Zusammenfassung

In fast allen Betrieben werden heutzutage heterogene Netzwerke betrieben. Als heterogene Umgebungen werden Netzwerkumgebungen bezeichnet, in denen Rechner mit verschiedenen Betriebsystemen kooperativ eingesetzt werden. Diese Architektur birgt große Probleme im Bereich der Benutzerverwaltung. Es ist standardmäßig nicht vorgesehen alle Benutzerkonten, die in einem heterogenen Netzwerk vorkommen, zentral über eine Einheit zu verwalten.

Um dies dennoch realisieren zu können wurde im Rahmen der Untersuchung eine heterogene Testumgebung aufgebaut. Um dabei mit einem Minimum an Ressourcen auszukommen, wurde diese Testumgebung mit virtuellen Systemen aufgebaut. Nachdem ein Überblick über die Dienste „OpenLDAP“, „Active Directory“ und „Network Information Service“ vorhanden war, wurde der Microsoft Active Directory Server (ADS) als zentraler Verzeichnisserver gewählt. Basierend auf diesem Server wurde ein plattformübergreifendes Benutzerverwaltungssystem entwickelt.

Um während der Laufzeit dieser Umgebung eine Möglichkeit zu bieten, sämtliche Benutzer des heterogenen Umfelds von jedem beliebigen System aus zu verwalten wurde eine Web - basierte Oberfläche geplant, konzipiert und umgesetzt. Diese plattformunabhängige Oberfläche ermöglicht die Administration von gemischten Benutzerkonten (Benutzerkonten die gleichermaßen auf Windows - und Unix - Rechnern funktionieren), welche auf dem Active Directory Server abgelegt werden.

Glossar

Inhalt

1  Einleitung  7

1.1  Problem in Unternehmensnetzwerken  7

1.1.1  Breiter Einsatz von EDV  7

1.1.2  Einsatz heterogener Betriebssystemwelten  7

1.1.3  Nachteile heterogener Betriebssystemwelten  8

1.2  Einheitliche Benutzerverwaltung: Die Herausforderung  9

1.3  Lösungsvorschlag  9

1.3.1  Plattformübergreifende Lösung  9

1.3.2  Plattforumunabhängige Lösung  10

1.4  Vorgehensweise  10

2  Grundlagen der Benutzerverwaltung  11

2.1  Begriffe  11

2.1.1  Single Sign On (SSO)  11

2.2  Protokolle und Standards  11

2.2.1  Directory Access Protokoll - X.500  11

2.2.2  ISO / OSI Referenzmodell  11

2.2.3  Lightweight Directory Access Protokoll - X.509  12

2.2.3.1  Distinguished Name - DN  13

2.2.3.2  Attribute  13

2.2.3.3  LDAP Schema  13

2.2.4  Kerberos  14

2.3  Dienste  15

2.3.1  Verzeichnisdienst  15

2.3.2  Microsoft Active Directory  15

2.3.2.1  Microsoft Management Console - MMC  17

2.3.2.2  Passwortprotokolle und Techniken  18

2.3.2.3  Namensauflösung  19

2.3.3  Domain Name Service - DNS  19

2.3.4  Internet Information Service - IIS  19

2.3.5  Hypertext Präprozessor- PHP  20

2.4  Unix  21

2.4.1  lokale Benutzerverwaltung  21

2.4.2  Name Service Switch - NSS  22

2.4.3  Pluggable Authentication Module - PAM  22

3  Projektrelevante Software  23

3.1  Betriebssysteme  23

3.1.1  Microsoft Windows Server  23

3.1.2  Unix - basiertes System  23

3.1.3  Microsoft Windows Client  24

3.2  Verzeichnisdienste  24

3.2.1  Network Information Service - NIS  24

3.2.2  OpenLDAP  24

3.2.3  Microsoft Active Directory  25

Vintela Authentication Software - VAS 3.3 26

3.4 Testen der Lösung 3.4.1 Verbindung zu einem Windows System 3.4.2 Verbindung zu einem Unix - basierten System 4 Testumgebung 28 4.1 Hardware 28

