Begrenzter Domänenzugriff per Managed Service Account

Es ist allgemein bekannt, dass Linux-Systeme Teil einer Active-Directory-(AD)-Domäne sein können und somit eine Anmeldung am Linux-System mit einem Benutzerkonto aus dem AD erfolgen kann. Der System Security Services Daemon (SSSD) [1] stellt mit dem AD-Provider [2] ein eigenes Modul für diesen Zugriff zur Verfügung.

Unterschiedliche Vertrauensstellungen

Existiert für das Linux-System ein Computerkonto in einer AD-Domäne, können Benutzer aus der lokalen Domäne, in der das Konto erzeugt wurde, auf Ressourcen des Linux-Systems zurückgreifen. Existieren in der Gesamtstruktur weitere Domänen, ist standardmäßig eine Vertrauensstellung zwischen diesen Domänen vorhanden, sodass Benutzer aus Domäne A auf Ressourcen der Domäne B zurückgreifen können und umgekehrt (two-way-trust). Diese Art von Vertrauensstellung wird auch als "transitive trust" bezeichnet.

Etwas komplizierter wird es allerdings, wenn eine Vertrauensstellung nur in eine Richtung existiert. Als Beispiel sollen die beiden AD-Domänen "prod.example.com" und "dev.example.com" dienen. Hier existiert lediglich eine einseitige Vertrauensstellung, wobei die dev-Domäne der prod-Domäne vertraut, die prod-Domäne allerdings der dev-Domäne nicht. Somit können Benutzer der prod-Domäne auf Ressourcen der dev-Domäne zurückgreifen, umgekehrt ist dies nicht der Fall. Ist nun ein Linux-System Teil der dev-Domäne, bleibt dieses System bei Ressourcen der prod-Domäne außen vor. Das gleiche Problem tritt natürlich auch dann auf, wenn lediglich eine einseitige Vertrauensstellung zwischen zwei Gesamtstrukturen einer AD-Landschaft existiert.

Das zu lösende Problem besteht primär darin, dass der Linux-Host einen sicheren Zugriff auf den Domänencontroller der vertrauten Domäne benötigt. Dies ist deshalb notwendig, da der Verzeichnisdienst des Domänencontrollers sämtliche Objekte, also

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.