Identity Management: Nur ein Account für Windows und Unix

Eine Möglichkeit ist die Nutzung von Winbind als Teil von Samba, das Bestandteil fast jeder Linux-Distribution ist. Samba erlaubt, dass sich Benutzer für File- und Print-Sharing nicht gegen den Linux-Server, sondern gegen Windows authentifizieren. Winbind verwendet einen Mechanismus, dass Windows-Benutzerkonten auch als Unix-Benutzerkonten verwendet werden können.

Über ein PAM-Modul können Benutzer gegen einzelne Windows-Server oder auch gegen ein Active-Directory authentifiziert werden. Die Namensauflösung geschieht via NSS. Das funktioniert recht gut, wenn man genau einen Linux-Server hat, denn Winbind weist jedem Benutzer, der sich erstmalig anmeldet, eine UID zu. Die UID ist die eindeutige Kennung eines Benutzer unter Unix.

Loggt sich der Benutzer auf einem zweiten Linux-Rechner ein, so wird ihm auf diesem System eine andere UID zugewiesen. Interagieren die beiden Linux-Rechner, etwa beim NFS-Filesharing, so wissen sie nicht, dass es sich um denselben Benutzer handelt. Im schlimmsten Fall bekommt ein Anwender Zugriff auf die Dateien von jemand anderem, nur weil beiden auf unterschiedlichen Rechnern zufällig die gleiche UID zugewiesen wurde.

Die Linux-Distributionen „verkaufen“ diese Möglichkeit gerne als Active-Directory-Integration, weil als Voraussetzung nur eine Standard-Installation des Active Directory erforderlich ist. Diese Lösung ist allerdings nicht unternehmenstauglich, da sie sicherheitstechnisch nicht zu verantworten ist, wenn mehrere Unix-Rechner im Unternehmensnetzwerk verwendet werden.

Um sicherzustellen, dass die UIDs auf mehreren Linux-Rechnern identisch gehalten werden, kann man einen OpenLDAP-Server aufsetzen, den alle Linux-Rechner zur Namensauflösung verwenden. Ferner muss sichergestellt werden, dass die von Winbind automatisch generierten UIDs im LDAP-Server eingetragen werden. Das hat aber den Nachteil, dass sowohl das Active Directory als auch der OpenLDAP-Server gewartet und administriert werden müssen.