In fast allen Betrieben werden heutzutage heterogene Netzwerke betrieben. Als heterogene Umgebungen werden Netzwerkumgebungen bezeichnet, in denen Rechner mit verschiedenen Betriebsystemen kooperativ eingesetzt werden. Diese Architektur birgt große Probleme im Bereich der Benutzerverwaltung. Es ist standardmäßig nicht vorgesehen alle Benutzerkonten, die in einem heterogenen Netzwerk vorkommen, zentral über eine Einheit zu verwalten.
Um dies dennoch realisieren zu können wurde im Rahmen der Untersuchung eine heterogene Testumgebung aufgebaut. Um dabei mit einem Minimum an Ressourcen auszukommen, wurde diese Testumgebung mit virtuellen Systemen aufgebaut. Nachdem ein Überblick über die Dienste „OpenLDAP“, „Active Directory“ und „Network Information Service“ vorhanden war, wurde der Microsoft Active Directory Server (ADS) als zentraler Verzeichnisserver gewählt. Basierend auf diesem Server wurde ein plattformübergreifendes Benutzerverwaltungssystem entwickelt.
Um während der Laufzeit dieser Umgebung eine Möglichkeit zu bieten, sämtliche Benutzer des heterogenen Umfelds von jedem beliebigen System aus zu verwalten wurde eine Web – basierte Oberfläche geplant, konzipiert und umgesetzt. Diese plattformunabhängige Oberfläche ermöglicht die Administration von gemischten Benutzerkonten (Benutzerkonten die gleichermaßen auf Windows – und Unix – Rechnern funktionieren), welche auf dem Active Directory Server abgelegt werden.

