System aufweist und je nach Anwendungsbereich ein mehr oder weniger großes Problem darstellt.

Die Probleme der offenen Datenübertragung werden im folgenden nur kurz angesprochen. Es werden einige Sicherheitsmechanismen vorgestellt, mit denen die Übertragung von Daten "sicherer" wird. Diese Sicherheitsmechanismen sind aber im Rahmen des Projektes nicht zur Implementierung vorgesehen, da sie die Übertragungsprotokolle im allgemeinen ansprechen.

Das Schwerpunktthema ist die Zugriffsverwaltung. Dieses Thema wird detailliert dargestellt und eine mögliche Implementierung für das Projekt präsentiert. Es wurde ein Benutzerkonzept entworfen und in einer Benutzerverwaltung umgesetzt.

Exkurs: Datenschutz

Die Technologie von Computersystemen ist in nahezu jeden Lebensbereich eingedrungen und breitet sich mehr und mehr aus. Beim Einkaufen, Zahlen, Buchen und Reservieren mittels bequemer Chip- oder Magnetstreifenkarten, bei der Kommunikation mittels digitaler Netze, bei Arztbesuchen mit Krankenversichertenkarten oder evtl. zukünftig mit Patientenkarten, auch durch Teilnahme an Online-Diensten sowie an nationalen und internationalen Netzwerken.
Das weltweite Computernetz Internet, in dem hunderttausende größere Rechnerverbünde und somit Millionen einzelner Computer zusammengeschlossen sind, hat sich zum weltgrößten und mächtigsten globalen Informations- und Kommunikationsmedium entwickelt.

Durch das Internet können viele Prozesse kostengünstig abgebildet werden, sofern sie maschinell umsetzbar sind. Aufgrund der Tatsache, daß diese nicht überwacht werden müssen, ermöglichen sie ein großes Spar- und Ausbaupotential.

Bei der Nutzung der Computersysteme fallen eine Fülle von Einzeldaten über den Nutzer an. Diese elektronischen Spuren sind geeignet, persönliche Profile über den Einzelnen hinsichtlich seines Verhaltens zu bilden.
Aus diesen Gründen entwachsen jedoch gleichermaßen große Gefahren für die Systemsicherheit. Wenn ein unsicheres Glied der Prozeßkette geknackt wird, dann ist möglicherweise das ganze System in Gefahr. Informationen, die elektronisch gespeichert und übertragen werden, können - stelleweise sogar unbemerkt - kopiert, manipuliert und gelöscht werden.

Insbesondere der Anschluß an das Internet ist mit erheblichen Gefährdungen des Datenschutzes und der Datensicherheit verbunden. Die Rechner und Übertragungswege dieses weltweiten Computernetzes sind nicht kontrollierbar. Welchen Weg eine Nachricht nimmt oder in welchem Vermittlungsrechner die Nachricht bearbeitet wird, ist nicht transparent. Denn das Internet wurde ursprünglich nur unter Verfügbarkeitsaspekten entwickelt - auch wenn neuere Entwicklungen versuchen, weiteren Sicherheitsbedürfnissen Rechnung zu tragen. Deshalb wird den Risiken für Vertraulichkeit, Integrität und Zurechenbarkeit vielfach nicht in der gebotenen Weise begegnet. Schwächen finden sich in den Protokollen für die Datenübertragung, in den Implementierungen und Installationen der Programme für die Internet-Dienste und in den angeschlossenen Rechnersystemen. Ohne besondere Schutzmaßnahmen kann sich ein Angreifer oft mit wenig Aufwand unter Ausnutzung der Sicherheitslücken unberechtigten Zugang zu fremden Rechnern verschaffen und dort Daten ausspähen oder sogar manipulieren oder zerstören. Dies ist besonders gravierend, weil angesichts von mehreren hundert Millionen Internet-Teilnehmern auch die Zahl der potentiellen Angreifer, die diese Sicherheitslücken ausnützen und somit die am Internet angeschlossenen Verwaltungsrechner bedrohen, sehr groß ist.

