Grundsätzlich lässt sich mit den Bordmitteln von Windows und anderen Betriebssystemen eine Kerberos-Infrastruktur auch im heterogenen Umfeld aufbauen. Das ist allerdings nicht ganz einfach, wie in den vorangegangenen Teilen dieser Serie deutlich wurde. Daher bietet sich ein Blick auf spezialisierte Lösungen an, die eine einfachere Interoperabilität versprechen.
Quest Vintela Authentication Services
Der bekannteste Add-On-Anbieter in diesem Feld ist zweifelsohne Vintela, das inzwischen zu Quest Software gehört. Mit den Vintela Authentication Services (www.quest.com/Vintela_Authentication_Services) wird eine Infrastruktur bereitgestellt, mit der sich Nicht-Windows-Systeme als vertrauter Realm integrieren lassen. Für Unix und Linux werden entsprechende Authentifizierungsfunktionen angeboten.
Zur Infrastruktur von Vintela gehören die erforderlichen Unix- und Linux-Module für folgende Funktionen:
-
SASL (Simple Authentication and Security Layer)
-
GSS-API (Generic Security Services API)
-
PAM (Pluggable Authentication Module)
-
NSS (Name Service Switch)
Unterstützt werden AIX, HP-UX, Sun Solaris, Red Hat Linux und Suse Linux als Betriebssysteme. Mit den Diensten können sich die Linux-Systeme am Active Directory authentifizieren, in dem sie auch verwaltet werden.
Darüber hinaus gibt es auch noch die Möglichkeit, die Unix-Konfigurationen über Gruppenrichtlinien im Active Directory zu verwalten. Mit diesem Ansatz können Richtlinien zentral angepasst und automatisch auf die Zielsysteme unter Linux und Unix verteilt werden.
Anwendungen können sowohl über GSS-API als auch über LDAP und Kerberos mit dem Active Directoy zusammenarbeiten. Für LDAP-Zugriffe wird ein Authentifizierungsproxy gegen das Active Directory verwendet. Die LDAP-Kommunikation wird dadurch über Kerberos gesichert, sodass man nicht mit SSL arbeiten muss. Außerdem bietet Vintela eine Reihe von Erweiterungen an, mit denen gängige Anwendungen wie Open-SSH oder Apache mit der Authentifizierung am Active Directory integriert werden können.
Die Konfiguration erfolgt über eine grafische Schnittstelle, die als MMC-Snap-In realisiert ist und sich damit einfach nutzen lässt. Außerdem werden die Basisfunktionen der Anwendung Active Directory-Benutzer und -Computer erweitert.
Auch komplexere Anforderungen wie die Zeitsynchronisation werden unterstützt. Die Vintela Authentication Services sorgen dafür, dass die für Kerberos kritische Zeitsynchronisation funktioniert.
Weitere Funktionen sind lokale Caching-Mechanismen auf den Unix- und Linux-Systemen und die Umsetzung verschachtelter Gruppen im Active Directory in flache Namensbereiche auf Unix bzw. Linux. Außerdem stehen Migrationswerkzeuge und Scripting-Erweiterungen sowie etliche weitere Komponenten, die für eine Anpassung an spezifische Kundenanforderungen notwenig sein können, zur Verfügung.
Die Nutzung des Active Directory für die zentrale Authentifizierung durch zusätzliche Komponenten auf den Unix- und Linux-Plattformen ist für Umgebungen, in denen das Active Directory als strategische Plattform gesetzt ist, die konsequente Lösung. Letztlich wählt auch Microsoft diesen Ansatz, aber ohne die Integrationstiefe mit Unix und Linux, den Quest Vintela bieten kann.
Centrify DirectControl
Der zweite wichtige Anbieter in diesem Marktsegment ist Centrify (www.centrify.com) mit seinem Produkt DirectControl. Die Idee ist auch hier, das Active Directory als zentrales System im Netzwerk zu verwenden und andere Plattformen damit zu integrieren. Dabei werden neben Betriebssystemen auch einige spezielle
Anwendungen unterstützt, ebenso Apple Macintosh-Systeme.
Centrify arbeitet mit Agents, die die Zielsysteme zu Active Directory-Clients machen. Zu den Funktionen gehören die Authentifizierung, die Zugriffskontrolle und Dienste für die Gruppenrichtlinien. Für die Authentifizierung wird auch bei Centrify mit Kerberos gearbeitet.
Der Ansatz des Agents wird über einen Daemon realisiert, der auf dem Unix-, Linux- oder Macintosh-System ausgeführt wird. Aus Sicht des Active Directory verhält sich das System damit wie ein Windows-Rechner. Auch hier werden Funktionen wie das Caching von Credentials übernommen, ebenso wie die Zeitsynchronisation.
Interessant ist die Liste der unterstützten Plattformen, die etwas länger ist als bei Quest Vintela. So finden sich hier das bereits erwähnte Mac OS X ab der Version 10.3 für PPC und 10.4 für Intel, Debian Linux und Silicon Graphics IRIX, ebenso wie eine spezielle Schnittstelle für ESX-Server von VMware. Im Infrastrukturbereich ist außerdem die spezielle Unterstützung für Samba erwähnenswert.
Ob man sich für eines der beiden Produkte entscheidet oder einen anderen Weg wählt, muss man im Einzelfall entscheiden. Die Realisierung einer integrierten Infrastruktur mit Windows, Linux und anderen Betriebssystemen ist heute aber machbar, auch wenn es in jedem Fall einiges an konzeptioneller Arbeit erfordert.
Welchen Weg man für die Integration wählt, hängt von vielen Faktoren ab. Entscheidend ist zunächst, ob man mit einem führenden System arbeiten oder mehrere gleichberechtigte Plattformen haben möchte. Auch die langfristige Clientstrategie spielt eine wichtige Rolle. Wenn man sehr viele Systeme eng integrieren muss, wird man eher zu Produkten wie denen von Quest Vintela oder Centrify greifen. Geht es dagegen nur um wenige Systeme, spricht viel für die "Bordmittel".