4.2 Virtualisierung 4.2.1 VMware ESX Server 4.3 Setup der Testsysteme 29 4.4 Vernetzung der Testsysteme 30 4.5 Installation der Server - Komponenten 31

5 Plattformübergreifende Benutzerverwaltung 32

5.2 Vorgaben zur Umsetzung 5.2.1 5.2.2

5.3 Umsetzung: Erstellung des Maschinenkontos 5.3.1 5.3.2 5.3.2.1 5.3.2.2 5.3.2.3 5.3.3

5.4 Umsetzung: Erstellung des Benutzerkontos 5.4.1 5.4.2 5.4.2.1 5.4.3 5.4.3.1 5.4.4 5.5 Test der plattformübergreifenden Benutzerverwaltungslösung 41

6 Plattformunabhängige Administration der Benutzerverwaltungslösung 42

6.1 Notwendigkeit der Eigenentwicklung 6.1.1 6.1.2

6.2 Planung des Verwaltungstools 6.2.1 6.2.2 6.2.3 6.2.4

6.3 Konzeption des Verwaltungstools 6.3.1

6.4 Probleme bei der Umsetzung 6.4.1 6.4.2

6.4.3  Probleme mit Dokumentation und Ressourcen  47

6.5  Ergebnis  49

6.5.1  Layout der Oberfläche  50

6.5.2  Funktionsübersicht  51

6.5.2.1  Kontoinformationen  51

6.5.2.2  Konto hinzufügen  52

6.5.2.3  Konto verändern  56

6.5.2.4  Konto löschen  57

6.5.2.5  Konto einer Gruppe zuordnen  58

6.5.2.6  Passwort setzen  59

6.5.2.7  Konto aktivieren / deaktivieren  60

7  Abschlussbetrachtung  61

7.1  Erreichter Funktionsumfang  61

7.2  Technischer Überblick  62

8  Verzeichnis  63

8.1  Quellen  63

8.1.1  Bücher  63

8.1.2  Microsoft Knowledge Base / TechNet Artikel  63

8.1.3  Webseiten  64

8.1.4  Foren  64

8.1.5  Usenet  65

8.2  Abbildungen  65

1 Einleitung

1.1 Problem in Unternehmensnetzwerken

1.1.1 Breiter Einsatz von EDV

In einem modernen Betrieb gibt es eine Vielzahl von Aufgaben, die mit Hilfe elektronischer Datenverarbeitung erledigt werden. Bei Aufgaben wie

Datenverwaltung, interne Kommunikation und Entwicklung werden verschiedenste Software - Lösungen eingesetzt. Um diese betreiben zu können, müssen in der Praxis verschiedene Betriebssysteme eingesetzt werden, da solche Anwendungen in der Regel für ein bestimmtes Betriebssystem optimiert, und nur auf diesem lauffähig sind. Es gibt nur wenig speziell entwickelte sog. „plattformübergreifende“ Software, die auf verschiedenen Betriebssystemen einsetzbar ist.

1.1.2 Einsatz heterogener Betriebssystemwelten

Um eine Tendenz festzustellen, welche Betriebssysteme am häufigsten eingesetzt werden gibt es eine Studie über IT - Budgets in Bezug auf Betriebssysteme. Diese ergibt, dass die Kombination aus Windows Systemen und Unix - basierten Systemen den größten Teil aller verwendeten Betriebssysteme bildet.

In einer Online-Befragung wurden zwischen Dezember 2003 und Januar 2004 insgesamt 496 IT - Manager und IT - Verantwortliche aus deutschen Unternehmen zu ihren Investitionsplänen für das laufende Jahr interviewt. Die Umfrage wurde von der „Informationweek“ durchgeführt. Die Analyse der Daten erfolgte mit Unterstützung von Mummert Consulting. Die Studie ist unter www.mummertconsulting.de erhältlich.

