Eine Möglichkeit ist die Nutzung von Winbind als Teil von Samba, das Bestandteil fast jeder Linux-Distribution ist. Samba erlaubt, dass sich Benutzer für File- und Print-Sharing nicht gegen den Linux-Server, sondern gegen Windows authentifizieren. Winbind verwendet einen Mechanismus, dass Windows-Benutzerkonten auch als Unix-Benutzerkonten verwendet werden können.
Über ein PAM-Modul können Benutzer gegen einzelne Windows-Server oder auch gegen ein Active-Directory authentifiziert werden. Die Namensauflösung geschieht via NSS. Das funktioniert recht gut, wenn man genau einen Linux-Server hat, denn Winbind weist jedem Benutzer, der sich erstmalig anmeldet, eine UID zu. Die UID ist die eindeutige Kennung eines Benutzer unter Unix.
Loggt sich der Benutzer auf einem zweiten Linux-Rechner ein, so wird ihm auf diesem System eine andere UID zugewiesen. Interagieren die beiden Linux-Rechner, etwa beim NFS-Filesharing, so wissen sie nicht, dass es sich um denselben Benutzer handelt. Im schlimmsten Fall bekommt ein Anwender Zugriff auf die Dateien von jemand anderem, nur weil beiden auf unterschiedlichen Rechnern zufällig die gleiche UID zugewiesen wurde.
Die Linux-Distributionen „verkaufen“ diese Möglichkeit gerne als Active-Directory-Integration, weil als Voraussetzung nur eine Standard-Installation des Active Directory erforderlich ist. Diese Lösung ist allerdings nicht unternehmenstauglich, da sie sicherheitstechnisch nicht zu verantworten ist, wenn mehrere Unix-Rechner im Unternehmensnetzwerk verwendet werden.
Um sicherzustellen, dass die UIDs auf mehreren Linux-Rechnern identisch gehalten werden, kann man einen OpenLDAP-Server aufsetzen, den alle Linux-Rechner zur Namensauflösung verwenden. Ferner muss sichergestellt werden, dass die von Winbind automatisch generierten UIDs im LDAP-Server eingetragen werden. Das hat aber den Nachteil, dass sowohl das Active Directory als auch der OpenLDAP-Server gewartet und administriert werden müssen.
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.