Firmenbrief

21.08.2007

Effizient arbeiten im heterogenen Netz: Active Directory Password Cache


Linux, Unix und Windows nebeneinander - das ist Alltag in den meisten Unternehmen. Die heterogene Struktur der IT-Landschaft erfordert in manchen Bereichen die besondere Aufmerksamkeit bei der Datenintegration und Administration der Linux-Infrastruktur. Viele Unternehmen setzen bereits Active Directory ein. Die Mitarbeiter der LIS AG stehen dann vor der Herausforderung, neue Komponenten in die bestehende Infrastruktur zu integrieren. In einem aktuellen Projekt wurden die Daten aller User in Active Directory gehalten, sollten aber über die Linux-Infrastruktur nutzbar gemacht werden.


Active Directory (AD) dient zur zentralen Verwaltung von Nutzerdaten, wie beispielsweise Namen, Heimatverzeichnissen und natürlich Passwörtern. Viele dieser Daten können über eine Schnittstelle von aussen abgefragt werden, nicht jedoch die im Büroalltag wesentlichen Passwörter. Damit wird die Integration von anderen System, die AD nicht nutzen, unnötig aufwändig und die Handhabung für den Anwender erschwert. Passwörter werden an verschiedenen Stellen gepflegt, ein Single-Sign-On ist nicht möglich. Wünschenswert wäre es jedoch, dass die Anwender sich auch unabhängig vom AD mit ihrem gewohnten Passwot authentifizieren können, um ihre EDV zu nutzen. Eine Möglichkeit ist, über eine installierte Library den AD-Server zu manipulieren und die Klartextpasswörter bei jeder Änderung abzugreifen. Falls diese Manipulation nicht erwünscht oder möglich ist, gibt es eine interessante Alternative: Im CoreBiz Directory direkt integriert ist das "Active Directory Password Cache" Overlay.



Mittels "Active Directory Password Cache" Overlay werden die Berechtigungsnachweise (bzw. Credentials) von Benutzerkonten gespiegelt, die im Active Directory verwaltet werden. Hierzu werden die Benutzerkonten aus dem AD-Server unverändert in einem OpenLDAP Verzeichnis gespiegelt. Voraussetzung für das Funktionieren des Passwort-Cache ist, dass die Benutzer wenigstens gelegentlich Simple-Bind-Authentifizierung gegen den OpenLDAP Server durchführen.

Wenn das Credential noch nicht im OpenLDAP gespeichert ist, versucht das Overlay mit dem Login (der zusammen mit den übrigen Informationen des Benutzerkontos aus dem AD gespiegelt wurde) und dem Passwort des Benutzers ein Kerberos-Init gegen den Active Directory Server durchzuführen. Ein erfolgreiches Kerberos-Init garantiert, dass das Passwort für den Kerberos Principal beim Active Directory gültig ist. Damit wird das Simple-Bind schliesslich doch erfolgreich abgeschlossen.

Gleichzeitig wird das Passwort mit dem beim OpenLDAP voreingestellten Hash-Algorithmus verschlüsselt und als User-Passwort im OpenLDAP gespeichert. Wahlweise kann aber auch das SambaNT-Passwort aktualisiert werden. Bei allen folgenden Simple-Bind Authentifizierungen wird dann zunächst auf das gespeicherte User-Password zugegriffen.

Wenn der Benutzer sein Passwort im Active Directory ändert, bleibt das im OpenLDAP gespeicherte Passwort so lange gültig, bis der Benutzer sein neues AD-Passwort einmal für ein Simple-Bind benutzt. Dann wird mit diesem neuen Passwort wieder ein Kerberos-Init gegen den AD-Server durchgeführt und die Credentials im OpenLDAP werden aktualisiert.

Ist der Overlay installiert, muß der Nutzer sich nur einmal mit seinem richtigen Passwort einloggen. Von CoreBiz Directory werden die Daten direkt mit AD abgestimmt. Hat der Nutzer sich nicht vertippt, werden die Daten gleichzeitig im CoreBiz Directory gesichert. Künftig sind keine weiteren Abfragen nötig und die Passwörter der Anwender werden auch in der heterogenen Umgebung mit AD zentral genutzt.

Mehr zu unseren Produkten aus der CoreBiz-Reihe lesen Sie auch auf unserer Homepage unter http://www.linux-ag.com/index.php?page=produkte