Categories: FirewallSicherheit

Identity Management: Nur ein Account für Windows und Unix

Eine Möglichkeit ist die Nutzung von Winbind als Teil von Samba, das Bestandteil fast jeder Linux-Distribution ist. Samba erlaubt, dass sich Benutzer für File- und Print-Sharing nicht gegen den Linux-Server, sondern gegen Windows authentifizieren. Winbind verwendet einen Mechanismus, dass Windows-Benutzerkonten auch als Unix-Benutzerkonten verwendet werden können.

Über ein PAM-Modul können Benutzer gegen einzelne Windows-Server oder auch gegen ein Active-Directory authentifiziert werden. Die Namensauflösung geschieht via NSS. Das funktioniert recht gut, wenn man genau einen Linux-Server hat, denn Winbind weist jedem Benutzer, der sich erstmalig anmeldet, eine UID zu. Die UID ist die eindeutige Kennung eines Benutzer unter Unix.

Loggt sich der Benutzer auf einem zweiten Linux-Rechner ein, so wird ihm auf diesem System eine andere UID zugewiesen. Interagieren die beiden Linux-Rechner, etwa beim NFS-Filesharing, so wissen sie nicht, dass es sich um denselben Benutzer handelt. Im schlimmsten Fall bekommt ein Anwender Zugriff auf die Dateien von jemand anderem, nur weil beiden auf unterschiedlichen Rechnern zufällig die gleiche UID zugewiesen wurde.

Die Linux-Distributionen „verkaufen“ diese Möglichkeit gerne als Active-Directory-Integration, weil als Voraussetzung nur eine Standard-Installation des Active Directory erforderlich ist. Diese Lösung ist allerdings nicht unternehmenstauglich, da sie sicherheitstechnisch nicht zu verantworten ist, wenn mehrere Unix-Rechner im Unternehmensnetzwerk verwendet werden.

Um sicherzustellen, dass die UIDs auf mehreren Linux-Rechnern identisch gehalten werden, kann man einen OpenLDAP-Server aufsetzen, den alle Linux-Rechner zur Namensauflösung verwenden. Ferner muss sichergestellt werden, dass die von Winbind automatisch generierten UIDs im LDAP-Server eingetragen werden. Das hat aber den Nachteil, dass sowohl das Active Directory als auch der OpenLDAP-Server gewartet und administriert werden müssen.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

2 Tagen ago

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

5 Tagen ago

Baseus Bowie 30 Max: Erste Bluetooth-Kopfhörer mit Head-Tracking-Spatial-Audio

Neue Over-Headset-Kopfhörer von Baseus bieten Raumklang-Audio und unterdrücken Störgeräusche um rund 96 Prozent.

6 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

6 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

6 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

6 Tagen ago