Grundbedrohungen

Abhängig vom Zweck gibt es Bedrohungen, denen eine Kommunikation ausgesetzt ist:
- Verlust der Vertraulichkeit
Unter Vertraulichkeit von Informationen versteht man die Tatsache, daß die Informationen nur Befugten zugänglich sind und kein unbefugter Informationsgewinn stattfinden kann.
- Verlust der Integrität
Unter Integrität von Informationen versteht man die Tatsache, daß Informationen nur von Befugten in beabsichtigter Weise verändert und nicht unzulässig modifiziert werden können.
- Verlust der Verfügbarkeit
Mit Verfügbarkeit bezeichnet man den Tatbestand, daß Funktionen eines IT-Systems ständig innerhalb einer vorgegebenen Zeit, die von Funktion zu Funktion unterschiedlich sein kann, zur Verfügung stehen und die Funktionalität des IT-Systems nicht vorübergehend oder dauerhaft beeinträchtigt ist.
- Verlust der Verbindlichkeit
Verbindlichkeit bedeutet in diesem Zusammenhang, daß Informationen korrekt sind, die Nachweisbarkeit des Sendens und Empfangens gegeben ist, elektronische Unterschriften geleistet werden können und neutrale Gutachter existieren. Die Methoden und Verfahren müssen auch juristisch akzeptiert werden. Dies betrifft insbesondere vertragliche Transaktionen, die über Kommunikationssysteme zustande kommen.
- Verlust der Anonymität
Anonymität bedeutet die Möglichkeit, Transaktionen durchzuführen, ohne den anderen Institutionen die eigene Identität preisgeben zu müssen. Bei Streitigkeiten müssen die Transaktion und die beteiligten Partner rekonstruierbar sein. Die theoretische Möglichkeit, so zu verfahren, wurde nachgewiesen. Diese - aus Sicht des Datenschutzes wesentliche - Grundbedrohung wird oft nicht gesondert aufgeführt, sondern auch unter den "Verlust der Vertraulichkeit" gefaßt.

3.2.2 Datenübertragung

Datenübertragungen von einem Computer zu einem anderen erfolgen in der Regel über Netzwerke und im zunehmenden Maße über das Internet, dem weltweiten Zusammenschluß von vielen Netzwerken.
Insbesondere der Anschluß an das Internet ist mit erheblichen Gefährdungen des Datenschutzes und der Datensicherheit verbunden, denn die Rechner und Übertragungswege dieses weltweiten Computernetzes sind kaum kontrollierbar.

Unsichere und sichere Datenuebertragungswege
Aufgrund der Struktur des Internets ergeben sich zwei wesentliche Ursachen, die die Datenübertragung so unsicher machen:
Das ist zum einen die Tatsache, dass der Weg der Datenpakete oftmals nicht ohne weiteres voraussagbar ist. Die Datenpakete koennen ihren Weg ueber viele Zwischencomputer gehen, welche nicht unbedingt als vertrauenswuerdig anzusehen sind, weil sie die Datenpakete eventuell unbemerkt umleiten oder manipulieren koennen. Absender und Empfaenger eines Datenpaketes muessen diesen Vorgang noch nicht einmal bemerken, wenn der Zwischenhost diesen Vorgang geschickt verschleiert.
Der zweite Grund ist ebenso gravierend und stellt in Kombination mit dem ersten Grund ein grosses Sicherheitsproblem dar: Sofern keine Sicherheitsmassnahmen getroffen werden, ist die Kommunikation offen, so dass die uebertragenen Informationen von jeder Stelle auf dem Uebertragungsweg einsehbar sind.

Der erste Punkt ist kaum zu beeinflussen. Das Problem der offenen Datenuebertragung kann hingehen dadurch eingedaemmt werden, indem die Informationen verschluesselt uebertragen werden. Die Daten bleiben dadurch zunaechst weiterhin lesbar, sind aber durch die Verschluesselung nicht mehr interpretierbar. Zudem kann eine Authentifizierung der Kommunikationspartner angefordert werden, d.h. es wird sichergestellt, dass die Kommunikation wirklich mit der gewuenschten Gegenstelle erfolgt und nicht mit einem Angreifer, der die Identitaet der eigentlichen Gegenstelle nur vortaeuscht.

