AD als LDAP-Ersatz

Da das Active Directory in seiner zentralen Schnittstelle auf den offenen Standard des Lightweight Directory Access Protocols (LDAPv3) aufbaut, kommt im Zusammenhang der Integration eines solchen als Dienst schnell die Frage auf, in wie weit das Verzeichnis auch als Verzeichnisdienst beispielsweise einen OpenLDAP-Server ersetzen kann. Derzeit existiert ein einzelner PC, der als LDAP-Server für Recherchezwecke zum Beispiel von E-Mailprogrammen dient.
Das bedeutet, dass ein wesentlicher Aspekt in dieser Hinsicht die Zugriffssteuerung ist. Standardmäßig kann auf ein Active Directory eines Windows Server 2003 durch einen kerberos-authentifizierten Nutzer mit entsprechenden Domainbenutzer-Rechten zugegriffen werden. Die Berechtigungssteuerung kann über das GUI des MMCs "`ADSIEdit"' erfolgen, welches erst nach der Installation der Support Tools von der Install-CD verfügbar ist. Dabei ist zu beachten, dass es eine Sondergruppe "`Jeder"' gibt, welche alle interaktiv oder über das Netzwerk angemeldeten Nutzer zusammenfasst. Somit ist zwar jeder irgendwie authentifizierte Nutzer befähigt, dieser Rolle gerecht zu werden, aber eben niemand, der über keinen gültigen Account in der Domäne verfügt. Da die Authentifizierung größtenteils sowieso auf Kerberos aufsetzt, ergibt sich aus der Rechtevergabe an die Gruppe "`Jeder"' meist kein Vorteil.
Die im Windowsumfeld wesentlich seltener genutzte Sondergruppe "`Anonymous-Anmeldung"' erstellt hingegen die Möglichkeit, auch nichtauthentifizierten Nutzern den Zugriff auf bestimmte Aspekte des Verzeichnisses zu gewähren. Somit kann etwa ein Mailprogramm aus einem Nutzerkennzeichen, eine Mailadresse auflösen oder einen vollen Namen ermitteln. Das ausschließliche Setzen dieser Rechte hat im Windows 2000 noch ausgereicht, um einen entsprechenden Zugriff zu gewähren. Aus Sicherheitsgründen ist dies im Windows 2003 unterbunden worden und muss bei Wunsch durch Anpassungen der Registry explizit erlaubt werden. Einen ausführlichen Hinweis zum sinnvollen Setzen von Rechten, um Mailprogramme mittels LDAP an das Active Directory zu binden, findet der Leser unter [Ano04]. Die Anpassungen, die seitens der Registry notwendig sind, um anonyme Zugriffe grundsetzlich zu erlauben, finden sich auf [Ano05].
Ein weiterer wesentlicher Hinweis in diesem Zusammenhang, der sich auch auf oben genannter Webseite findet, ist die Notwendigkeit bei anonymen Zugriffen auf die globalen Kataloge des GC-Servers zuzugreifen. Somit ist einerseits nur eine Auswahl der Domaincontroller in einer Gesamtstruktur für anonyme Zugriffe zu nutzen, andererseits beim Zugriff dem Clienten ein expliziter Port, nämlich 3268/tcp, mitzuteilen.
Ein Versuch mit einem Thunderbird (siehe [Thu05]) Mailclienten hat gezeigt, dass eine unkomplizierte Anbindung eines Active Directorys an dieses Mailprogramm möglich ist, wodurch die LDAP-Schnittstelle als Adressbuch genutzt werden kann. Im folgenden Bild sehen Sie die Einstellungen, welche bekannten Einstellungen zu anderen Programmen entsprechen - es sei nur auch nochmals auf die Anpassung der Portnummer hingewiesen.

Figure 5.5: AD als Adressbuch eines Mailprogramms