Investitionspläne für Betriebssysteme: (Mehrfachnennungen möglich):

1. Windows 2000 (82,5 Prozent) 2. Windows XP (70,0 Prozent) 3. Windows NT (52,8 Prozent) 4. Linux (51,4 Prozent) 5. Windows 98 (33,3 Prozent)

Dominik Heinz 7 [ 65 ]

6. Unix (29,2 Prozent) 7. Windows Server 2003 (26,6 Prozent) 8. Novell Netware (20,4 Prozent) 9. Apple (Mac OS) (8,3 Prozent) 10. Windows 95 (7,9 Prozent) 11. Sonstige (14,5 Prozent)

Werden Windows und Unix - basierte Systeme in einem gemeinsamen Netzwerk eingesetzt, spricht man von einem gemischten oder heterogenen Netzwerk.

1.1.3 Nachteile heterogener Betriebssystemwelten

In vielen Firmen, die ein heterogenes Netzwerk betreiben, ist eine Aufspaltung hinsichtlich der Benutzerverwaltung zu erkennen. Es gibt auf der einen Seite Windows - Rechner, mit einem eigenem Benutzerverwaltungsdienst und oftmals auch einer eigenen Abteilung für die Administration. Auf der anderen Seite stehen die Unix - basierten Systeme mit einem separaten Benutzerverwaltungsdienst. Diese Art der Benutzerverwaltung ist zwar einfach zu implementieren, zieht aber einige Nachteile nach sich.

x Für Mitarbeiter, die auf beiden Systemen arbeiten wollen, müssen zwei separate Benutzerkonten angelegt werden.

x Mitarbeiter, die nur auf Windows Systemen arbeiten, haben keinen Zugriff auf Unix - Ressourcen.

x Mitarbeiter, die beide Systeme benutzen, müssen bei einer Passwortänderung diese Änderung auf beiden Systemen durchführen.

x Der Einsatz einer firmenweiten Groupware - Lösung lässt sich nicht an ein zentrales Benutzerverzeichnis koppeln.

x Die Daten der Mitarbeiter, die beide Systeme benutzen, werden doppelt gehalten, was nicht nur den doppelten Speicherplatz verbraucht sondern auch Konsistenzprobleme mit sich bringt.

Dominik Heinz 8 [ 65 ]

1.2 Einheitliche Benutzerverwaltung: Die Herausforderung

Der Herausforderung ist die Implementierung eines zentralen

Benutzerverwaltungsdienstes, der sämtliche Benutzerkonten verwalten kann. Damit dieser in einem heterogenen Umfeld die Benutzer der Unix - basierten und Windows Systeme verwalten kann, ist eine tiefgreifende Konfigurationsarbeit notwendig. Mit einem solchen System ist jedoch die erste zentrale Vorgabe einer plattformübergreifenden Lösung erfüllt

Das Problem ist, dass derlei Dienste für spezielle Plattformen optimiert sind und dass es - normalerweise - nicht möglich ist, für Rechner mit verschiedenen Betriebssystemen Benutzerkonten einzurichten. Es muss also ein Weg gefunden werden, diese Rechner so zu konfigurieren, dass sie von einem Dienst verwaltet werden können. Außerdem müssen alle verschiedenen Typen von Benutzerkonten unterstützt werden.

Des weiteren muss es möglich sein, diese Konten von verschiedenen Betriebssystemen aus zu verwalten. Es soll die Option bestehen, von jedem beliebigen System aus die Benutzer zu verwalten, damit ein Administrator auf seinem bevorzugtem System arbeiten kann. Die zweite zentrale Vorgabe ist somit die Umsetzung einer plattformunabhängigen Benutzerverwaltungsoberfläche.

1.3 Lösungsvorschlag

1.3.1 Plattformübergreifende Lösung

Um eine plattformübergreifende Benutzerverwaltungslösung umzusetzen muss ein zentraler Verzeichnisserver aufgesetzt werden, der alle nötigen technischen Möglichkeiten bietet, um Windows und Unix - basierte Systeme zu verwalten, wofür diese Systeme in den Verzeichnisserver eingebunden werden müssen. Dabei ist es möglicherweise notwendig, das Windows - oder Unix - System mit notwendiger Zusatzsoftware auszustatten, die eine Einbindung ermöglicht.

Dominik Heinz 9 [ 65 ]

1.3.2 Plattforumunabhängige Lösung

Eine Möglichkeit, eine spezielle Serveraufgabe plattformunabhängig zu administrieren, ist die Nutzung einer Web - basierten Lösung. Durch die Implementierung einer Web - basierten Oberfläche zur Administration dieses Verzeichnisdienstes wäre Vorgabe der plattformunabhängigen Administration erfüllt.

