KontaktRufen Sie uns an +49 89 993412-0

Identity Management bei mehreren Standorten

25. Nov 2020 EKA

Wer sich auf einem Computer einloggen oder einen Serverdienst nutzen will, muss sich üblicherweise authentifizieren, im einfachsten Fall mit Benutzername und Passwort. Gehören alle Rechner und Services zur eigenen Firma, empfiehlt es sich, immer die gleichen Anmeldedaten zu verwenden: Der Admin will einen Account nur einmal anlegen oder auch wieder löschen, und der Benutzer will sich maximal ein Passwort merken. Dieser Gedanke führt zu zentralem Identity Management, in vielen Fällen durch LDAP und Active Directory. Doch was, wenn die Verbindung zur Zentrale gestört ist?

Beim Active Directory (AD) handelt es sich um einen Serverdienst, der Objekte wie Benutzer, Gruppen, Dienste und Netzwerkressourcen auf einem Domänencontroller speichert. Der Zugang zu diesen Daten ist über LDAP (Lightweight Directory Access Protocol) möglich. Bei jedem Login auf einem Rechner ruft dieser Informationen zum User aus dem Active Directory ab und prüft das Passwort. Im Kern ist dazu eine LDAP-Verbindung zum AD nötig.

Ist ein Unternehmen über mehrere Standorte verteilt, dann betreibt es üblicherweise auch lokal Server-Dienste, beispielsweise einen Fileserver, der auch ohne Verbindung zur Zentrale funktioniert. Nur dürfen die Anmeldedaten der User nicht fehlen. Hier kommt Replikation im AD ins Spiel: Man betreibt pro Standort mindestens einen Domänencontroller. Die Objekte im Verzeichnisdienst werden auf alle Domänencontroller in der Gesamtstruktur verteilt und alle beteiligten Domänen können sich direkt aktualisieren. Der Prozess, bei dem die Änderungen, die von einem Domänencontroller stammen, automatisch auf andere übertragen werden, nennt sich LDAP-Replikation.

IT-Management: ein Problem der Quantität

Die Verwaltung von Benutzeraccounts und den zugehörigen Zugriffsrechten für unterschiedliche Anwendungen sind beim IT-Management zeit- und kostenaufwendig. Kommt ein neuer Mitarbeiter ins Team oder ändern sich die Zuständigkeiten der Team-Mitglieder, führt das nicht nur zu Mehraufwand, sondern auch zu mehr Komplexität bei der Verwaltung der Benutzer und deren Berechtigungen. Denn je größer das Unternehmen, desto größer ist auch die Wahrscheinlichkeit, dass es in einer stark gewachsenen IT-Infrastruktur zu Fehlern kommt.

Beim Identitätsmanagement (Identity Management) werden die Identitäten in einer einheitlichen Struktur verwaltet. Die Verwaltung selbst muss dabei nicht zentral erfolgen: Dank Replikation sind Änderungen an jedem Domänencontroller möglich, das System verteilt die Änderungen dann an alle Instanzen und sorgt dafür, dass sie konsistent bleiben. Ein an Standort A gelöschter Benutzer darf sich auch an Standort B nicht mehr einloggen.

So funktioniert Identitätsmanagement

Für die Bereitstellung einer zentralen Verwaltung im Domänennetzwerk gibt es im Wesentlichen zwei Lösungen: Samba 4 und Microsoft Active Directory. Beide Modelle können mit Hilfe von LDAP-Replikation die Ausfallsicherheit in IT-Systemen erhöhen. Sie verwenden DNS im Hintergrund, um andere Domänencontroller zu finden. Daher müssen AD-Domänenmitglieder in der Lage sein, die AD-DNS-Zonen aufzulösen.

Die Inhalte des LDAP-Verzeichnisdienstes werden zwischen den Domänencontrollern einer Domäne repliziert und sind dadurch auf mehreren Systemen verfügbar. Sie verwenden USNs (Update Sequence Numbers), um festzustellen, ob die anderen Replikationspartner auf dem neuesten Stand sind. Bei Konflikten, beispielsweise wenn ein Attribut desselben Objekts gleichzeitig auf zwei verteilten DCs bearbeitet wird, wird die letzten Änderung auf alle DCs synchronisiert. Vor der Aktualisierung wird der Status der letzten Änderung bestimmt. Bei diesem Prozess werden Attributversionsnummer und Attributzeitstempel überprüft, sowie die GUIDs (Global Unique Identifier) der Domänencontroller, die den Änderungsvorgang ausgeführt haben.

Identity Management mit CoreBiz

Seit CoreBiz 6.0 ist Samba 4 in den CoreBiz Directory Server integriert und wird mit dem CoreBiz Base-Server ausgeliefert. Im Unterschied zu seinen Vorgängerversionen kann die Software einen AD-kompatiblen Domain Controller betreiben. Da zu den Hauptkomponenten eines Active Directory ein LDAP-Verzeichnisdienst gehört, bringt Samba 4 auch einen solchen Dienst mit. Und mit der CoreBiz Management Console (CMC) ist die Verwaltung über eine einfache Weboberfläche möglich – so dass das sperrig klingende „ausfallsichere Identity Management“ den IT-Alltag sogar vereinfacht.