Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
kb [2016/03/29 07:01] flacco [Active Directory auf invis-Server] |
kb [2016/03/29 07:41] flacco [Active Directory und Firewall] |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| "Active Directory" ist eine von Microsoft entwickelte Kombination aus Kerberos, LDAP-Verzeichnis und Domain-Name-Service. Dabei dient Kerberos der Benutzer-Authentifizierung und ermöglicht sogenanntes "Single-Sign-On", das LDAP-Verzeichnis dient als zentraler Informationsspeicher und DNS wird für eine Technik namens "Service Location" genutzt. Eingeführt wurde "Active Directory" mit Einführung des "Microsoft Servers 2000". | "Active Directory" ist eine von Microsoft entwickelte Kombination aus Kerberos, LDAP-Verzeichnis und Domain-Name-Service. Dabei dient Kerberos der Benutzer-Authentifizierung und ermöglicht sogenanntes "Single-Sign-On", das LDAP-Verzeichnis dient als zentraler Informationsspeicher und DNS wird für eine Technik namens "Service Location" genutzt. Eingeführt wurde "Active Directory" mit Einführung des "Microsoft Servers 2000". | ||
| - | Single-Sign-On (SSO) ermöglicht, dass nur eine Anmeldung am System auch als Autorisierung für alle im Netzwerk angebotenen Dienste gilt. D.h. es genügt beispielsweise sich am eigenen PC mit Benutzernamen und Passwort anzumelden um danach ohne weitere Angabe von Benutzernamen oder Passwort auch Zugriff auf Dienste wie beispielsweise einen Exchange-Server zu erhalten. | + | Single-Sign-On (SSO) ermöglicht, dass nur eine Anmeldung am System auch als Autorisierung für alle im Netzwerk angebotenen Dienste gilt. D.h. es genügt beispielsweise sich am eigenen PC mit Benutzernamen und Passwort anzumelden um danach ohne weitere Angabe von Benutzernamen oder Passwort auch Zugriff auf Dienste wie beispielsweise einen Exchange-Server zu erhalten.{{ :active-directory_ms.png?300|}} |
| Kerberos seinerseits verwaltet keinerlei eigenen Datenbestand. Die Daten auf die Kerberos zurückgreift werden in einem sogenannten LDAP-Verzeichnis abgelegt. Das LDAP-Verzeichnis stellt somit den zentralen Informationsspeicher des Active Directories dar. LDAP (Lightweight Directory Access Protocol) steht dabei sowohl für das Netzwerkprotokoll über welches auf die Informationen im Verzeichnis zugegriffen wird, als auch den Informationsspeicher selbst. Der Datenspeicher arbeitet "objektorientiert" und somit gänzlich anders als eine relationale Datenbank. Der objektorientierte Ansatz ermöglicht es Netzwerk- oder Organisationsstrukturen eins zu ein im Datenspeicher abzubilden. | Kerberos seinerseits verwaltet keinerlei eigenen Datenbestand. Die Daten auf die Kerberos zurückgreift werden in einem sogenannten LDAP-Verzeichnis abgelegt. Das LDAP-Verzeichnis stellt somit den zentralen Informationsspeicher des Active Directories dar. LDAP (Lightweight Directory Access Protocol) steht dabei sowohl für das Netzwerkprotokoll über welches auf die Informationen im Verzeichnis zugegriffen wird, als auch den Informationsspeicher selbst. Der Datenspeicher arbeitet "objektorientiert" und somit gänzlich anders als eine relationale Datenbank. Der objektorientierte Ansatz ermöglicht es Netzwerk- oder Organisationsstrukturen eins zu ein im Datenspeicher abzubilden. | ||
| Zeile 24: | Zeile 24: | ||
| Mit Einführung von Samba 4.0 brachte Samba eine eigene Implementation von Microsofts Active Directory mit. Dies ermöglichte uns den Umstieg von openLDAP auf Active Directory. | Mit Einführung von Samba 4.0 brachte Samba eine eigene Implementation von Microsofts Active Directory mit. Dies ermöglichte uns den Umstieg von openLDAP auf Active Directory. | ||
| + | |||
| + | ... to be continued. | ||
| + | |||
| + | ==== Active Directory und Firewall ==== | ||
| + | |||
| + | Die vielen an AD beteiligten Netzwerkprotokolle erfordern ein besonderes Augenmerk auf eine zwischen geschaltete Firewall. invis-Server nutzen beispielsweise immer die "SuSEfirewall2" auch zwischen dem Server selbst und dem lokalen Netzwerk (interne Zone). | ||
| + | |||
| + | Die folgende Tabelle gibt einen Überblick über die beteiligten Protokolle und zugehörigen Ports: | ||
| + | |||
| + | ^Protokoll ^Transportprotokoll ^Port ^Bemerkung ^ | ||
| + | |Kerberos | TCP & UDP | 88 | | | ||
| + | |LDAP | TCP & UDP | 389 | | | ||
| + | |LDAPs | TCP | 636 | | | ||
| + | |DNS | TCP & UDP | 53 | | | ||
| + | |GC | TCP | 3268 | Global Catalog | | ||
| + | |SMB/CIFS | TCP & UDP | 445 | Zugriff auf sysvol Freigabe | | ||
| + | |RPC | TCP | 135 |Früheres Microsoft Messaging Protokoll, wird genutzt für die Replikation der sysvol Freigabe. Dies wird von Samba noch nicht unterstützt. | | ||
| ===== DNS-Server bind und LDAP ===== | ===== DNS-Server bind und LDAP ===== | ||
| Zeile 593: | Zeile 610: | ||
| ==== Mailversand - SMTP-Auth mit Dovecot-SASL ==== | ==== Mailversand - SMTP-Auth mit Dovecot-SASL ==== | ||
| + | |||
| + | ...to be continued. | ||
| ===== ISC DHCP mit ActiveDirectory ===== | ===== ISC DHCP mit ActiveDirectory ===== | ||