Next: Einstellungen an den Clienten
Up: Domänen bei Struktureinheiten
Previous: Integration in einen Domänenbaum
  Contents
Nach der grundlegenden Installation des Serverbetriebssystems wird
dieser Server zum Domaincontroller propagiert. Dabei wird jeweils eine
neue Domäne in einer neuen Gesamtstruktur erstellt. Hierbei gelten die
Hinweise, welche bereits bei der zentralen Domäne gegeben wurden. Es
ist also zu beachten, ob ein DNS-Server mit zu installieren ist und
wie der zugewiesene Namensraum, also der Name der Domäne lautet. Ist
die Domäne grundsätzlich eingerichtet, wird unter "`Active Directory
Standorte und Vertrauensstellungen"' die explizite Vertrauensstellung
mit dem Kerberos-Realm der Universität eingerichtet. Diese sollte
ausgehend sein, also Nutzern des Kerberos-Realms wird vertraut, und
mit dem durch das URZ übermittelte Passwort eingerichtet sein.
Eingehende Vertrauensstellungen würden seitens des Kerberos ignoriert,
da das entsprechende KRBTGT in der Heimdal-Datenbank fehlt, um Tickets
der Windows-Domäne zu validieren. Dieses lautet
"`krbtgt/TU-CHEMNITZ.DE@ windows.domain"'. Dadurch wird verhindert,
dass Nutzer, die nur in einer Windows-Domäne existieren, sich an
URZ-Maschinen authentifizieren können.
Ist die Zusammenarbeit mit Nutzern anderer Windows-Domänen gewünscht,
muss auch zu diesen eine entsprechende Vertrauensstellung in
Rücksprache mit dem dortigen Administrator eingerichtet werden, um
deren Nutzer in der eigenen Domain zu berechtigen oder eigene Nutzer
in der fremden Domain zu befähigen. Auch dies erfolgt im oben
genannten MMC-SnapIn.
Der zweite wesentliche Punkt der Einrichtung einer solchen Subdomäne
ist die Verwaltung der Nutzeraccounts. Diese muss in der Domäne selbst
erfolgen, da im Rahmen der Authentifizierung der Heimdal-KDC direkt an
den Domaincontroller der Windowsdomäne vermittelt, nachdem er den
Nutzer authentifiziert hat. Dort wird dann nach einem Nutzer gesucht,
der in seinen Eigenschaften eine Namenszuordnung zum authentifizierten
Prinzipal hat. Diese Namenszuordnung muss, wie bereits mehrfach
erwähnt, bei der Einrichtung des Nutzers angelegt werden. Wie in der
Arbeit bereits angeführt, gibt es nur zwei Möglichkeiten, adäquate
Nutzer in der Domain anzulegen. Die Eine liegt in der Einrichtung via
des GUIs und der Namenszuordnung in den erweiterten Funktionen. Die
Andere besteht aus der Nutzung eines entsprechenden VBScripts, welches
mittels des Windows Scripting Hosts die Nutzer im Active Directory
anlegt und die entsprechenden Verknüpfungen in den Objekten einfügt.
Beispielhaft wurde ein funktionierendes Skript als Anlage angehängt.
Um allen Anforderungen des täglichen Betriebs gerecht zu werden, ist
sicher noch die eine oder andere Anpassung notwendig, aber eine
grundsätzliche Funktionalität ist gewährleistet. Dabei sollte die
Ausführung des Verfahrens automatisiert eingerichtet werden, um die
Aktualität der Daten in den Domänen zu gewähren, aber auch um den
Administrator einer Subdomäne zu entlasten. Denkbar ist die
Einrichtung entsprechender "`geplanter Tasks"', die das entsprechende
VBScript auf dem Domaincontroller mit den Rechten eines
Domänenadministrators ausfÃ14hren.
Next: Einstellungen an den Clienten
Up: Domänen bei Struktureinheiten
Previous: Integration in einen Domänenbaum
  Contents
Marko Damaschke
2006-03-25