Begrenzter Domänenzugriff per Managed Service Account

Minimalprinzip

Vertrauensstellungen zwischen Active-Directory-Domänen helfen dabei, Benutzer aus einer beliebigen Domäne zu authentifizieren. Dies funktioniert auch dann, wenn Vertrauensstellungen zwischen unterschiedlichen Gesamtstrukturen existieren. Der Open-Source-Tipp in diesem Monat zeigt, wie Sie diesen Umstand auch auf Linux-Systemen nutzen.
Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Es ist allgemein bekannt, dass Linux-Systeme Teil einer Active-Directory-(AD)-Domäne sein können und somit eine Anmeldung am Linux-System mit einem Benutzerkonto aus dem AD erfolgen kann. Der System Security Services Daemon (SSSD) [1] stellt mit dem AD-Provider [2] ein eigenes Modul für diesen Zugriff zur Verfügung.

Unterschiedliche Vertrauensstellungen

Existiert für das Linux-System ein Computerkonto in einer AD-Domäne, können Benutzer aus der lokalen Domäne, in der das Konto erzeugt wurde, auf Ressourcen des Linux-Systems zurückgreifen. Existieren in der Gesamtstruktur weitere Domänen, ist standardmäßig eine Vertrauensstellung zwischen diesen Domänen vorhanden, sodass Benutzer aus Domäne A auf Ressourcen der Domäne B zurückgreifen können und umgekehrt (two-way-trust). Diese Art von Vertrauensstellung wird auch als "transitive trust" bezeichnet.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022