Active Directory und Red Hat IdM per Vertrauensstellung verbinden

Der Umgang mit Verzeichnisdiensten wie dem Active Directory (AD) oder LDAP gehört zum Handwerkszeug jeden Admins. Zwar verursachen die Dienste selbst einigen Verwaltungsaufwand, doch die Mühe zahlt sich aus: Kein anderer Weg erlaubt es, so schnell und effizient Benutzer überall in der Umgebung zu deaktivieren oder allen vorhandenen Usern Ressourcen zur Verfügung zu stellen. Wer es schon einmal mit Infrastrukturen zu tun hatte, in denen ausschließlich lokale Benutzer existieren, kennt das Problem: Nicht nur ist es sehr mühsam, hier zentrale Änderungen an der Benutzerverwaltung so durchzuführen, dass sie augenblicklich überall gelten – gerade in stressigen Situationen besteht obendrein die Gefahr, einzelne Systeme zu vergessen und verwundbar zu hinterlassen. Über den Sinn oder Unsinn der Einführung von LDAP oder AD ist deshalb eigentlich keine Diskussion mehr nötig.

Allerdings gibt es auch das Gegenteil, quasi "zu viel" zentrale Benutzerverwaltung, und zwar in jenen Fällen, in denen es mehrere zentrale Benutzerverzeichnisse gibt. So ein Szenario entsteht schneller, als manchem Administrator lieb ist. Kauft eine Firma eine andere, kommt es regelmäßig vor, dass die zentralen Verzeichnisse beider Firmen aufeinander prallen und mühsam abzugleichen sind. Ein Szenario mit mehreren Benutzerverzeichnissen kann zudem durchaus gewollt sein, etwa wenn das Windows-Team ein AD pflegt, das Linux-Team ein LDAP und das Ziel die berüchtigte "Separation of Concern" ist, also die strikte Trennung.

Diffizile Vertrauensstellung

Im Lauf der Zeit stellt sich in solchen Fällen allerdings regelmäßig heraus, dass die strikte Trennung so strikt dann doch nicht sein soll, und dass etwa Benutzerzugänge aus der Linux-Welt Zugriff auf Ressourcen in Active Directory bekommen sollen. Für eben diese Fälle sehen AD und LDAP Möglichkeiten vor, Benutzern den Zugriff zu

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.