next up previous contents
Next: PADL/XAD Up: Lösungsideen und Alternativen Previous: AD als LDAP-Ersatz   Contents

Alternativen zu Active Directory

Grundsätzlich stellt Active Directory einen Verzeichnisdienst nach X.500-Standard mit einer laut Microsoft standardkonformen LDAP-Schnittstelle dar. Somit bietet der Dienst einerseits die Möglichkeit, Systeme anzubinden, die einen LDAP-konformen Verzeichnisdienst erwarten, andererseits ist AD nicht der einzige Vertreter solcher. Somit stellt sich relativ schnell die Frage, ob Active Directory alternativenlos dasteht.
Kurz um läßt sich vorab zusammenfassen, dass Active Directory wegen seiner starken Integration in das Windows Betriebssystem und der Vielfalt seiner zur Sicherung der Abwärtskompatibilität bereitgestellten Schnittstellen schon ein paar Alleinstellungsmerkmale aufweist, die ein Konkurrenzprodukt nur schwerlich kompensieren kann.

Alternativen sollten alle Dienste ersetzen, die hier im Zusammenhang mit Active Directory genannt wurden, also einen Verzeichnisdienst mindestens mit LDAP-Schnittstelle bereitstellen, Authentifizierung auf Kerberos-Basis, möglichst auch per NTLM, ermöglichen, eine entsprechend konfigurierte DNS-Umgebung und soweit gewünscht, was in den meisten Anwendungsfällen so sein wird, einen Datei- und/oder Druckserver bereitstellen. Alle diese Dienste gibt es natürlich auch als freie Entwicklungen oder auch von anderen Herstellern. Allerdings erwartet ein Windowsclient diese in einer ziemlich "`kompakten"' Umgebung.
Wie bereits angesprochen, kann die DNS-Umgebung auch durch den Einsatz MS-fremder Server sogar mit statischem DNS geschaffen werden, wodurch dies im Rahmen der Alternativenbetrachtung außen vor bleibt. Die Kerberos-Authentifizierung kann, wie ebenfalls aufgezeigt, durch beispielsweise MIT- oder Heimdal-Kerberos ersetzt werden. Bei entsprechender DNS-Konfiguration wird ein AD-Client diesen externen Kerberos-Server auch ausfindig machen und nativ nutzen. Ungeklärt bleibt im Rahmen dieser Arbeit die Integration verschiedener AD-Dienste in eine solche Umgebung, welche mit der automatischen beziehungsweise internen Vergabe von Prinzipal-Passworten einhergeht. Schwieriger wird bereits die Bereitstellung einer stets mit Kerberos korrellierenden NTLM-Authentifizierung. Einen entsprechenden Ansatz bietet Samba, welches primär auch als Datei- und Druckserver für Windows-Clienten gedacht ist. Einen Verzeichnisdienst auf LDAP-Basis können mehrere Implementierungen bereitstellen, zum Beispiel auch OpenLDAP.
Es gibt allerdings zwei Entwicklungen, die näherungsweise sich dem Ziel verschrieben haben, eine Unix/Linux-Umgebung für Windows-Clienten nutzbar zu machen, auf die hier kurz eingegangen werden soll.


Subsections
next up previous contents
Next: PADL/XAD Up: Lösungsideen und Alternativen Previous: AD als LDAP-Ersatz   Contents
Marko Damaschke 2006-03-25