Workshop: Open Source-Tipp

Schlüsselübergabe

In den meisten Unternehmen kommt zur Verwaltung der Benutzer ein Directory-Server zum Einsatz. Der 389DS aus dem Fedora-Projekt ist ein weniger bekannter Vertreter aus der Open Source-Welt. Die letzten Releases haben einige wesentliche Vereinfachungen für das Management der Benutzer-Passwörter mitgebracht.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Der 389DS verwendet als globalen Service-Administrator den Account "cn=Directory-Manager". Er bekommt beim Setup ein Passwort zugewiesen, danach gelten für diesen Account keinerlei Einschränkungen mehr. Meldet man sich mit diesem Konto am Directory-Server an, lassen sich ohne weiteres die Passwörter anderer Benutzer zurücksetzen, neu definieren oder der eingesetzte Verschlüsselungsalgorithmus und andere Eigenschaften eines Passworts ändern. Dummerweise war es lange Zeit so, dass kein anderer Benutzer die soeben aufgeführten Änderungen an Benutzer-Passwörtern durchführen konnte. Dies hatte oftmals zur Folge, dass das Passwort für den Directory-Manager allen Passwort-Administratoren bekannt war und sie somit komplette Kontrolle über den Server hatten.

Mittlerweile bietet der Server eine neue Funktion an, mit der sich eine Gruppe von Passwort-Administratoren definieren lässt, die Änderungen an Benutzer-Passwörtern durchführen dürfen, ohne hierfür die komplette Kontrolle über das gesamte System zu erhalten. Auch das Setzen bereits verschlüsselter Passwörter funktioniert ohne Probleme.

Die Gruppe der Passwort-Administratoren können Sie global für alle Konten des Directory-Servers definieren oder aber nur für einen bestimmten Teilbaum des Servers. Das ist sehr hilfreich, wenn Sie Benutzer beispielsweise in verschiedenen Containern verwalten, die einzelne Abteilungen oder Standorte widerspiegeln. Somit können Sie dann für jeden Container eine eigene Gruppe von Passwort-Administratoren definieren, die nur Zugriff auf Konten des jeweiligen Containers haben. Damit der Zugriff funktioniert, muss die Gruppe natürlich auch über die entsprechenden Rechte für den Container verfügen, in dem sich die Benutzer-Objekte befinden. Der 389DS regelt diesen Zugriff über sogenannte Access Control Instructions (ACIs).

Listing 1: Attribute und Objekte für eine lokale

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite