Überblick über Active Directory

© Maksym Yemelyanov,123RF

Geordnet

Linux-Admins sehen sich gelegentlich unvermittelt mit Active Directory konfrontiert, etwa wenn es darum geht, Open-Source-Lösungen mit einem vorhandenen Verzeichnisdienst zu verheiraten. Dieser Artikel erklärt die Grundlagen und stellt neue Funktionen in Active Directory 2008 R2 vor.
Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Angesichts der Allgegenwärtigkeit von Microsoft-Software im Unternehmen gerät schnell in Vergessenheit, dass Windows als Server-Betriebssystem noch in den Neunzigerjahren praktisch keine Rolle spielte. Hier dominierten Novell Netware- und Mainframe-Lösungen, zum Teil auch Unix-Systeme. Zwar besitzt Windows seit der Einführung von NT 4 theoretisch Eigenschaften, die für den Einsatz als Server-Betriebssystem unerlässlich sind (Multiuser-Fähigkeit, Dateisystem NTFS mit ACLs, Benutzerprofilen, Rollen, Berechtigungssteuerung), aber erst Windows 2000 mit dem Verzeichnisdienst Active Directory machte das Turnschuhbetriebssystem unternehmenstauglich. Active Directory basiert wie Novell Directory Services (NDS) nebst Nachfolger eDirectory auf LDAP. Ein Verzeichnisdienst kann die physische Unternehmensstruktur im Intranet abbilden, was enorme Vorteile in der Administration mit sich bringt. Über ihn lassen sich sämtliche Netzwerkresscourcen zentral verwalten und die zentrale Authentifizierung der Benutzer regeln. Dazu führt er sämtliche Netzwerkressourcen in seiner Datenbank, etwa Benutzer, Gruppen, Dienste, Server, Workstations, Freigaben und Geräte [1] .

Stammbaum

Urvater aller Verzeichnisdienste ist LDAP aus dem Jahr 1993. Im Grunde handelt es sich bei LDAP nur um ein Protokoll, das es seinerzeit erlaubte, standardisiert auf eine DAP-Datenbank zugreifen zu können, war also ursprünglich ein Frontend für den X.500-Verzeichnisdienst. Da X.500 als vollständiger OSI-Stack über alle sieben Schichten implementiert ist, ließ sich der X.500-Verzeichnisdienst nicht flächendeckend implementieren. LDAP basiert im Gegensatz zu X.500 auf TCP/IP, das sich im Lauf der Zeit als Standard auch im Intranet etabliert hat.

LDAP fungierte dabei quasi als Proxy, der zwischen X.500 und dem DAP vermittelt. Mit der Zeit hat sich LDAP insoweit verselbständigt, dass es als Fundament aller modernen Verzeichnisdienste zum Einsatz kommt. Gemeinsamer Nenner aller Verzeichnisdienste ist, dass Informationen in einer hierarchischen Struktur abgelegt sind und LDAP als X.500-Abkömmling objektorientierte Datenmodelle benutzt. Somit gelten bei LDAP ähnliche Regeln wie bei der objektorientierten Programmierung mit Objekten und Klassen sowie Mechanismen wie Vererbung und Polymorphie.

Objekte und Relationen

Die zentrale Aufgabe jedes Verzeichnisdienstes besteht im Abbilden der Objekte im LDAP-Verzeichnisbaum und in der Möglichkeit, solche Objekte miteinander in Beziehung zu setzen. Ein Objekt im LDAP-Verzeichnisbaum (DIT: Directory Information Tree) ist ein sogenannter Verzeichniseintrag mit einem eindeutigen Namen (DN) im DIT.

LDAP unterscheidet zwischen den Objekttypen wie Organisational Unit (OU) und Blattobjekten. Erstere dienen dem Aufbau der eigentlichen Baumstruktur und sind Container-Objekte, in denen sich weitere Objekte erzeugen lassen. Blattobjekte dienen zur Verwaltung der eigentlichen Ressourcen im DIT, etwa User ID (UID) oder Common Name (CN). Die Bezeichnungen leiten sich aus vorgegebenen Objektklassen und Schemas ab. Ein Objekt ist eine im DIT zu verwaltende Ressource.

Es gibt unterschiedlichste Typen von Ressourcen, wie Container, Benutzer oder Gruppen mit jeweils speziellen Attributen, welche die Eigenschaften von Objekten beschreiben. Sogenannte Schemas fassen Objektklassen in Gruppen zusammen. LDAP kennt eine Reihe von Standard-Schemas. Zum Einfügen von Objekten in den DIT benutzt man sogenannte LDIF-Dateien, in denen der Admin Objektklassen und Attribute mit ihren Werten für ein zu erstellendes Objekt einträgt. Mit LDIF-Dateien lassen sich viele Objekte auf einmal erstellen. Das Einspielen von LDAP-Dateien in den DIT erfolgt mit »ldapadd« .

Bei einer OpenLDAP-Installation unter Linux kann sich der Admin aus einer Reihe mitgelieferter Standard-Schemas bedienen, etwa zum Verwalten von Benutzern und Gruppen für Posix-Konten, Benutzern und Gruppen für Samba-Konten oder Mail-Aliasen für Postfix. Häufig dient LDAP auch zur Authentifizierung von Benutzern, beispielsweise am IMAP-Server oder für geschützte Bereiche am Webserver. Zusammen mit Kerberos lässt sich auch ein Single-Sign-On realisieren.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023