Categories: FirewallSicherheit

Identity Management: Nur ein Account für Windows und Unix

In vielen Fällen geht kein Weg daran vorbei, Windows- und Linux-Server nebeneinander zu betreiben. Das ist dank Virtualisierung heutzutage sogar auf einem einzigen Rechner möglich. Problematisch gestaltet sich allerdings auch heute noch das Identity Management, sprich die Verwendung einer einzigen Benutzerkennung auf allen Betriebssystemen.

Zwar bieten die Betriebssysteme und viele Serveranwendungen LDAP, Kerberos, Radius, NIS und andere Technologien an. Sie sind jedoch grundsätzlich nur dazu geeignet, um selbst Identity-Management-Lösungen aufzusetzen. Eine einfach und schnell zu implementierende Lösung, die es erlaubt, die gleichen Benutzerkonten unter Windows und Linux zu nutzen, ist deswegen noch lange nicht geschaffen.

Gängige Linux-Distributionen bieten beim Setup eine sogenannte Active-Directory-Integration. Doch diese über Winbind geschaffene Integration taugt wenig, wenn es mehrere Unix-Rechner im Firmennetz gibt, denn die UIDs, die einen Unix-Benutzer eindeutig identifizieren, werden nicht koordiniert vergeben. Benutzer mit demselben Namen erhalten jeweils unterschiedliche UIDs.

Kerberos und Radius sind lediglich Authentifizierungsprotokolle. Sie liefern vom Prinzip her nur die Information zurück, ob eine Anmeldung erfolgreich war oder nicht. Eine Benutzerdatenbank ist nicht Teil der Spezifikation. LDAP in seiner ursprünglichen Bedeutung ist ein Abfragestandard für Datenbanken. Eine Datenbank, die per LDAP abgefragt werden kann, hat per se nichts mit Benutzerauthentifizierung zu tun.

Oft verstehen Linux-Nutzer unter LDAP eine OpenLDAP-Datenbank in Verbindung mit einem PAM-Modul. Die zentrale OpenLDAP-Datenbank wird so als Benutzerdatenbank genutzt. Windows-Anwender verwenden LDAP hingegen oft synonym für das Active Directory. Das führt häufig zu der Fehlannahme, dass Windows und Linux allein durch die Nutzung von LDAP und Kerberos mit den gleichen Benutzerkonten verwendet werden können.

Tatsache ist jedoch, dass Windows und Unix unterschiedliche Strukturen für ihre Benutzerkonten verwenden, die nicht so einfach unter einen Hut zu bringen sind. Windows kennt eine Unterscheidung zwischen lokalen, globalen und universalen Gruppen sowie in Abhängigkeit davon eine Gruppe-in-Gruppe-Mitgliedschaft. Unter Unix gibt es dieses Konzept nicht, dafür benötigt es für jeden Benutzer den Parameter „Login-Shell“, was für Windows wiederum nutzlos ist.

Sowohl OpenLDAP als auch Active Directory bieten eine beliebige Erweiterbarkeit ihrer Datenbankstrukturen, so dass es möglich ist, die benötigten Felder für das jeweilige andere System zu implementieren. Das scheitert in der Praxis an mangelnden Verwaltungswerkzeugen und proprietären Eigenheiten des Active Directory, da oftmals neben Kerberos aus historischen Gründen auch NTLM zur Authentifizierung benötigt wird.

Fertige Lösungen, die mit diesen Hürden umgehen können, beispielsweise Novell eDirectory, sind kostenintensiv und lohnen sich nur für sehr große Unternehmen mit mehreren tausend Mitarbeitern. Darüber hinaus gibt es zwei Ansätze, die eine Integration mit Bordmitteln erlauben.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago