Workshop: Open Source-Tipp

Der 389DS verwendet als globalen Service-Administrator den Account "cn=Directory-Manager". Er bekommt beim Setup ein Passwort zugewiesen, danach gelten für diesen Account keinerlei Einschränkungen mehr. Meldet man sich mit diesem Konto am Directory-Server an, lassen sich ohne weiteres die Passwörter anderer Benutzer zurücksetzen, neu definieren oder der eingesetzte Verschlüsselungsalgorithmus und andere Eigenschaften eines Passworts ändern. Dummerweise war es lange Zeit so, dass kein anderer Benutzer die soeben aufgeführten Änderungen an Benutzer-Passwörtern durchführen konnte. Dies hatte oftmals zur Folge, dass das Passwort für den Directory-Manager allen Passwort-Administratoren bekannt war und sie somit komplette Kontrolle über den Server hatten.

Mittlerweile bietet der Server eine neue Funktion an, mit der sich eine Gruppe von Passwort-Administratoren definieren lässt, die Änderungen an Benutzer-Passwörtern durchführen dürfen, ohne hierfür die komplette Kontrolle über das gesamte System zu erhalten. Auch das Setzen bereits verschlüsselter Passwörter funktioniert ohne Probleme.

Die Gruppe der Passwort-Administratoren können Sie global für alle Konten des Directory-Servers definieren oder aber nur für einen bestimmten Teilbaum des Servers. Das ist sehr hilfreich, wenn Sie Benutzer beispielsweise in verschiedenen Containern verwalten, die einzelne Abteilungen oder Standorte widerspiegeln. Somit können Sie dann für jeden Container eine eigene Gruppe von Passwort-Administratoren definieren, die nur Zugriff auf Konten des jeweiligen Containers haben. Damit der Zugriff funktioniert, muss die Gruppe natürlich auch über die entsprechenden Rechte für den Container verfügen, in dem sich die Benutzer-Objekte befinden. Der 389DS regelt diesen Zugriff über sogenannte Access Control Instructions (ACIs).

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.