next up previous contents
Next: Aufbau einer zentralen Domäne Up: Fazit Previous: Nutzung von Organisationseinheiten (OUs)   Contents

Lösungsvorschlag zu einer Struktur

Ursächlich durch die beiden Aspekte begründet, dass Heimdal die Zerlegung von TGS-Requests nicht unterstützt und somit ein echter Domänenbaum nur durch Umstellung auf MIT-Kerberos oder aufwendiges hausinternes Patching des Heimdal-KDCs möglich wäre, auf der anderen Seite in einem Baum alle angeschlossenen Domänen sich auf eine einheitliche Schema-Struktur einigen müssten und außerdem nur eine Exchange-Instanz in einem Baum implementierbar ist, würde ich als Autor dieser Arbeit aufbauend auf meinen bisherigen Erfahrungen empfehlen, eine derzeitige Gesamtlösung im Sinne von Einzeldomänen im parallelen Betrieb anzustreben.

Im Ergebnis sollte als Erstes eine Policy zur Einrichtung eines einheitlichen Namensraums diskutiert und erstellt werden. Dies ist meiner Ansicht nach auch unabhängig einer Entscheidung des URZs für oder gegen den Betrieb eines eigenen Active Directorys sinnvoll, um Struktureinheiten der TU Chemnitz die konsequente und eine konsistente Möglichkeit einzuräumen, einen AD-Dienst in eigener Verantwortung einzurichten. Vorschläge zu einer Strukturierung dieses Namensraumes sind bereits mehrfach gefallen und sollen hier nicht noch einmal wiederholt werden. Dabei soll auch nochmal erwähnt werden, dass ausschließlich die Domaincontroller einer Active Directory Domain in diesem Namensraum eingerichtet werden müssen, da sowohl Domain-Clienten als auch Mitgliedsserver einer Domäne dieser angehören können, obwohl deren eigener DNS-Suffix sich von der Domäne unterscheidet.

Auf Grund der Erkenntnisse dieser Arbeit halte ich die Einrichtung einer zentralen AD-Domain für sinnvoll, um eine "`saubere"' Integration von Windows-Diensten in die Struktur des URZs zu gewährleisten. In der Folge entfallen aufwändige Anpassungen an Notwendigkeiten der Kerberos-AFS-Umgebung im URZ auf den Windows Clienten Systemen aber auch beim Betrieb von Anwendungsservern. Die komplette Bereitstellung von Diensten zur Authentifizierung im Windows-Kontext kann durch die Domaincontroller der AD-Domain übernommen und sichergestellt werden. Darüberhinaus ist es dadurch möglich, die Funktion von Gruppenrichtlinien einzusetzen und somit gezieltere Eingriffe in die Betriebssystemkonfiguration von Windows-Systemen vorzunehmen, als es ausschließlich durch Registry- und Kommandozeilen-Werkzeuge möglich ist. Zusätzlich kommt neben der Möglichkeit einer Softwareverwaltung mittels CFEngine hinzu, mittels dieser Gruppenrichtlinien Software auf einer Auswahl oder allen Rechnern der Domäne zu verwalten. So wäre eine Installation oder ein Upgrade/Update der AFS-Clientensoftware durch eine zentrale Richtlinie auf allen Systemen durchzusetzen.
Als weiterer Vorteil ist zu erwähnen, dass die Einrichtung von Organisationseinheiten für Rechner einzelner Struktureinheiten vorstellbar ist, durch welche eine zentrale Administration für die grundlegenden Einstellungen der Rechner und spezielle Anpassungen an Anforderungen der Struktureinheit auch durch versierte Nutzer ermöglicht wird.

Die Domänen, welche in Struktureinheiten der Universität betrieben werden sollen, sollten als eigenständige Gesamtstrukturen angelegt werden, wodurch sich vorteilhaft nicht nur ein eigenes Schema ergibt, welches ausschließlich in der Verantwortung der Struktureinheit liegt, sondern auch eine aufwendige Integration in eine Gesamtstruktur durch Administratoren des Universitätsrechenzentrums überflüssig wird. Nachteilig ist zu erwähnen, dass sich dadurch für den Endanwender mehrere zu pflegende Umgebungen ergeben, aber auch die Absicherung der Verfügbarkeit der Domäne in der Verantwortung der Struktureinheiten liegt. Außerdem ist zu bedenken, dass sich durch die Angliederung der Nutzerverwaltung an die Datenbasis des URZs nicht nur ein einmaliger Aufwand für die Clientensysteme ergibt, sondern auch der kontinuierliche Bedarf der Aktualisierung aus diesem Datenbestand in Verantwortung des Domänenadministrators entsteht.
Beachtet werden sollte in diesem Zusammenhang vor allem die Vermittlung der Vorteile einer solchen Integration beispielsweise bei der Nutzung von anderen Diensten wie dem AFS. Immerhin gebe ich zu bedenken, dass zwar dank des Einsatzes eines zentral bereitgestellten VBScripts und der im AFS abgelegten Datendatei eine Integration auch einer eingeschränkten Nutzerauswahl relativ einfach möglich ist, aber es entspricht nicht der Erfahrung und dem täglichen Umgang eines windowsgewohnten Nutzers. Somit muss bei der Vorteilsvermittlung dem Betrieb einer eigenen Nutzerverwaltung sinnvoll und überzeugend entgegen gehalten werden.

