Mapping von Benutzer-IDs

Hinter der Maske

Posix-Attribute sind fest an ein Benutzerkonto gebunden und helfen bei der Identifikation des Benutzers. Bei der Migration von einem Identity-Management-System zu einem anderen kann jedoch gerade dieser Umstand zu Problemen führen. Mit Hilfe von ID-Views lassen sich diese jedoch recht leicht in den Griff bekommen.
Sind Anwendungen oder Dateien unerwartet nicht mehr verfügbar, stehen schnell Teile des Unternehmens still und die Augen sind auf den Admin gerichtet. Um ... (mehr)

Wird ein Benutzerkonto erzeugt, bekommt es eine ganze Reihe von Attributen zugewiesen. Hierzu zählen beispielsweise eine Benutzer- oder Gruppen-ID, aber auch das Home-Verzeichnis des Benutzers oder die Login-Shell.

Problematisch wird es, wenn die Benutzer-Informationen von einem System auf ein anderes umziehen und sich die Posix-Attribute beim Umzug ändern. Es kann aber auch passieren, dass in einer Umgebung bisher noch kein zentrales System zur Benutzerverwaltung vorhanden ist und somit das Konto lokal auf den jeweiligen Systemen zur Verfügung steht. In einem solchen Fall passiert es leicht, dass der gleiche Benutzer auf jedem System dann eine andere Benutzer-ID verwendet. Ziehen die Benutzer dann auf ein zentrales System um, so besitzt das Konto nur noch eine einzelne ID und hat somit möglicherweise keinen Zugriff mehr auf die Dateien, die nun einem unbekannten Benutzer gehören, da die daran berichtigte Benutzer-ID keinem Account mehr zugeordnet werden kann.

Wer Benutzerkonten aus einem Active Directory (AD) auf einen LDAP-Server synchronisiert, verwendet meist die im AD hinterlegten Posix-Attribute der Konten. Wer auf eine andere Methode zurückgreifen möchte, um den Benutzern aus dem AD Zugriff auf Linux-Ressourcen zu geben, wird womöglich andere IDs für diese Konten verwenden. Bei der Konfiguration von Kerberos-Cross-Realm-Trusts mit dem Identity-Management Framework FreeIPA kann das Framework beispielsweise eigene IDs für die Benutzer aus dem Active Directory vergeben und ist somit nicht auf bereits vorhandene Posix-Attribute angewiesen. Wer in diesem Szenario bestimmte IDs verwenden möchte, hat erst einmal schlechte Karten, da die IDs zufällig aus einem bestimmten Bereich gewählt werden.

Abhilfe schaffen die bereits erwähnten ID-Views, die zum einen von FreeIPA selbst, aber auch vom Client-Service SSSD (System Security Services Daemon) angeboten werden. Hierbei werden die zu einem Konto gehörigen Posix-Attribute einfach mit

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023