1.4 Vorgehensweise

Um eine Umsetzung dieser Lösung zu ermöglichen, muss eine Testumgebung aufgebaut werden. In dieser Testumgebung sollen die notwendigen Server und Clients installiert und vernetzt werden. Der Aufbau der Testumgebung umfasst die Wahl der Server - Betriebssysteme, die Wahl der Client - Betriebssysteme und auch die Wahl der möglicherweise benötigten Zusatzsoftware für die Clients. In einem weiteren Schritt sollen alle notwendigen Systeme aufgesetzt werden und mit der notwendigen Zusatzsoftware ausgestattet werden.

In dieser heterogenen Testumgebung wird ein zentraler Verzeichnisserver installiert, in dem die vorhandenen Windows und Unix - basierten Systeme eingebunden werden. Es muss ein Verzeichnisdienst gewählt werden, der alle benötigten Techniken und Protokolle für eine Umsetzung der plattformübergreifenden Lösung unterstützt.

Im nächsten Schritt wird geklärt, welche Modifikationen an diesem Verzeichnisserver und an den Client - Rechnern notwendig sind, um Windows - und Unix - Benutzerkontenanlegen zu können. Fener wird untersucht, ob mit den gegebenen Mitteln alle benötigten Benutzer - und Gruppenkonten angelegt werden können.

Um die Vorgabe der plattformunabhängigen Administration dieser Lösung zu erfüllen, wird im letzten Schritt eine Web - basierte Oberfläche konzipiert und umgesetzt, die es ermöglicht die Benutzerkonten auf dem Verzeichnisserver zu verwalten.

Dominik Heinz 10 [ 65 ]

2 Grundlagen der Benutzerverwaltung

2.1 Begriffe

2.1.1 Single Sign On (SSO)

Der Begriff „Single Sign On“ bedeutet „einmalige Anmeldung“ und beschreibt den Vorgang der einmaligen Authentifizierung eines Benutzers für die Benutzung von verschiedenen Anwendungen und Rechnern. Der Benutzer muss sich nur einmal an einem Rechner anmelden und sein Passwort angeben. Die Authentifizierung bei weiteren Rechnern und Anwendungen wird von einem Mechanismus erledigt, der in der Lage ist, ohne weitere Sicherheitsabfragen beim Benutzer, dessen Authentizität zu garantieren.

2.2 Protokolle und Standards

2.2.1 Directory Access Protokoll - X.500

Der X.500 Standard wurde vom ITU-T entwickelt und beschreibt den Aufbau eines Verzeichnisdienstes. Dabei handelt es sich um einen sehr umfangreichen Standard, der eine Implementierung über den gesamten ISO/OSI - Stapel voraussetzt. Der X.500 Standard hat sich nicht durchgesetzt, da es sehr aufwendig und rechenintensiv ist, diesen zu implementieren.

2.2.2 ISO / OSI Referenzmodell

Das ISO/OSI - Referenzmodell ist die Grundlage für alle Netzwerkprotokolle, die derzeit eingesetzt werden. Die verschiedenen Protokolle werden ihren Aufgaben entsprechend in sieben Schichten unterteilt. Dabei nimmt der Abstraktionsgrad von Schicht zu Schicht zu. Jede der Schichten ist so konzipiert, dass sie die Aufgaben, die ihr zugeordnet sind, unabhängig von den anderen Schichten ausführen kann.

Dominik Heinz 11 [ 65 ]

Die Schichten werden folgendermaßen betitelt:

- Anwendungsschicht, Schicht 7, die oberste der sieben hierarchischen Schichten.

- Darstellungsschicht, Schicht 6.

- Sitzungsschicht, Schicht 5

- Transportschicht, Schicht 4

- Netzwerkschicht, Schicht 3

- Sicherungsschicht, Schicht 2

- Physikalische Schicht, Schicht 1, die niedrigste Schicht.

Das Transport Control Protocol (TCP) beispielsweise liegt auf Schicht vier dieses Modells. Es ist ein Teil des Ethernet - Standards und somit weit verbreitet.