Es existieren eine Reihe von Verschluesselungs- und Authentifizierungsmechanismen, von denen nur SSL angesprochen werden soll:

SSL: Secure Sockets Layer

SSL ist ein Protokoll, das die Datensicherheit auf einer Schicht zwischen HTTP und TCP/IP gewährleistet. Dieses Sicherheitsprotokoll, genannt SSL (Secure Sockets Layer), ermöglicht Datenverschlüsselung, Echtheitsbestätigung von Servern und Sicherstellen der Nachrichtenintegrität für TCP/IP-Verbindungen. SSL ist der W3C-Arbeitsgruppe für Sicherheit als Standard für die Sicherheit von World Wide Web-Browsern und -Servern im Internet vorgelegt worden.

SSL führt vor dem Aufbau einer TCP/IP-Verbindung eine Sicherheitsüberprüfung ("Handshake") durch. Diese Überprüfung legt die Sicherheitsstufe fest, auf die sich der Client und der Server einigen, und übernimmt die notwendigen Echtheitsbestätigungen für die Verbindung.

Während die Verbindung besteht, übernimmt SSL die Ver- und Entschlüsselung des Datenstroms des verwendeten Protokolls (z.B. HTTP beim WWW-Dienst). Sämtliche Informationen, sowohl die der HTTP-Anfrage als auch die der HTTP-Antwort, werden vollständig verschlüsselt. Dazu gehört auch die URL, die der Client anfordert, die in Formularen übermittelte Informationen (wie etwa die Nummer einer Kreditkarte), die Informationen zur Echtheitsbestätigung des HTTP-Zugriffs (Benutzernamen und Kennwörter) sowie alle Daten, die der Server an den Client überträgt.

(siehe auch : www.w3.org/Security/)

Optimierte Architektur

Für bestimmte Anwendungen kann die Gefahr der Datenintegritaet durch eine optimierte Architektur eingedaemmt werden. Die Konsequenzen aus den Gefahren des Abhörens und der Manipulation lassen sich dadurch minimieren.

Das Konzept der optimierten Architektur lautet folgendermaßen:
Aufgrund des Bewusstseins, dass die oeffentlichen Kommunikationskanaele unsicher sind, werden ueber diese Kanäle kaum sensible Daten verschickt. Ein Kooperationspartner, der mit dem eigentlichen Zielsystem ueber eine sichere nichtoeffentliche Verbindung verbunden ist, empfaengt diese Daten und dient dabei als Vermittler. Der Vermittler filtert unzulässige Anfragen und übersetzt die unkritischen Anfragen, welche keine kritischen Daten enthalten, in konkrete Anfragen mit zu schützendem Inhalt.
Als Beispielszenario soll hier die Benutzung einer Datenbankverbindung dargestellt werden.
Es ist in der Regel notwendig, sich einem Datenbankmanagementsystem gegenueber mittels eines Benutzernamens und eines Passwortes zu authentifizieren. Mit Kenntnis dieser Authentifizierungen ist eine bestimmte Menge von Operationen auf diesem Datenbankmanagementsystem moeglich.
Moeglicherweise soll jedoch diese Menge von Operationen abhaengig von aeusseren Einfluessen zeitweise kleiner sein, also Restriktionen unterliegen, die das Datenbankmanagementsystem selber nicht anbietet (Beispielsweise das Verbot von mehrfachen Zugriff unter einem Benutzernamen zu einer bestimmten Uhrzeit).
Anders gesagt, mit Kenntnis der Authentifizierungen ist ein Anwender nicht an die gewuenschten Restriktionen gebunden und es ist somit der Zugriff auf das Datenbankmanagementsystem moeglich.
Die Konsequenz daraus ist eine Vorgehensweise, bei der einem externen Benutzer durch fehlende Authentifikation keine direkte Datenbankanbindung moeglich gemacht wird. Die Datenbankanbindung wird nur durch ein Mittlersystem gewaehrleistet, welches sich beliebig einrichten laesst, also auch sehr dynamisch Restriktionen einsetzen kann.
Dadurch, dass die Kommunikation mit dem Datenbanksystem stets ueber das Mittlersystem erfolgt, brauchen auf dem unsicheren Kommunikationskanal keine sicherheitskritischen Daten, wie zum Beispiel die Authentifizierungsdaten uebertragen werden. Der Anwender fragt auf dem Mittlersystem ueber einen allgemeinen Befehl eine Datenbankverbindung an ("startConnection()"). Bestehen von seiten des Mittlersystems keine Einwaende gegen diese Datenbankverbindung, so wird ueber den viel kuerzeren, sicheren Kanal die Authentifizierung gegenueber dem Datenbankmanagementsystem abgewickelt ( if (okay) { db_handle=connectDB() } ).
Die Anbindung an das Datenbankmanagementsystem (DBMS) ist somit erfolgt, der externe Anwender hat jedoch nur indirekten Zugriff. Um Operationen auf dem DBMS durchzufuehren, muss weiterhin das Mittlersystem angesprochen werden, welches entscheiden kann, welche Operationen wirklich ausgefuehrt werden sollen. Somit lassen sich durch das Mittlersystem kritische Operationen auf dem DBMS von vornherein abfangen.

