Workshop: Open Source-Tipp

Schlüsselübergabe

In den meisten Unternehmen kommt zur Verwaltung der Benutzer ein Directory-Server zum Einsatz. Der 389DS aus dem Fedora-Projekt ist ein weniger bekannter Vertreter aus der Open Source-Welt. Die letzten Releases haben einige wesentliche Vereinfachungen für das Management der Benutzer-Passwörter mitgebracht.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Der 389DS verwendet als globalen Service-Administrator den Account "cn=Directory-Manager". Er bekommt beim Setup ein Passwort zugewiesen, danach gelten für diesen Account keinerlei Einschränkungen mehr. Meldet man sich mit diesem Konto am Directory-Server an, lassen sich ohne weiteres die Passwörter anderer Benutzer zurücksetzen, neu definieren oder der eingesetzte Verschlüsselungsalgorithmus und andere Eigenschaften eines Passworts ändern. Dummerweise war es lange Zeit so, dass kein anderer Benutzer die soeben aufgeführten Änderungen an Benutzer-Passwörtern durchführen konnte. Dies hatte oftmals zur Folge, dass das Passwort für den Directory-Manager allen Passwort-Administratoren bekannt war und sie somit komplette Kontrolle über den Server hatten.

Mittlerweile bietet der Server eine neue Funktion an, mit der sich eine Gruppe von Passwort-Administratoren definieren lässt, die Änderungen an Benutzer-Passwörtern durchführen dürfen, ohne hierfür die komplette Kontrolle über das gesamte System zu erhalten. Auch das Setzen bereits verschlüsselter Passwörter funktioniert ohne Probleme.

Die Gruppe der Passwort-Administratoren können Sie global für alle Konten des Directory-Servers definieren oder aber nur für einen bestimmten Teilbaum des Servers. Das ist sehr hilfreich, wenn Sie Benutzer beispielsweise in verschiedenen Containern verwalten, die einzelne Abteilungen oder Standorte widerspiegeln. Somit können Sie dann für jeden Container eine eigene Gruppe von Passwort-Administratoren definieren, die nur Zugriff auf Konten des jeweiligen Containers haben. Damit der Zugriff funktioniert, muss die Gruppe natürlich auch über die entsprechenden Rechte für den Container verfügen, in dem sich die Benutzer-Objekte befinden. Der 389DS regelt diesen Zugriff über sogenannte Access Control Instructions (ACIs).

Listing 1: Attribute und Objekte für eine lokale

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite