© sxc.hu
Likewise Open authentifiziert Linux-Systeme gegen ein Active
Directory
Im Gleichschritt
von Walter Neu
Erschienen im Linux-Magazin
2008/11
Likewise Open bindet Linux-Clients in Active-Directory-Umgebungen ein. Das können Samba & Co. auch, aber die Open-Source-Variante verspricht dem Admin mehr Komfort bei Konfiguration und Administration. Insbesondere vereinfacht sie das Einrichten von Kerberos zur Authentifizierung.
Eine erfolgreiche Zweckehe gehen Linux und Windows in vielen Unternehmen ein. Dass dies technologisch geht, muss niemand mehr beweisen. Administratoren, die Linux-Clients an einen bestehenden Verzeichnisdienst anbinden sollen, aber Machbarkeitsstudien leid sind, sollten einen Blick auf Likewise Open werfen. Das gleichnamige Unternehmen, das früher unter dem Namen Centeris firmierte, bietet nämlich eine Open-Source-Variante seiner Authentifizierungssoftware Likewise an [1].
Die freie Version unter der GPL ermöglicht eine Authentfizierung gegen Active Directories (AD), die Autorisierung kerberisierter Dienste und sogar Single-Sign-on. Wem da das Open-Source-Projekt Samba in den Sinn kommt, das mit anderen Tools zusammen Ähnliches leistet, braucht nicht überrascht zu sein. Projektleiter bei Likewise ist nämlich Gerald Carter, langjähriges Mitglied des Samba-Kernentwicklerteams. Tatsächlich baut Likewise Open in vielen Fällen auf Samba auf, erweitert dessen Komponenten jedoch um eigene Details. So wendet es etwa eine ganze Reihe von Sicherheitseinstellungen aus dem Active Directory an. Dazu übernehmen auch Clients unter Linux zum Beispiel die Gültigkeitsdauern von Passwörtern und speichern einige Zugangsdaten. Auf diese Weise können sich Benutzer auch bei einem Ausfall des AD noch lokal anmelden.
Fertig geschnürte Pakete
Es gibt vom Hersteller Pakete für die Distributionen von Red Hat, Novell und Canonical, für einige kommerzielle Unix-Systeme und Mac OS X. Auf der Website des Anbieters gibt es bereits die Version 5.0. Etwas gewöhnungsbedürftig ist, dass Likewise ein Binary zum Download anbietet, das seinerseits dann den distributionsabhängigen Paketmanager aufruft. Die Pakete der Distributionen enthalten hingegen die hier beschriebene Version 4, unter Ubuntu etwa im Universe-Repository die Pakete »likewise-open« und »likewise-open-gui«. Sie bringen einige Abhängigkeiten mit, die meisten betreffen Kerberos. Likewise Open setzt dabei auf die MIT-Version des Authentisierungsdienstes als Backend [2]. Während der Installation der Ubuntu-Pakete vom Hersteller fragt das Paket den Admin nach dem Kerberos- und dem Administrationsserver (Abbildungen 1 und 2).
Neben einem bestehenden Active-Directory-Server und einer von Windows verwalteten Domänenstruktur stellt die Software nur zwei Bedingungen: einen laufenden Nameserver zum Auflösen von DNS-Namen und synchronisierte Systemuhren. Denn weichen Uhren von Client und Server um mehr als fünf Minuten voneinander ab, weigert sich der Kerberos-Server Tickets auszustellen. Damit beugt er Replay-Attacken vor.
|
Abbildung 1: Der Ubuntu-Paketmanager fragt bei der Installation der Kerberos-Pakete nach dem Kerberos-Server.
|
|
Abbildung 2: Auch den Administrationsserver für den Kerberos-Realm trägt der Administrator bereits bei der Installation ein.
|
Neue Konfigurationswege
Ein nacktes Linux-System in eine AD-Domäne aufzunehmen, fordert dem Admin einige Konfigurationen ab [3]. Der Likewise-Agent übernimmt einen Großteil dieser Aufgaben. Er fügt sich auf dem lokalen Client in den Name Service Switch (NSS) und die Pluggable Authentication Modules (PAM) ein. Server-seitig vermittelt er zur Authentifizierung Anfragen einerseits an den Kerberos-5-Server, andererseits zum LDAP-getriebenen Verzeichnis des Active Directory, um Informationen über Benutzer abzufragen.
Dazu installiert das Paket einige Bibliotheken und Konfigurationsdateien. So bindet »/lib/libnss_lwidentity.so« Likewise in NSS ein. Das Gleiche erzielt »/etc/pam.d/pam_lwidentity.so« für PAM. Die Konfigurationsdatei »/etc/security/pam_lwidentity.conf« richtet das Modul ein. Die Schnittstelle zum entfernten Domänencontroller realisiert der hauseigene Winbind namens »likewise-winbindd«. Ihn konfiguriert eine eigene Konfigurationsdatei »/etc/samba/lwiauthd.conf«, die der Datei »smb.conf« aus dem Samba-Paket ähnelt.
|
Ähnliche Artikel
|
|
Gezähmter Höllenhund
|
Linux-Authentifizierung über einen Active-Directory-Service mit Kerberos 5
Active-Directory-Service mit Kerberos 5
|
|
Spürnase
|
Schwachstellen mit Open VAS aufspüren
|
|
Wehrhafte Mediziner
|
Große VPNs einfach verwalten mit OpenVPN und Skripten
|
|
Zielfoto
|
NFS-Performance im Vergleich
|
|
Puppenspiel
|
Konfigurationsverwaltung mit Puppet
|
|
Film ab für Flash
|
Praxisbetrieb, Encoding und Streaming von Flash-Videos unter
Linux
|
| Whitepaper |
|---|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