Extracto

Inhaltsverzeichnis

1 Einleitung

1.1 Problem in Unternehmensnetzwerken

1.1.1 Breiter Einsatz von EDV

1.1.2 Einsatz heterogener Betriebssystemwelten

1.1.3 Nachteile heterogener Betriebssystemwelten

1.2 Einheitliche Benutzerverwaltung: Die Herausforderung

1.3 Lösungsvorschlag

1.3.1 Plattformübergreifende Lösung

1.3.2 Plattforumunabhängige Lösung

1.4 Vorgehensweise

2 Grundlagen der Benutzerverwaltung

2.1 Begriffe

2.1.1 Single Sign On (SSO)

2.2 Protokolle und Standards

2.2.1 Directory Access Protokoll – X.500

2.2.2 ISO / OSI Referenzmodell

2.2.3 Lightweight Directory Access Protokoll – X.509

2.2.3.1 Distinguished Name - DN

2.2.3.2 Attribute

2.2.3.3 LDAP Schema

2.2.4 Kerberos

2.3 Dienste

2.3.1 Verzeichnisdienst

2.3.2 Microsoft Active Directory

2.3.2.1 Microsoft Management Console - MMC

2.3.2.2 Passwortprotokolle und Techniken

2.3.2.3 Namensauflösung

2.3.3 Domain Name Service - DNS

2.3.4 Internet Information Service - IIS

2.3.5 Hypertext Präprozessor- PHP

2.4 Unix

2.4.1 lokale Benutzerverwaltung

2.4.2 Name Service Switch - NSS

2.4.3 Pluggable Authentication Module - PAM

3 Projektrelevante Software

3.1 Betriebssysteme

3.1.1 Microsoft Windows Server

3.1.2 Unix – basiertes System

3.1.3 Microsoft Windows Client

3.2 Verzeichnisdienste

3.2.1 Network Information Service - NIS

3.2.2 OpenLDAP

3.2.3 Microsoft Active Directory

3.3 Vintela Authentication Software – VAS

3.4 Testen der Lösung

3.4.1 Verbindung zu einem Windows System

3.4.2 Verbindung zu einem Unix – basierten System

4 Testumgebung

4.1 Hardware

4.2 Virtualisierung

4.2.1 VMware ESX Server

4.3 Setup der Testsysteme

4.4 Vernetzung der Testsysteme

4.5 Installation der Server - Komponenten

5 Plattformübergreifende Benutzerverwaltung

5.2 Vorgaben zur Umsetzung

5.2.1 Unix – Maschinenkonto in MS AD

5.2.2 Unix – Benutzer in MS AD

5.3 Umsetzung: Erstellung des Maschinenkontos

5.3.1 Änderung am Windows Server

5.3.2 Änderungen am Unix - basierten Server

5.3.2.1 Installierte Zusatzsoftware

5.3.2.2 Konfiguration der installierten Komponenten

5.3.2.3 Übersicht und Funktionsweise

5.3.3 Einbindung in das Active Directory

5.4 Umsetzung: Erstellung des Benutzerkontos

5.4.1 Problem der Attributnutzung

5.4.2 Untersuchung der Windows Attribute

5.4.2.1 Wichtige Windows Attribute

5.4.3 Untersuchung der Unix Attribute

5.4.3.1 Relevante Unix Attribute

5.4.4 Schemaerweiterung

5.5 Test der plattformübergreifenden Benutzerverwaltungslösung

6 Plattformunabhängige Administration der Benutzerverwaltungslösung

6.1 Notwendigkeit der Eigenentwicklung

6.1.1 Benötigter Funktionsumfang

6.1.2 Vorhandene Software

6.2 Planung des Verwaltungstools

6.2.1 Wahl der Programmiersprache

6.2.2 Architektur der geplanten Lösung

6.2.3 Basisfunktionen der php_ldap.dll Bibliothek

6.2.4 Entwicklungsumgebung

6.3 Konzeption des Verwaltungstools

6.3.1 Design der Benutzeroberfläche

6.4 Probleme bei der Umsetzung

6.4.1 Problem mit Microsofts Sicherheitsstrategie

6.4.2 Vorgaben zur Nutzung von PHP_LDAP mit Active Directory

6.4.3 Probleme mit Dokumentation und Ressourcen

6.5 Ergebnis

6.5.1 Layout der Oberfläche

6.5.2 Funktionsübersicht

6.5.2.1 Kontoinformationen

6.5.2.2 Konto hinzufügen

6.5.2.3 Konto verändern

6.5.2.4 Konto löschen

6.5.2.5 Konto einer Gruppe zuordnen

6.5.2.6 Passwort setzen

6.5.2.7 Konto aktivieren / deaktivieren

7 Abschlussbetrachtung

7.1 Erreichter Funktionsumfang

7.2 Technischer Überblick

Zielsetzung & Themen

Das Hauptziel dieser Arbeit ist die Konzeption und Umsetzung eines zentralen, plattformübergreifenden Benutzerverwaltungssystems in einer heterogenen Netzwerkumgebung. Die Forschungsfrage fokussiert sich darauf, wie Benutzerkonten für Windows- und Unix-basierte Systeme unter Verwendung des Microsoft Active Directory Servers effizient und plattformunabhängig über eine Web-Schnittstelle verwaltet werden können.

Integration von Unix-Systemen in das Microsoft Active Directory mittels Vintela Authentication Software.
Entwicklung einer Web-basierten Administrationsoberfläche auf Basis von PHP zur Verwaltung heterogener Benutzerkonten.
Analyse und Schemaerweiterung des Active Directory für Unix-spezifische Benutzer- und Gruppenattribute.
Realisierung einer Single-Sign-On-Funktionalität in heterogenen Umgebungen durch Kerberos-Authentifizierung.
Aufbau und Test einer virtualisierten Testumgebung zur Validierung der zentralen Benutzerverwaltung.

Auszug aus dem Buch

1.1.3 Nachteile heterogener Betriebssystemwelten

In vielen Firmen, die ein heterogenes Netzwerk betreiben, ist eine Aufspaltung hinsichtlich der Benutzerverwaltung zu erkennen. Es gibt auf der einen Seite Windows – Rechner, mit einem eigenem Benutzerverwaltungsdienst und oftmals auch einer eigenen Abteilung für die Administration. Auf der anderen Seite stehen die Unix – basierten Systeme mit einem separaten Benutzerverwaltungsdienst. Diese Art der Benutzerverwaltung ist zwar einfach zu implementieren, zieht aber einige Nachteile nach sich.

Für Mitarbeiter, die auf beiden Systemen arbeiten wollen, müssen zwei separate Benutzerkonten angelegt werden.

Mitarbeiter, die nur auf Windows Systemen arbeiten, haben keinen Zugriff auf Unix – Ressourcen.

Mitarbeiter, die beide Systeme benutzen, müssen bei einer Passwortänderung diese Änderung auf beiden Systemen durchführen.

Der Einsatz einer firmenweiten Groupware - Lösung lässt sich nicht an ein zentrales Benutzerverzeichnis koppeln.

Die Daten der Mitarbeiter, die beide Systeme benutzen, werden doppelt gehalten, was nicht nur den doppelten Speicherplatz verbraucht sondern auch Konsistenzprobleme mit sich bringt.

Zusammenfassung der Kapitel

1 Einleitung: Beschreibt die Herausforderungen in heterogenen Netzwerken und definiert das Ziel einer einheitlichen, zentralen Benutzerverwaltung.

2 Grundlagen der Benutzerverwaltung: Erläutert die theoretischen Konzepte hinter Verzeichnisdiensten, Protokollen wie LDAP und Kerberos sowie die Funktionsweise von Benutzerverwaltung unter Unix und Windows.