Status der Umsetzung

Die optimierte Architektur ist noch nicht umgesetzt
Derzeit nimmt noch das Applet direkt die Verbindung zur Datenbank auf, da kein Serverprogramm existiert

3.3 Die Benutzerverwaltung

3.3.1 Einleitung

Gedanken zur Implementierung - der Bezug zum Projekt

Im Rahmen des Projektes

Wem "gehört" der Raum?
Wer darf den Raum betreten?
Wer darf anderen den Zutritt zu einem Raum gewähren?
Wer darf Änderungen am Aufbau des Raumes vornehmen?

auf Räume innerhalb des Gebäudes
auf Benutzer, also "Inhaber" eines Raumes (o.ä.) oder Besucher eines Raumes

Gruppen von Benutzern

Es ergibt sich also der Wunsch, einen benutzerabhängigen Zugriff auf die Daten zu realisieren.
Informationen sollen nicht von jedem gelesen und geändert werden können.
Das Anwendungssystem soll den Benutzern individuelle Zugriffsrechte auf Informationen zuweisen können.

Die Konsequenz daraus ist die Einführung einer Benutzerverwaltung.

Die Benutzerverwaltung, die im folgenden vorgestellt wird, regelt die Zugriffsrechte im System unter folgenden Aspekten:

Beschränkung des Zutritts zu Räumen
Beschränkung der Änderung des Rauminventars
Weitergabe von Zugriffsrechten unter den Benutzern

Die Umsetzung dieser Benutzerverwaltung realisiert also die Speicherung und Administration der Benutzerdaten und -rechte.

3.3.2 Erweiterung des ER-Modells

Die Benutzerdaten und -rechte verhalten sich sehr dynamisch, d.h. sie können jederzeit von mehreren Seiten geändert werden. Aus diesem Grunde wird die Speicherung dieser Informationen in einer Datenbank vorgenommen.
Zur Planung der Datenbankstruktur wurde ein Entity-Relationship(ER)-Modell entworfen, welches an das bereits vorhandene ER-Modell anknüpft.

In diesem ER-Modell sind drei Entities und drei Relationen zu finden:

Die Entitäten

User	Die Entität User repräsentiert einen Benutzer des Systems. Dem Benutzer werden bestimmte Eigenschaften zugesprochen, wie z.B. ein Name.
Gruppe	Mehrere Benutzer könne in Gruppen organisiert sein. Die Überlegung hierbei ist, daß man einer zusammengehörigen Menge von Benutzern Eigenschaften zusprechen kann, welche ein einzelner Benutzer nicht aufweist. Einer Gruppe wird beispielsweise ein bestimmter Name zugewiesen und erhält das Recht, einen bestimmten Raum zu betreten.
Raum	Benutzer möchten Räume betreten können. Um dieses Recht einzelnen Benutzern oder Benutzergruppen zuweisen zu können, beinhaltet dieses erweiterte ER-Modell die Entität Raum. Diese Entität ist ebenfalls in dem einige Abschnitte zuvor erwähnten "allgemeinen" ER-Modell zu finden. Das ER-Modell der Benutzerverwaltung schließt genau über diese Entität an jenes ER-Modell an.