2.2.3 Lightweight Directory Access Protokoll - X.509

Das Lightweight Directory Access Protokoll - LDAP ist ein Protokoll, das eine Schnittstelle für den Zugriff auf einen hierarchischen Verzeichnisdienst beschreibt. Dabei erlaubt es das Eintragen, Modifizieren und Löschen eines Eintrags. Es ist nach dem Standard X.509 des IETF aufgebaut. Das LDAP Protokoll hat sich aus dem sehr komplexen Standard X.500 entwickelt und wird als „Lightweight“ bezeichnet, weil es nur auf das sehr weit verbreitete TCP/IP - Modell aufsetzt und somit eine einfachere und schlankere Lösung darstellt als der X.500 Standard.

Basierend auf diesem Protokoll haben viele Firmen und Entwicklergruppen Verzeichnisdienste implementiert, die ihre Daten in einer relationalen Datenbank halten. Die Begriffe „LDAP - Verzeichnisserver“ oder „LDAP - Verzeichnisdienst“ sind etwas verwirrend, da LDAP selbst keine Daten speichern oder verwalten kann, sondern nur eine Schnittstelle darstellt. Mittlerweile sind aber Verzeichnisdienste so fest mit dem LDAP - Protokoll gekoppelt, dass die oben genannten Begriff sich dennoch langsam durchsetzen.

Jeder LDAP - basierte Verzeichnisdienst unterliegt einer fest definierten hierarchischen Struktur, welche in den LDAP - Schemata fest definiert ist. Jedes Schema definiert wiederum Objektklassen, die die Typen der einzelnen Einträge beschreiben. Für jeden Eintrag wird sein erlaubtes Attribut - Set durch genau eine Klasse definiert und mit einem eindeutigem Namen versehen, dem „Distinguished Name“ - DN.

Dominik Heinz 12 [ 65 ]

2.2.3.1 Distinguished Name - DN

Jedem Eintrag (Objekt) wird ein eindeutiger DN zugewiesen, welcher sich aus dem hierarchischen Pfad des Objekts und aus dem Objekt selbst zusammensetzt. Als Wurzel - Objekt wird dabei die Wurzel - Domäne des Verzeichnisservers gewählt und ausgehend von dieser Wurzel der gesamte Pfad angegeben. Beispielsweise hat der Benutzer „Ahlfons“, der im Container „Users“ auf einem Server mit dem Wurzel -Objekt „Domain.com“ folgenden DN:

CN=Ahlfons,CN=Users,DC=Domain,DC=com

Die vorangesellten Kürzel (CN, DN, DC) sind Abkürzungen der im Verzeichnisdienst vorkommenden Attribute.

2.2.3.2 Attribute

In jedem Objekt können verschiedene Informationen abgelegt werden. Bei einem Benutzerkonto beispielsweise können sich Daten wie die Telefonnummer, die Adresse und die Email - Adresse des Benutzers speichern lassen. Auch Systemangaben wie „Heimat - Verzeichnis“ oder „Gruppen - Nummer“. Dabei muss jedoch für jede mögliche Information ein Attribut existieren.

Jedes mögliche Attribut hat einen bestimmten Typ und einen oder mehrere Werte. Dabei wird jedes Attribut mit einem einprägsamen Kürzel wie beispielsweise CN für „Common Name“, DC für „Domain Controller“ oder O für „Organisation“ beschrieben. Die möglichen Werte der verschiedenen Attribute und die möglichen Attribute selbst werden im LDAP Schema definiert.

2.2.3.3 LDAP Schema

Im LDAP Schema werden die Hierarchie des LDAP - Servers und die Attribute der alle möglichen Objekte definiert.

Da das LDAP - Protokoll plattformübergreifend verfügbar ist, gibt es eine Vielzahl an verschiedenen Implementierungen, die alle eigene Schemata verwenden. Die Vorstellung eines globalen, allumfassenden Verzeichnisdienstes ist somit nicht realistisch. LDAP - Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekt-Hierarchie bleibt aber in der Regel auf eine Organisation beschränkt.

Dominik Heinz 13 [ 65 ]