3 Projektrelevante Software: Stellt die für das Projekt eingesetzten Betriebssysteme, Verzeichnisdienste und die Vintela Authentication Software vor.

4 Testumgebung: Dokumentiert den Aufbau einer virtuellen Testumgebung mittels VMware ESX Server zur Simulation des heterogenen Netzwerks.

5 Plattformübergreifende Benutzerverwaltung: Beschreibt die praktische Einbindung von Unix-Systemen in das Active Directory und die notwendige Schemaerweiterung für Unix-Attribute.

6 Plattformunabhängige Administration der Benutzerverwaltungslösung: Detailliert die Entwicklung der webbasierten Administrations-Oberfläche mit PHP und die Lösung technischer Probleme bei der LDAP-Anbindung.

7 Abschlussbetrachtung: Bewertet den erreichten Funktionsumfang und die Effizienz der entwickelten plattformübergreifenden und plattformneutralen Lösung.

Schlüsselwörter

Benutzerverwaltung, Active Directory, Heterogene Netzwerke, LDAP, Kerberos, Single Sign On, Unix, Windows, Web-Administration, PHP, Schemaerweiterung, VAS, Interoperabilität, Authentifizierung, Verzeichnisdienst

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit behandelt die zentrale und einheitliche Verwaltung von Benutzerkonten in Netzwerken, in denen sowohl Windows als auch Unix-Systeme kooperativ eingesetzt werden.

Was sind die zentralen Themenfelder?

Die Arbeit befasst sich mit Verzeichnisdiensten (Active Directory, LDAP), Authentifizierungsprotokollen (Kerberos), Virtualisierungstechniken und der Web-basierten Softwareentwicklung mittels PHP.

Was ist das primäre Ziel oder die Forschungsfrage?

Ziel ist es, ein System zu schaffen, das eine plattformübergreifende Benutzerverwaltung ermöglicht, bei der Administrationsaufgaben über eine zentrale, Web-basierte Oberfläche plattformunabhängig ausgeführt werden können.

Welche wissenschaftliche Methode wird verwendet?

Es wurde ein anwendungsorientierter Ansatz gewählt, der durch den Aufbau einer realen, virtualisierten Testumgebung, eine Analyse der Verzeichnisdienst-Attribute und eine systematische Eigenentwicklung eines Verwaltungstools geprägt ist.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die theoretische Fundierung, die Auswahl relevanter Software, den Aufbau der Testumgebung, die Implementierung der AD-Einbindung und die Entwicklung der Administrations-Oberfläche.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Kernaspekte sind Active Directory, LDAP, Single Sign On, heterogene Netzwerkumgebungen und plattformübergreifende Benutzerverwaltung.

Warum wird für das Verwaltungstool eine Web-basierte Oberfläche gewählt?

Eine Web-Lösung erfordert keine spezifische Client-Software, ist direkt über den Browser von jedem Betriebssystem aus aufrufbar und bietet daher die gewünschte Plattformunabhängigkeit für Administratoren.

Welche Rolle spielt die Schemaerweiterung im Active Directory?

Da das Standard-Schema des Active Directory primär auf Windows-Attribute optimiert ist, war eine Schemaerweiterung notwendig, um Unix-spezifische Daten wie UID, GID und Login-Shell im zentralen Verzeichnis speichern zu können.

Was war ein technisches Haupthindernis bei der Umsetzung?

Besonders die Sicherheitsrichtlinien "Secure by default" des Windows Servers 2003 und fehlende offizielle Dokumentation zur PHP-LDAP-Anbindung an das Active Directory stellten große Herausforderungen dar, die durch Workarounds gelöst wurden.

Final del extracto de 65 páginas - subir

Detalles

Título: Benutzerverwaltung im heterogenen Umfeld (Stand 2004)
Subtítulo: Linux Benutzerverwaltung mittels Active Directory
Universidad: Baden-Wuerttemberg Cooperative State University (DHBW)
Curso: Heterogenes Umfend - Linux / Windows
Calificación: 2
Autor: Dominik Heinz (Autor)
Año de publicación: 2004
Páginas: 65
No. de catálogo: V169049
ISBN (Ebook): 9783640873319
ISBN (Libro): 9783640873609
Idioma: Alemán
Etiqueta: benutzerverwaltung umfeld linux benutzerverwaltung active directory
Seguridad del producto: GRIN Publishing Ltd.

Citar trabajo: Dominik Heinz (Autor), 2004, Benutzerverwaltung im heterogenen Umfeld (Stand 2004), Múnich, GRIN Verlag, https://www.grin.com/document/169049

Benutzerverwaltung im heterogenen Umfeld (Stand 2004)

Linux Benutzerverwaltung mittels Active Directory