IT-Symposium 2008 05.06.2008

www.hp-user-society.de 1

science + computing ag

IT-Dienstleistungen und Software für anspruchsvolle RechnernetzeTübingen | München | Berlin | Düsseldorf

IT Symposium 2008 | 5. Juni 2008

Paddeln auf dem StyxLinux-Workstations nativ in das Active Directory einbinden

Michael Weiser <m.weiser@science-computing.de>

© 2008 science + computing ag

Seite 2

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Übersicht

! Ziel: Linux-Workstations an Active Directory anbinden! Aspekte des Leidensdrucks

! Lösungsansätze

! AD-Anbindung mit Kerberos und LDAP! Zusammenspiel der Komponenten

! Eigenschaften und Vorteile

! Vorführung! Umgebung

! Schritte

! Auswertung

! Fragen + Antworten

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 2

© 2008 science + computing ag

Seite 3

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Aspekte des Leidensdrucks

! heterogene Umgebungen

! hohe Kosten! redundante Nutzerverwaltung

! Vielzahl von Authentisierungsverfahren

! mangelnder Komfort! unzählige Passwörter

! ständige Abfrage von Passwörtern

! mangelnde Sicherheit! schwache Passwörter und seltene Änderung

! schwache Authentisierungsverfahren

© 2008 science + computing ag

Seite 4

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Lösungsansätze: Synchronisation

! Konnektoren

! Meta-Directories

! Frontends

! Vorteil:! nur gering invasiv

! Nachteile:! fragil

! hochspezifisch

! kein Gewinn an Sicherheit

! Komplexität nur verlagert oder verschleiert

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 3

© 2008 science + computing ag

Seite 5

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Lösungsansätze: Zentralisierung

! eine zentrale Datenbank

! Vorteile:! Reduzierung der Komplexität

und Redundanz

! Steigerung des Komforts

! Steigerung der Sicherheit

! Nachteil:! invasiv

! Glücklicher Umstand:! Active Directory ist sehr weit verbreitet

! arbeitet mit Kerberos und LDAP

! Kerberos und LDAP sind verbreitete Standards

Windows

UNIX ...

© 2008 science + computing ag

Seite 6

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Übersicht

" Ziel: Linux-Workstations an Active Directory anbinden" Aspekte des Leidensdrucks

" Lösungsansätze

! AD-Anbindung mit Kerberos und LDAP! Zusammenspiel der Komponenten

! Eigenschaften und Vorteile

! Vorführung! Umgebung

! Schritte

! Auswertung

! Fragen + Antworten

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 4

© 2008 science + computing ag

Seite 7

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

AD-Anbindung: Komponenten

! Authentisierung! Wer bin ich?

! Pluggable AuthenticationModules (PAM)

! Bezug von Autorisierungs-informationen! Was darf ich?

! Name Service Switch (NSS)

root:x:0:0:root:/:/bin/t

bin:x:1:1:bin:/bin:/bin/

daemon:x:2:2:Daemon:/sbi

atlas login: root

Password:

Login incorrect

UNIX

NSS

PAM

Verzeichnis

Authentisierungs-

dienst

© 2008 science + computing ag

Seite 8

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

AD-Anbindung: Eigenschaften

! Authentisierungsdienst: Kerberos! Single Sign On

! nur noch ein Passwort

! Passwort nur noch einmal eingeben

! Steigerung von Sicherheit und Komfort

! Vollständige Integration

! Nutzung von Diensten analog zu Windows-Clients

! Verzeichnis: LDAP! Zentrale Nutzerverwaltung

! Speicherung von UNIX-Attributen mittels Schemaerweiterung der SFU oder W2K3R2

! mit Standard-Administrationswerkzeugen pflegbar

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 5

© 2008 science + computing ag

Seite 9

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Übersicht

" Ziel: Linux-Workstations an Active Directory anbinden" Aspekte des Leidensdrucks

" Lösungsansätze

" AD-Anbindung mit Kerberos und LDAP" Zusammenspiel der Komponenten

" Eigenschaften und Vorteile

! Vorführung! Umgebung

! Schritte

! Auswertung

! Fragen + Antworten

© 2008 science + computing ag

Seite 10

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Vorführung: Umgebung

! Testnetz mit VMware

! Active Directory mit Domain Controller dc1

! ein Windows XP Client adxp1

! zwei Debian 4.0 Linux Clients adlx1 und adlx2

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 6

© 2008 science + computing ag

Seite 11

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Vorführung: Schritte

! Ausgangszustand

! Authentisierung:! Kerberos-Client konfigurieren und testen

! PAM für Kerberos-Authentisierung konfigurieren

! Nutzer im AD anlegen

! testen

! Autorisierung:! NSS für LDAP konfigurieren

! Nutzerobjekt im AD mit UNIX-Attributen anreichern

! testen

! Härtung und Optimierung

! Spielwiese

© 2008 science + computing ag

Seite 12

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Übersicht

" Ziel: Linux-Workstations an Active Directory anbinden" Aspekte des Leidensdrucks

" Lösungsansätze

" AD-Anbindung mit Kerberos und LDAP" Zusammenspiel der Komponenten

" Eigenschaften und Vorteile

" Vorführung" Umgebung

" Schritte

! Auswertung

! Fragen + Antworten

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 7

© 2008 science + computing ag

Seite 13

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Auswertung

! Linux-Workstation mit Bordmitteln in AD integriert

! elegante Zentralisierung der Authentisierungs- und Autorisierungsdaten

! Single Sign On! Steigerung von Sicherheit und Komfort

! vollständige Integration

© 2008 science + computing ag

Seite 14

Michael Weiser: Paddeln auf dem Styx - Linux-Workstations nativ in das Active Directory einbinden | 5.6.2008

Übersicht

" Ziel: Linux-Workstations an Active Directory anbinden" Aspekte des Leidensdrucks

" Lösungsansätze

" AD-Anbindung mit Kerberos und LDAP" Zusammenspiel der Komponenten

" Eigenschaften und Vorteile

" Vorführung" Umgebung

" Schritte

" Auswertung

! Fragen + Antworten

IT-Symposium 2008 05.06.2008

www.hp-user-society.de 8

Vielen Dank für Ihre Aufmerksamkeit.

Paddeln auf dem Styx

Michael Weiser <m.weiser@science-computing.de>

science + computing ag www.science-computing.de

Telefon 07071 9457-0 info@science-computing.de