Next: Alternativen zu Active Directory
Up: Lösungsideen und Alternativen
Previous: Firewall-Aspekte
  Contents
Da das Active Directory in seiner zentralen Schnittstelle auf den
offenen Standard des Lightweight Directory Access Protocols (LDAPv3)
aufbaut, kommt im Zusammenhang der Integration eines solchen als
Dienst schnell die Frage auf, in wie weit das Verzeichnis auch als
Verzeichnisdienst beispielsweise einen OpenLDAP-Server ersetzen kann.
Derzeit existiert ein einzelner PC, der als LDAP-Server für
Recherchezwecke zum Beispiel von E-Mailprogrammen dient.
Das bedeutet, dass ein wesentlicher Aspekt in dieser Hinsicht die
Zugriffssteuerung ist. Standardmäßig kann auf ein Active Directory
eines Windows Server 2003 durch einen kerberos-authentifizierten
Nutzer mit entsprechenden Domainbenutzer-Rechten zugegriffen werden.
Die Berechtigungssteuerung kann über das GUI des MMCs "`ADSIEdit"'
erfolgen, welches erst nach der Installation der Support Tools von
der Install-CD verfügbar ist. Dabei ist zu beachten, dass es eine
Sondergruppe "`Jeder"' gibt, welche alle interaktiv oder über das
Netzwerk angemeldeten Nutzer zusammenfasst. Somit ist zwar jeder
irgendwie authentifizierte Nutzer befähigt, dieser Rolle gerecht zu
werden, aber eben niemand, der über keinen gültigen Account in der
Domäne verfügt. Da die Authentifizierung größtenteils sowieso auf
Kerberos aufsetzt, ergibt sich aus der Rechtevergabe an die Gruppe
"`Jeder"' meist kein Vorteil.
Die im Windowsumfeld wesentlich seltener genutzte Sondergruppe
"`Anonymous-Anmeldung"' erstellt hingegen die Möglichkeit, auch
nichtauthentifizierten Nutzern den Zugriff auf bestimmte Aspekte des
Verzeichnisses zu gewähren. Somit kann etwa ein Mailprogramm aus einem
Nutzerkennzeichen, eine Mailadresse auflösen oder einen vollen Namen
ermitteln. Das ausschließliche Setzen dieser Rechte hat im Windows 2000
noch ausgereicht, um einen entsprechenden Zugriff zu gewähren. Aus
Sicherheitsgründen ist dies im Windows 2003 unterbunden worden und
muss bei Wunsch durch Anpassungen der Registry explizit erlaubt
werden. Einen ausführlichen Hinweis zum sinnvollen Setzen von Rechten,
um Mailprogramme mittels LDAP an das Active Directory zu binden,
findet der Leser unter [Ano04]. Die Anpassungen, die seitens der
Registry notwendig sind, um anonyme Zugriffe grundsetzlich zu
erlauben, finden sich auf [Ano05].
Ein weiterer wesentlicher Hinweis in diesem Zusammenhang, der sich
auch auf oben genannter Webseite findet, ist die Notwendigkeit bei
anonymen Zugriffen auf die globalen Kataloge des GC-Servers
zuzugreifen. Somit ist einerseits nur eine Auswahl der Domaincontroller
in einer Gesamtstruktur für anonyme Zugriffe zu nutzen, andererseits
beim Zugriff dem Clienten ein expliziter Port, nämlich 3268/tcp,
mitzuteilen.
Ein Versuch mit einem Thunderbird (siehe [Thu05])
Mailclienten hat gezeigt, dass eine unkomplizierte Anbindung eines
Active Directorys an dieses Mailprogramm möglich ist, wodurch die
LDAP-Schnittstelle als Adressbuch genutzt werden kann. Im folgenden
Bild sehen Sie die Einstellungen, welche bekannten Einstellungen zu
anderen Programmen entsprechen - es sei nur auch nochmals auf die
Anpassung der Portnummer hingewiesen.
Figure 5.5:
AD als Adressbuch eines Mailprogramms
|
Next: Alternativen zu Active Directory
Up: Lösungsideen und Alternativen
Previous: Firewall-Aspekte
  Contents
Marko Damaschke
2006-03-25