Die Relationen

User ist_Mitglied (n:m) in Gruppe	Durch die n:m-Relation ist_Mitglied wird festgelegt, welcher User welcher Gruppe zugeordnet ist. Die Kardinalität sagt dabei aus, daß eine Gruppe aus mehreren Benutzern bestehen kann und ein Benutzer Mitglied in mehreren Gruppen sein kann.
User hat_Rechte (n:m) an Raum	Die Relation (User) hat_Rechte legt fest, welche Rechte ein User über einen Raum hat, also welche Zugriffsrechte das System dem User für einen Raum gestattet. Ein User kann Zugriffsrechte auf mehrere Räume besitzen. Gleichermaßen können mehrere User für den gleichen Raum Zugriffsrechte besitzen. Deshalb liegt hier die Kardinalität n:m vor.
Gruppe hat_Rechte (n:m) an Raum	Die Relation (Gruppe) hat_Rechte behandelt analog zur obigen Relation die Zugriffsrechte von einer Gruppe auf einen Raum.

3.3.3 Tabellen

"Entity-Tabellen"
Die Entities User, Gruppe und Raum aus dem ER-Modell werden im physikalischen Modell auf die Tabellen User, Gruppe und Raum abgebildet, jede der drei Entitäten wird durch eine eigene Tabelle repräsentiert.

User

UID int

name char(30)

username char(16)

password char(16)

Gruppe

GID int

name char(30)

Raum
RID int

name char(30)
- Die Spalten UID, GID und RID stellen die Primärschlüssel der jeweiligen Tabelle dar.
- Die Spalten name sind natürlichsprachliche Bezeichnungen der einzelnen Tabellenelemente.
- Die Spalten username und password ermöglichen den benutzerabhängigen Zugriff auf das System, denn diese Felder werden beim Aufruf der Benutzerverwaltung auf korrekte Eingabe überprüft. (Aufgrund der Sicherheitsrelevanz ist die Tabelle User selbstverständlich nur für den System-Administrator einsehbar und editierbar).

"Relationen-Tabellen"

Die Relationen ist_Mitglied, (User) hat_Rechte und (Gruppe) hat_Rechte aus dem ER-Modell werden aufgrund Ihrer Kardinalität (n:m) ebenfalls in Tabellen überführt.
Zur besseren Unterscheidung werden die Tabellen umbenannt in
member, userpermission und grouppermission.

member
UID	int
GID	int

userpermission
UID	int
RID	int
r	enum('0','1')
w	enum('0','1')
x	enum('0','1')

grouppermission
GID	int
RID	int
r	enum('0','1')
w	enum('0','1')
x	enum('0','1')

Die Spaltenpaare UID/GID, UID/RID bzw. GID/RID sind die zusammengesetzten Primärschlüssel der jeweiligen Tabellen und gleichzeitig Referenzen auf die Primärschlüssel der von ihnen verknüpften "Entity"-Tabellen.

Die Spalten r,w und x sind die Attribute, anhand derer die Zugriffsrechte auf die Räume festgelegt wird.
Die Namensvergabe lehnt sich an die Bezeichnungen aus dem UNIX-Bereich an, hier haben die Buchstaben folgende Bedeutung:

r	Hat die Spalte r den Wert '1', dann ist der User bzw. die Gruppe berechtigt, den Raum zu betreten (->Browser-Modus)
w	Hat die Spalte w den Wert '1', dann ist der User bzw. die Gruppe berechtigt, Dinge,die dem Raum zugeordnet sind, zu verändern, also z.B. den Raum neu einzurichten (->Editormodus) oder ihm einen anderen Namen zu geben (->Administrator-Modus).
x	Hat die Spalte x den Wert '1', dann ist der User bzw. die Gruppe berechtigt, Zugriffsrechte an andere Benutzer weiterzugeben, d.h. für diesen Raum die Werte der Spalten r,w oder x auf '1' zu setzen.

