Identity Management: Nur ein Account für Windows und Unix

In vielen Fällen geht kein Weg daran vorbei, Windows- und Linux-Server nebeneinander zu betreiben. Das ist dank Virtualisierung heutzutage sogar auf einem einzigen Rechner möglich. Problematisch gestaltet sich allerdings auch heute noch das Identity Management, sprich die Verwendung einer einzigen Benutzerkennung auf allen Betriebssystemen.

Zwar bieten die Betriebssysteme und viele Serveranwendungen LDAP, Kerberos, Radius, NIS und andere Technologien an. Sie sind jedoch grundsätzlich nur dazu geeignet, um selbst Identity-Management-Lösungen aufzusetzen. Eine einfach und schnell zu implementierende Lösung, die es erlaubt, die gleichen Benutzerkonten unter Windows und Linux zu nutzen, ist deswegen noch lange nicht geschaffen.

Gängige Linux-Distributionen bieten beim Setup eine sogenannte Active-Directory-Integration. Doch diese über Winbind geschaffene Integration taugt wenig, wenn es mehrere Unix-Rechner im Firmennetz gibt, denn die UIDs, die einen Unix-Benutzer eindeutig identifizieren, werden nicht koordiniert vergeben. Benutzer mit demselben Namen erhalten jeweils unterschiedliche UIDs.

Kerberos und Radius sind lediglich Authentifizierungsprotokolle. Sie liefern vom Prinzip her nur die Information zurück, ob eine Anmeldung erfolgreich war oder nicht. Eine Benutzerdatenbank ist nicht Teil der Spezifikation. LDAP in seiner ursprünglichen Bedeutung ist ein Abfragestandard für Datenbanken. Eine Datenbank, die per LDAP abgefragt werden kann, hat per se nichts mit Benutzerauthentifizierung zu tun.

Oft verstehen Linux-Nutzer unter LDAP eine OpenLDAP-Datenbank in Verbindung mit einem PAM-Modul. Die zentrale OpenLDAP-Datenbank wird so als Benutzerdatenbank genutzt. Windows-Anwender verwenden LDAP hingegen oft synonym für das Active Directory. Das führt häufig zu der Fehlannahme, dass Windows und Linux allein durch die Nutzung von LDAP und Kerberos mit den gleichen Benutzerkonten verwendet werden können.

Tatsache ist jedoch, dass Windows und Unix unterschiedliche Strukturen für ihre Benutzerkonten verwenden, die nicht so einfach unter einen Hut zu bringen sind. Windows kennt eine Unterscheidung zwischen lokalen, globalen und universalen Gruppen sowie in Abhängigkeit davon eine Gruppe-in-Gruppe-Mitgliedschaft. Unter Unix gibt es dieses Konzept nicht, dafür benötigt es für jeden Benutzer den Parameter „Login-Shell“, was für Windows wiederum nutzlos ist.

Sowohl OpenLDAP als auch Active Directory bieten eine beliebige Erweiterbarkeit ihrer Datenbankstrukturen, so dass es möglich ist, die benötigten Felder für das jeweilige andere System zu implementieren. Das scheitert in der Praxis an mangelnden Verwaltungswerkzeugen und proprietären Eigenheiten des Active Directory, da oftmals neben Kerberos aus historischen Gründen auch NTLM zur Authentifizierung benötigt wird.

Fertige Lösungen, die mit diesen Hürden umgehen können, beispielsweise Novell eDirectory, sind kostenintensiv und lohnen sich nur für sehr große Unternehmen mit mehreren tausend Mitarbeitern. Darüber hinaus gibt es zwei Ansätze, die eine Integration mit Bordmitteln erlauben.