Um eine Domäne einer Struktureinheit anzubinden, muss also seitens des Rechenzentrums nur der Namensraum geschaffen, ein KRBTGT für die Domäne im Heimdal angelegt, dessen Passwort dem Administrator der zukünftigen Domäne verfügbar gemacht und in der zentralen DNS-Konfiguration ein Forward-Eintrag oder die Dienst- und DC-Einträge erstellt werden.
Durch die Erstellung der Vertrauensstellung im Windows-System mit dem Passwort des KRBTGT aus dem Heimdal wird nicht nur eine Anmeldung der Nutzer des URZs grundlegend ermöglicht, sondern auch Dienstanforderungen aus der Domäne an das URZ werden realisierbar, so etwa die automatische Anbindung von Homeverzeichnissen im AFS durch das "`Integrated Logon"' des Windows-AFS-Clienten.
Auch sollte sich über den zentralen Kerberos-Realm eine implizite Vertrauensstellung aller Nutzer mit allen Domänen ergeben. Diese kann durch die Administratoren der einzelnen Domänen mittels der Einrichtung expliziter Vertrauensstellungen untermauert werden. Dies ist bei diesem Konstrukt insofern notwendig, als das innerhalb der Domänen eine Abbildung der Prinzipale auf Nutzeraccounts der Domäne stattfinden, welche in jeder Domäne einzeln geführt werden. Über diese Vertrauensstellungen ist interstrukturelle Zusammenarbeit und der Zugriff auf Ressourcen anderer Struktureinheiten verwaltbar.

Vorteilhaft soll nochmals erwähnt werden, dass durch diesen Aufbau jede Domäne ein eigenes Schemata hat und pflegt und dieses jeweils nur auf die eigenen Bedürfnisse anpassen muss. Somit kann innerhalb der Struktureinheiten frei über die Auswahl der anzubietenden Dienste über diesen Server entschieden und auch die Softwareauswahl frei gestaltet werden. Es bedarf keiner Abstimmung bei Erweiterungen mit anderen Domänen der Gesamtstruktur und es entstehen auch anderen Domänenadmins keine Aufwände durch Wünsche fremder Domänen. Nicht zuletzt wird es ermöglicht, mehrere Instanzen der MS-Collaborations-Software "`Exchange"' entsprechend der Wünsche und Vorstellungen der einzelnen Struktureinheiten zu betreiben.
Ein hier letztgenannter Vorteil ist der Aufbau eines globalen Katalogs für jede Gesamtstruktur, also jede Domain. Dadurch ergibt sich ein überschaubares Wachstum des globalen Katalogs und die Chance auch in der zentralen Domäne, wo mindestens ein globaler Katalog zu führen ist, den Datenbestand, welcher jeweils in den Katalog repliziert wird, zu überwachen. In einer gesamten Baumstruktur hingegen ist es schwerlich zu überblicken, wieviele Daten aus den Verzeichnissen der angegliederten Domänen zu erwarten sind.
Grundsätzlich vorstellbar ist auch eine Baumstruktur, wobei zu jeder Domain ein Heimdal-Cross-Realm-Trust bestehen muss und trotzdem in jeder Domain die Nutzer zu pflegen sind. Dadurch entstehen implizite Vertrauensstellungen innerhalb eines kleinen einheitlichen Namensraumes. Nachteilig entsteht neben dem administrativen Aufwands bei der Integration der neuen Subdomänen auch wieder die Einschränkung auf ein einheitliches Gesamtstrukturschema.


next up previous contents
Next: Aufbau einer zentralen Domäne Up: Fazit Previous: Nutzung von Organisationseinheiten (OUs)   Contents
Marko Damaschke 2006-03-25