3.3.4 Benutzerverwaltung: Benutzung

Damit die Benutzerverwaltung auf eine einfache Weise von den beiden Gruppen "Editor" und "Browser" genutzt werden kann, wurden einige Java-Klassen erstellt. Diese Klassen kapseln die Nutzung der Benutzerverwaltung-spezifischen Klassen und bieten abstrakte, einfacher zu benutzende Konstrukte, so daß nicht direkt auf der Datenbank gearbeitet werden muß.

Es existieren folgende Klassen:

User Die Klasse User stellt Methoden zur Verfügung, die direkt mit einem einzelnen Benutzer zusammenhängen, wie z.B. die Abfrage der Zugriffsrechte dieses Benutzers auf einen bestimmten Raum oder die Ausübung von Zugriffsänderungsoperationen.

Group Die Klasse Group stellt Methoden für Gruppen von Benutzern zur Verfügung, wie z.B. die Abfrage der Zugriffsrechte dieser Gruppe auf einen bestimmten Raum oder die Auflistung der Mitglieder dieser Gruppe.

Access Die Klasse Access bietet eine generelle Sicht auf die Benutzerverwaltung. Sie stellt sozusagen die oberste Zugriffsschicht auf die Benutzerverwaltung dar. Ein Benutzer wird beispielsweise über die Klasse Access am System angemeldet.

Benutzung

Die Vorgehensweise bei der Benutzung der Klassen ist in etwa folgende:

Jedes Programm, welches die Benutzerverwaltung benutzen sollte, also auch Editor und Browser, sollten eine Instanz dieser Klasse erzeugen.
```
Access access=new Access();
```
Die Anmeldung eines Benutzers erfolgt mittels der Methode
```
User user1=access.login(username, passwd)
// (username, passwd sind Strings)
```
(momentan existiert der Benutzer "test" mit dem Passwort "test".)
Die Methode login() gibt ein User-Objekt zurück, mit dem dann gearbeitet werden kann.
Die Methode getAllUserIDs() in der Klasse Access gibt die UIDs aller vorhandenen Benutzer aus.
```
int[] IDs=access.getAllUserIDs();
```
Mittels der UID kann auch das login von statten gehen:
```
User user2=access.login(IDs[0],passwd);
```
Aus Verwaltungsgründen existiert ein besonderer Benutzer: "root".
Er wird gesondert angemeldet und hat mehr Rechte:
```
 User root=access.root_login(root_passwd);
```
War das Login eines Benutzers erfolgreich, dann wird hauptsächlich mit den Methoden aus der Klasse User gearbeitet:
Es existieren die Methoden
```
boolean canEnterRoom(int RID),
boolean canChangeRoom(int RID)
```
und
```
boolean canGivePermissionsOnRoom(int RID)
```
mittels derer die Rechte eines Users auf einen bestimmten Raum abgefragt werden können.

Z.B.:
```
if (user1.canEnterRoom(3)) // 3 ist die logische ID eines bestimmten Raums
// user1 kann den Raum mit der ID 3 betreten
```
Diese Rechte ändern kann nur root oder ein Benutzer, für den
roomowner1.canGivePermissionsOnRoom(RID)==true gilt.

Geändert werden die Rechte folgendermassen:
- Es muss mit dem User-Objekt des Änderers gearbeitet werden.
- Die Rechte werden nach einem Bit-Muster codiert:
- r-Bit: Wenn gesetzt, dann Rechte+=1;
- w-Bit: Wenn gesetzt, dann Rechte+=2;
- x-Bit: Wenn gesetzt, dann Rechte+=4;
- D.h. die Variable Rechte kann einen Wert zw. 0 und 7 annehmen.

- Insgesamt sieht das so aus:
```
roomowner1.changePermissionsOnRoom(RID,user1,Rechte)
```

Für weitere Nutzungsmöglichkeiten kann die javadoc-Dokumentation konsultiert werden.

3.3.5 Benutzerverwaltung: Administrationstool

Bei der Verwendung der Benutzerverwaltung wird auf die zuvor vorgestellten sechs Tabellen zurückgegriffen. Da jedoch nicht nur Dateninhalte ausgelesen, sondern teilweise auch geändert oder neue hinzugefügt werden, muß ein Werkzeug bereitgestellt werden, welches die Verwaltung dieser Daten ermöglicht, dem sogenannten Administrationstool.

