Computer Domain Model

In Bezug auf IT-Infrastruktur von Organisationen fällt häufig der Begriff Domäne und Domänencontroller. Aber was verbirgt sich genau hinter diesen Begriffen?

Lesen Sie unseren kurzen Beitrag und erfahren am Beispiel von Univention Corporate Server, was eine Domäne und ein Domänencontroller sind und welche Funktion sie haben.

Was ist eine Domäne?

Als Domäne wird ein konzeptionelles Gebilde bezeichnet, das sich durch einen gemeinsamen Sicherheits- und Vertrauenskontext auszeichnet. Das heißt, die Mitglieder der Domäne kennen und vertrauen sich untereinander. Externe Systeme und Benutzer haben entsprechend keinen Zugriff auf innerhalb der Domäne bereitgestellte Ressourcen und Dienste wie Rechner, Dateien usw.

Struktur einer Domäne

Mitglied in einer Domäne können beispielsweise Benutzer und Gruppen sein, aber auch Client-Rechner und Server-Systeme. Kernbestandteil einer solchen Domäne sind die Informationen darüber, wer Mitglied ist und wie sich dieses Mitglied authentisieren, also die eigene Mitgliedschaft nachweisen kann.

Definition und Aufgabe des Domänencontrollers

Die Verwaltung dieser Informationen übernimmt mindestens ein Serversystem, das Mitglied der Domäne ist und aufgrund seiner Stellung als Domänencontroller bezeichnet wird. Es kontrolliert und verwaltet die Domäne bzw. die dazugehörigen Informationen. In kleinen Umgebungen reicht oft ein Domänencontroller aus, in mittleren und großen Umgebungen werden aus Gründen der Ausfallsicherheit und Lastverteilung in aller Regel mehrere solcher Domänencontroller eingesetzt, die ihren Informationsstand automatisiert untereinander abgleichen (Stichwort Replikation).

In einer solchen Domäne werden diverse Dienste angeboten, für die eine Authentifizierung notwendig ist. Das heißt, die Benutzer und Rechner müssen nachweisen, dass sie Mitglied in der Domäne sind, bevor sie Zugriff erhalten. Beispiele sind Datei- und Druckdienste. Zur Authentifizierung können verschiedene Verfahren eingesetzt werden, bspw. eine LDAP-Authentifizierung, RADIUS oder Kerberos (siehe weiter unten).

Domänen-Namen

Eine Domäne hat auch immer einen Namen. Rechner wie Clients und Serversysteme, die darin Mitglied sind, verfügen über einen sogenannten Vollqualifizierten Domänen-Namen (FQDN), der sich aus dem Hostnamen und dem Domänen-Namen zusammensetzt:

Domänenname: intranet.example.org
FQDN:        ucs-01.intranet.example.org
     Hostname -^   | ^- Domänenname

Über diesen FQDN können Systeme und Dienste im Netzwerk identifiziert und gefunden werden.

Domänen-Dienste zur Authentifizierung

UCS spannt nun eine solche Domäne auf, verwaltet die Benutzer und Rechnerdaten, steuert darüber Zugriffsberechtigungen und bietet zur Authentifizierung verschiedene, auch unterstützende Dienste an.

Dazu gehören:

  • OpenLDAP als Verzeichnisdienst – bspw. mit der LDAP-Basis dc=intranet,dc=example,dc=org
  • Kerberos – bspw. mit dem Kerberos-Realm INTRANET.EXAMPLE.ORG
  • DNS – insbesondere Kerberos, aber auch viele weitere Dienste setzen eine funktionierende Namensauflösung via DNS voraus – bspw. mit der DNS Zone intranet.example.org
  • SAML – für webbasiertes Single Sign-On
  • Optional:
    • RADIUS – bspw. für WLAN
    • Active Directory – bspw. mit der LDAP-Basis DC=intranet,DC=example,DC=org
    • NetBIOS/WINS -bspw. INTRANET

Diese Dienste, die grundsätzlich auch unabhängig voneinander betrieben werden können, sind in UCS so vorkonfiguriert und verzahnt, dass sie innerhalb derselben Domäne gültig sind und funktionieren. Somit bietet UCS eine optimale Basis zum Betrieb einer heterogenen IT-Umgebung, in die sich verschiedenste Systeme und Dienste über die Domänenfunktionalität anbinden lassen.

Weitere Informationen über die in UCS integrierten Authentifizierungs-Services finden Sie unter Anmelde- und Authentifizierungsdienste.

Wir würden uns sehr freuen, wenn wir mit diesem kurzen Beitrag ewas Licht in den „Domänendschungel“ gebracht haben.

Open Source Software Consultant und Mitglied des Professional Services Teams bei Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.