Categories: FirewallSicherheit

Identity Management: Nur ein Account für Windows und Unix

Als nächstes müssen die Benutzer und Gruppen für NIS konfiguriert werden. Benutzer und Gruppen bekommen im Verwaltungstool einen neuen Reiter "Unix Attributes", siehe Bild 5 und Bild 6. Als NIS-Domain ist jeweils "<none>" eingetragen, so dass die Benutzer und Gruppen für Unix-Rechner zunächst nicht sichtbar sind.

Um einen Benutzer für Unix-Rechner "freizuschalten", muss die NIS-Domain gesetzt werden. Danach ist eine UID zu wählen. In der Regel bietet sich für den ersten Benutzer 10000 an. Konfiguriert man weitere Benutzer, so wählt das Verwaltungstool automatisch fortlaufende Nummern als Voreinstellung.

Die Werte für "Login Shell" und "Home Directory" gelten automatisch für alle Unix-Rechner. Es ist nicht möglich, dass ein Benutzer "/bin/sh" auf Rechner A und "/bin/bash" auf Rechner B bekommt.

Obwohl die Gruppen für das Active Directory identisch mit den Gruppen für NIS sind, müssen die Gruppenmitglieder zweimal eingetragen werden, siehe Bild 5. Der Grund dafür ist, dass es unter Windows möglich ist, dass lokale Gruppen globale Gruppen als Mitglieder enthalten können. Unter Unix können Gruppen nur Benutzerkonten als Mitglieder haben. Das macht die Verwaltung zwar nicht gerade einfacher, ist aber letztendlich aufgrund der anderen Gruppenstruktur von Windows und Unix nicht zu ändern.

Um den Unix-Rechnern mitzuteilen, wie sie die NIS-Server finden, ist es am elegantesten, die NIS-Server in den DHCP-Parametern aller DHCP-Server einzutragen, wie in Bild 7 gezeigt. Das setzt jedoch voraus, dass der DHCP-Client auf den Unix-Rechnern in der Lage ist, NIS-Felder aus DHCP-Paketen korrekt auszuwerten.

Einfache Konfiguration für Linux-Rechner

Die meisten modernen Linux-Distributionen sind mit einem einfachen NIS-Setup ausgestattet. Bild 8 zeigt am Beispiel von YaST, dass es ausreichend ist, "Use NIS" und "Automatic Setup (via DHCP)" anzuklicken. Damit ist der Linux-Rechner vollständig ins Active Directory integriert. Es sollte lediglich mit einem Runlevel-Editor überprüft werden, dass der Dienst ypbind beim Starten automatisch hochfährt, siehe Bild 9.

Steht ein einfaches Setup nicht zur Verfügung, so ist die Konfiguration auf einem Unix-Rechner trotzdem nicht kompliziert. Zunächst ist die Datei /etc/nsswitch.conf zu überprüfen. Für die Einträge passwd, group und shadow sollte das Attribut "compat" oder "files nis" gesetzt sein, beispielsweise:


passwd: compat
shadow: compat
group: compat

Das ist in der Regel schon der Fall und braucht nicht geändert zu werden. In die Datei /etc/yp.conf werden die NIS-Domains und die Server eingetragen. Die Datei sieht zum Beispiel so aus:

domain ch server 192.168.44.1
domain ch server 192.168.44.15
domain ch server 192.168.44.19
domain ch broadcast

Die letzte Zeile „domain ch broadcast“ bedeutet, dass der Unix-Rechner versucht, seine NIS-Server durch ein Broadcast zu finden. Das funktioniert nur, wenn sich mindestens ein NIS-Server der Domain ch im gleichen Subnetz befindet wie der Unix-Rechner.

Unter Linux lässt sich die fertige Installation schnell überprüfen, indem man von der Kommandozeile den Befehl „getent passwd“ eingibt. Dann sollten neben den lokalen Unix-Benutzern auch die Benutzer aus dem Active Directory erscheinen, siehe Bild 11.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

So günstig & effizient war Content Produktion noch nie: Neues Content System erobert deutschen Markt

Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…

5 Tagen ago

Lenovo übertrifft die Erwartungen und hebt Prognose an

KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…

6 Tagen ago

Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…

6 Tagen ago

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Woche ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Woche ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Woche ago