Das Administrationstool wird als Applet in einem Appletviewer ausgeführt. Es wird gestartet mit dem Befehl

appletviewer Administrationstool.html

Da das Administrationstool auf zahlreiche zu schützende Daten zugreift, ist eine Identifizierung des Benutzers notwendig. Aus diesem Grund wird beim Start des Tools nach Username und Passwort des Benutzers gefragt.

Das Administrationstool stellt je nach Benutzer mehr oder weniger Funktionaltäten zur Verfügung. Beispielsweise kann nur der Benutzer root die Tabelle User einsehen und auch nur dieser Benutzer kann Änderungen an der Tabelle Gruppe vornehmen.
Um diese Unterscheidungen vornehmen zu können, setzt das Administrationstool die unter 3.3.4 vorgestellten Klassen ein.

Aus einer Auswahlliste kann der Benutzer die zu betrachtende Tabelle auswählen. (Mit dem Administrationstool können die Tabellen User, Group, Member, Userpermission und Grouppermission bearbeitet werden. Die weiter oben angesprochene Tabelle Room wird im Rahmen des Editors angesprochen, deswegen wird auf diese Tabelle nur indirekt zugegriffen).
Mittels der drei Buttons NEW, UPDATE und DELETE können neue Datensätze in eine Tabelle eingefügt werden, einzelne Werte einer Tabellenzeile aktualisiert werden oder ein Datensatz aus einer Tabelle gelöscht werden.

Das Adminstrationstool bietet dem Benutzer eine transparente Sicht auf die Daten der Tabellen und unterstützt ihn bei seinen Aktionen:
In den meisten Tabellen wird nur mit den Indizes der Tabellen User, Gruppe und Raum gearbeitet, der Benutzer kann mit diesen IDs jedoch wenig anfangen. Zu diesem Zweck wird sowohl bei der Auflistung der Tabelleninhalte, als auch beim Neuanlegen, Modifizieren und Löschen von Datensätzen neben den IDs auch immer die Bezeichnung der dazugehörigen Datensätze (ausgelesen aus dem Feld 'name') angezeigt:

Zum Punkt Löschen von Datensätzen ist noch folgendes zu erwähnen:
Löscht man Datensätze aus den Tabellen User oder Group, so kann das Konsequenzen auf die Tabellen Groupmember, Userpermission und Grouppermission haben. Dadurch daß das Datenbanksystem mySQL nicht den Mechanismus der referentiellen Integrität anbietet, weist das Administrationstool selber den Benutzer darauf hin, daß ein Löschen eines Datensatzes Ungereimtheiten in anderen Tabellen hervorrufen würde. Deswegen wird der Benutzer gegebenenfalls darauf hingewiesen.
Sollte der Benutzer beispielsweise einen Datensatz aus der Tabelle User löschen, so können daraus resultierend Datensätze in den Tabellen Groupmember, Userpermission und Grouppermission ungültig werden. Das Administrationstool kündigt deswegen gegebenenfalls in zwei Schritten an, daß auch in diesen Tabellen Datensätze gelöscht werden:

Da die Benutzung des Administrationstools bewußt benutzerfreundlich gestaltet wurde, wird hier auf eine weitere Anleitung verzichtet.

zum Inhaltsverzeichnis

*User*	Die Klasse User stellt Methoden zur Verfügung, die direkt mit einem einzelnen Benutzer zusammenhängen, wie z.B. die Abfrage der Zugriffsrechte dieses Benutzers auf einen bestimmten Raum oder die Ausübung von Zugriffsänderungsoperationen.
*Group*	Die Klasse Group stellt Methoden für Gruppen von Benutzern zur Verfügung, wie z.B. die Abfrage der Zugriffsrechte dieser Gruppe auf einen bestimmten Raum oder die Auflistung der Mitglieder dieser Gruppe.
*Access*	Die Klasse Access bietet eine generelle Sicht auf die Benutzerverwaltung. Sie stellt sozusagen die oberste Zugriffsschicht auf die Benutzerverwaltung dar. Ein Benutzer wird beispielsweise über die Klasse Access am System angemeldet.