Begrenzter Domänenzugriff per Managed Service Account

Minimalprinzip

von Thorsten Scherf

Vertrauensstellungen zwischen Active-Directory-Domänen helfen dabei, Benutzer aus einer beliebigen Domäne zu authentifizieren. Dies funktioniert auch dann, wenn Vertrauensstellungen zwischen unterschiedlichen Gesamtstrukturen existieren. Der Open-Source-Tipp in diesem Monat zeigt, wie Sie diesen Umstand auch auf Linux-Systemen nutzen.

Aus IT-Administrator 03/2022

Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Es ist allgemein bekannt, dass Linux-Systeme Teil einer Active-Directory-(AD)-Domäne sein können und somit eine Anmeldung am Linux-System mit einem Benutzerkonto aus dem AD erfolgen kann. Der System Security Services Daemon (SSSD) [1] stellt mit dem AD-Provider [2] ein eigenes Modul für diesen Zugriff zur Verfügung.

Unterschiedliche Vertrauensstellungen

Existiert für das Linux-System ein Computerkonto in einer AD-Domäne, können Benutzer aus der lokalen Domäne, in der das Konto erzeugt wurde, auf Ressourcen des Linux-Systems zurückgreifen. Existieren in der Gesamtstruktur weitere Domänen, ist standardmäßig eine Vertrauensstellung zwischen diesen Domänen vorhanden, sodass Benutzer aus Domäne A auf Ressourcen der Domäne B zurückgreifen können und umgekehrt (two-way-trust). Diese Art von Vertrauensstellung wird auch als "transitive trust" bezeichnet.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.