Identity Management: Nur ein Account für Windows und Unix

Einfacher geht es, wenn man stattdessen die NIS-Services auf Windows-Domain-Controllern verwendet. In diesem Fall benötigt man nur eine Datenbank, nämlich das Active Directory von Windows.

NIS bietet nicht die Flexibilität, die mit einem OpenLDAP-Server erreicht wird. Für eine Active-Directory-Domäne mit weniger als 1000 Benutzern ist es jedoch eine sehr einfache und komfortable Möglichkeit, eine gemeinsame Benutzerdatenbank von Windows- und Linux-Usern zu schaffen.

Wegen der Möglichkeit von Man-in-the-middle-Angriffen und Offline-Password-Attacken bietet sich NIS nur auf Intranet-Rechnern an. Auf Rechnern, die vom Internet aus zu erreichen sind, muss man den Zugang zu den NIS-Diensten per Firewall sperren.

Die direkte NIS-Integration in das Active Directory ist nur mit Windows Server 2003 R2 und Windows Server 2008 möglich. Ältere Versionen erfordern ein Mapping zwischen den Benutzern des Active Directory und den NIS-Benutzern.

Das Aufsetzen der NIS-Dienste unter Windows ist einfach und ohne großen Konfigurationsaufwand möglich. Es ist in der Regel sinnvoll, die NIS-Dienste auf allen Domain-Controllern zu installieren. So können Unix-Benutzer von jedem Domain-Controller angemeldet werden. Unter Windows Server 2008 installiert man die nötigen Dienste als Unterrolle der „Active Directory Domain Services“, siehe Bild 2.

Gut überlegen muss man sich, ob die "Password Synchronization" verwendet werden soll, siehe Bild 3. Sie ermöglicht das Ändern der Benutzerkennwörter des Active Directory von einem Unix-Rechner aus. Dazu ist auf den betreffenden Unix-Rechnern ein Client zu installieren, den man von Microsoft downloaden kann. Es werden allerdings nur wenige sehr spezifische Unix-Versionen unterstützt. Selbst wenn man einer dieser Versionen verwendet, kann es bei einem Update dazu kommen, dass die Password Synchronization nicht mehr funktioniert.

Daher ist es möglicherweise sinnvoller, allen Benutzern mitzuteilen, dass Passwörter nur auf einem Windows-Rechner geändert werden sollen. Die Änderung gilt dann für Windows- und Unix-Rechner, ohne dass dazu die Password Synchronization installiert sein muss.

Nach der Installation lassen sich die NIS-Dienste konfigurieren. Man findet die Administrationstools im Server Manager oder vom Startmenü aus unter "Administrative Tools – Microsoft Identity Management for UNIX", siehe Bild 4. In der Regel muss nur die Password-Encryption-Methode angepasst werden. Man findet sie mit einem Rechtsklick auf den NIS-Domänennamen, siehe Bild 10.

Die Methode muss für die NIS-Server und alle Unix-Rechner identisch sein. Da der Windows-NIS-Server nur Crypt (DES) und MD5 unterstützt, bietet sich MD5 an. Das auf DES basierende Crypt gilt aufgrund der Verschlüsselungsstärke von nur 56 Bit nicht mehr als sicher. Das von vielen Unix-Varianten unterstützte Blowfish beherrscht Windows nicht. Die Verschlüsselungsmethode muss daher auch auf den Unix-Rechnern auf MD5 gesetzt werden.

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Identity Management: Nur ein Account für Windows und Unix

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *