Sicher verstaut - Deduplizierung spart Platz, Cloud-Backup für Windows, Areca sichert kostenlos. ADMIN 01/14 stellt Backups für Profis mit und ohne Cloud ... (mehr)

Komponenten eines Verzeichnisdienstes

Während LDAP für alle möglichen Zwecke zum Einsatz kommen kann, haben Microsofts Active Directory und Novells eDirectory einen klar umrissenen Zweck. Active Directory erlaubt es beispielsweise, die gesamte Unternehmensstruktur, seine Hierarchie und die räumliche Verteilung im Netzwerk abzubilden, wozu zum Beispiel Benutzer, Gruppen, Computer, Dienste, Server, Freigaben, Drucker oder Scanner samt deren Eigenschaften in Form von LDAP-Objekten in einer sogenannten Domäne erfasst werden.

Die Domäne ist die zentrale organisatorische Verwaltungseinheit in Windows-Netzen und nicht identisch mit einer DNS-Domain. Dabei kommt dem sogenannten Domain Controller (DC) die Rolle der zentralen Authentifizierung und Autorisierung von Benutzern, Gruppen und Computern im Netz zu. Der Domain-Controller ist in der Regel auf einem dedizierten Server beheimatet und hält die gesamte Verzeichnishierarchie des AD vor.

Die grundlegenden Strukturmerkmale von LDAP finden sich in allen heute relevanten LDAP-Implementationen der führenden IT-Hersteller wie Microsofts Active Directory, Novells eDirectory (einschließlich des Vorgängers Novell Directory Services), IBMs Tivoli Directory Server, Apples Open Directory oder dem 389 Directory Server, den zum Beispiel Red Hat unterstützt (siehe Kasten "389"). Darüber hinaus erlauben moderne Verzeichnisdienste einschließlich LDAP das Replizieren der Daten zwischen mehreren Verzeichnissen und bieten ein zentrales Identity-Management, das häufig mithilfe von Kerberos realisiert ist. Auch bei Active Directory ist Kerberos neben DNS und LDAP eine der drei zentralen Komponenten des Verzeichnisdienstes und unter anderem in der Lage, den Clients einer Domäne einen zentralen Single-Sign-On-Service zur Verfügung zu stellen.

Was OpenLDAP nicht kann

Zwar lässt sich auch im Linux-Umfeld eine mit Active Directory vergleichbare Funktionalität zur zentralen Netzwerkverwaltung und für das Identity-Management realisieren, allerdings müssen Hersteller oder System-Integratoren dazu OpenLDAP, Kerberos [1][2], DNS, NTP und/oder NIS zu einem harmonischen Ganzen verschmelzen, was alles andere als trivial ist. Die Bremer Univention GmbH beispielsweise gehört mit ihrem Univention Corporate Server zu den Vorreitern auf diesem Gebiet. Der UCS ist einer der wenigen auf Linux basierenden Server-Plattformen, die Out-of-the-Box ein durchgehend implementiertes Identity-Management bieten (siehe [3]).

Ein OpenLDAP-Server kann zwar Account-Informationen speichern, aber da die eigentliche Authentifizierung ein zusätzlicher Dienst wie Kerberos übernimmt, muss der System-Integrator oder Administrator zwei Systeme installieren und administrieren. Fertigprodukte wie ein Univention Corporate Server verstecken solche Vorgänge hinter einer einfachen Administrations-Oberfläche.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020