Um im Unternehmen einheitliche Benutzerkonten für Windows und Linux verwenden zu können, ist eine Lösung, die eine Kombination von Kerberos und LDAP verwendet, technisch sauber und sicherheitstechnisch verantwortbar. Vorgefertigte Lösungen mit Administrationstools, etwa Novell eDirectory, sind jedoch mit hohen Kosten verbunden.
Eine Lösung mit Windbind und OpenLDAP lässt sich hingegen selbst implementieren, ist aber nicht ganz trivial. Zudem entsteht immer die Notwendigkeit, zwei Benutzerdatenbanken zu administrieren und sie bei Synchronisationsproblemen gegebenenfalls auch zu reparieren. Erhöhter Betreuungsaufwand im laufenden Betrieb ist somit vorprogrammiert.
Eine einfache Alternative bietet das Identity-Management for Unix, das mit jedem Microsoft-Server seit Windows Server 2003 R2 vollständig ins Active Directory integriert werden kann. Dass Microsoft auf der Protokollebene NIS verwendet, muss allerdings als Einschränkung bezeichnet werden. So lassen sich Multi-Domänen-Konzepte nur schwer realisieren.
Darüber hinaus gibt es sicherheitstechnische Probleme, die gelöst werden müssen. NIS erlaubt grundsätzlich jedermann, die Benutzerdatenbanken auszulesen. Die Passwörter sind zwar verschlüsselt und mit Salt gegen Dictionary-Attacken und Rainbow-Tables gesichert, jedoch ist ein Offline-Angriff grundsätzlich möglich. Auch Man-in-the-middle-Attacken sind zu realisieren.
Damit diese einfach zu verwaltende Lösung gegen Angriffe gesichert wird, sollte man in einer nicht vertrauenswürdigen Umgebung umfangreiche Firewall-Regeln implementieren. Dazu müssen alle beteiligten Windows-Domänen-Controller und Linux-Rechner eine feste IP-Adresse erhalten. Zugriff auf die NIS- und RPC-Ports darf nur den beteiligten Rechnern erlaubt werden. Dies schützt, wenn sich normale Benutzer nicht interaktiv auf den Servern einloggen können.
Besser wäre es gewesen, wenn Microsoft statt NIS ein LDAP-Interface geschaffen hätte. Es bleibt zu hoffen, dass dies ganz oben auf der Liste für zukünftige Verbesserungen steht. So könnte Microsoft zeigen, dass man es mit der besseren Zusammenarbeit mit Unix-Rechnern ernst meint.
Neueste Kommentare
Noch keine Kommentare zu Identity Management: Nur ein Account für Windows und Unix
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.