Einlasskontrolle

Vielen Admins rollen sich die Zehennägel hoch, wenn sie Begriffe wie LDAP oder Kerberos auch nur hören – nicht ganz zu unrecht, haftet doch beiden Protokollen sowie den Diensten, die sie implementieren, der Ruf hoher Komplexität an. Das liegt allerdings bei einem Verzeichnisdienst in der Natur der Sache. Nutzer, Geräte, Berechtigungen, Gruppen und praktisch jedes andere Asset eines Unternehmens in einem zentralen Ordner zu verwalten, erfordert entsprechend viele Parameter pro Eintragsart.

Verzeichnisdienste lassen sich in den heutigen großen, skalierbaren Setups jedoch schlicht nicht vermeiden. Wer einen Maschinenpark aus Dutzenden oder Hunderten Servern zu verwalten hat, kann nicht beim Ausscheiden eines Kollegen aus dem Unternehmen jede Maschine einzeln abgrasen und die dortigen Zugänge deaktiveren. Zudem lassen sich per LDAP oder Kerberos auch Details wie öffentliche SSH-Schlüssel und die bevorzugte Shell eines Anwenders verwalten und bei seinem Ausscheiden aus dem Unternehmen zeitnah entfernen. Die DSGVO lässt grüßen: Je weniger Daten mit Bezug zur Person auf den einzelnen Systemen vor sich hin gammeln, desto geringer ist auch die Gefahr, bei einer Datenschutzüberprüfung auf der Nase zu landen.

Langer Rede kurzer Sinn: LDAP, Active Directory oder ein anderes Werkzeug für den alltäglichen Einsatz in großen Setups ist unumgänglich. Hinsichtlich der konkreten technischen Implementierung scheiden sich allerdings die Geister. Als Königsweg galt in der Open-Source-Community lange OpenLDAP. Red Hat schert mittlerweile aus und bringt in seiner eigenen Enterprise-Distribution das Identity Management (IdM) zum Einsatz, die kommerzielle Version von FreeIPA). Die Lösung basiert auf dem 389 Directory Server, einem Red-Hat-Eigengewächs.

Wer aus der Windows-Ecke kommt, schwört freilich auf Active Directory (AD). Es lässt sich aus heutiger Sicht relativ komfortabel verwalten und steuern;