samca_active_directory

In unserem neusten „Kurz erklärt“ Beitrag möchten wir Ihnen mit Samba und Microsoft Active Directory zwei Lösungen zur zentralen Erkennung und Autorisierung von Mitgliedern einer Domäne vorstellen. Sehr wichtige Features, denn die zentrale Verwaltung eines Domänennetzwerkes hilft sehr, mehr Datenschutz und höhere Ausfallsicherheit für Ihre IT-Systeme zu erreichen.

Und wir möchten Ihnen kurz zeigen, wie es UCS gelingt, zwischen der Linux- und der Windows-Welt eine Brücke zu schlagen, so dass die Vorteile beider Systeme genutzt werden können. Nähere Informationen darüber, was genau eine Domäne ist und welche Aufgaben ein ihr zugehöriger Domänencontroller erfüllt, finden Sie in unserem Artikel Kurz erklärt: Domäne / Domänencontroller.

Nun zum eigentlichen Thema dieses Artikels: Active Directory.

Was genau ist und macht Active Directory?

Active Directory ist eine von Microsoft entwickelte Lösung, um in einem Domänennetzwerk Authentifizierungs- und Autorisierungsdienste bereitstellen zu können.

Kernelemente von Active Directory

Die Kernelemente von Active Directory sind ein LDAP-Verzeichnisdienst, eine Kerberos-Implementierung sowie DNS-Dienste. Informationen über Benutzer, Gruppen und Rechner werden dabei im Verzeichnisdienst gespeichert. Kerberos übernimmt die Authentifizierung dieser Benutzer und Rechner und DNS (Domain Name System) sorgt dafür, dass sich Client- und Serversysteme in diesem Domänennetzwerk gegenseitig finden und miteinander kommunizieren können.

Diese drei Komponenten, LDAP, Kerberos und DNS, sind eng miteinander verzahnt, und um sie zu einer Einheit zusammenzufassen, wird von Active Directory Domain Services (AD DS) gesprochen.

Microsoft Windows Server können als sog. Domänencontroller diese Active Directory Domain Services bereitstellen oder auch als einfache Mitglieder einer solchen Domäne beitreten. Auch Windows Client-Betriebssysteme können in den jeweiligen Business- und Education-Versionen einer solchen Domäne beitreten.

Ressourcenverteilung und Ausfallsicherheit

Die Inhalte des Verzeichnisdienstes werden zwischen den Domänencontrollern einer Domäne repliziert und sind dadurch auf mehreren Systemen verfügbar. Das trägt wesentlich zur Ausfallsicherheit und Lastverteilung der Ressourcen des Domänennetzwerkes bei. Dabei setzt Active Directory eine sogenannte Multi-Master-Replikation um. Änderungen können also auf jedem einzelnen der Domänencontroller vorgenommen werden und werden von dort automatisch auf die übrigen Domänencontroller übertragen.

Samba

Samba 4 LogoDas Samba-Projekt betreut eine freie Software-Suite, die die Interoperabilität von Linux und Unix-basierten Systemen mit von Microsoft verwendeten und entwickelten Diensten und Protokollen ermöglicht.

Bereitstellung von Windows-kompatiblen Diensten

Initial bot Samba dafür die Möglichkeit, Dateifreigaben und Druckdienste über das von Microsoft genutzte und geprägte SMB/CIFS zu nutzen. Und zwar sowohl als Serverimplementierung, in der Samba die Dienste auf Linux oder Unix bereitstellt als auch als Clientimplementierung, die es Linux- und Unix-Systemen erlaubt, die von Microsoft Windows bereitgestellten Dienste zu nutzen.

Der Name „Samba“ wurde dabei übrigens vom Protokollnamen „SMB“ abgeleitet.

Interoperabilität durch integrierte Dienste und Protokolle

Samba implementiert zu Zwecken der Interoperabilität inzwischen eine Vielzahl von Diensten und Protokollen, u. a. SMB/CIFS, NTLM, WINS/NetBIOS, (MS)RPC, SPOOLSS, DFS, SAM, LSA sowie das Windows NT-Domänenmodell. Mit Version 4.0 wurde Samba um eine Open Source Implementierung von Active Directory ergänzt.

Samba als Active Directory Domänencontroller

Samba-Systeme können seitdem nicht nur als Mitglieder einer Active Directory Domäne beitreten, sondern auch selbst die Rolle des Domänencontrollers einnehmen und die Active Directory Domain Services auf einem Linux- oder Unix-basierten System bereitstellen.

Client-Systeme wie Windows oder Mac OS können einer von Samba bereitgestellten Active Directory Domäne über denselben Mechanismus beitreten wie bei einer Microsoft Windows Active Directory Domäne. Zudem können Gruppenrichtlinien zur Verwaltung der Windows-Clients angewendet werden.

Das Zusammenspiel von Samba und UCS

Grundsätzlich ist OpenLDAP als Verzeichnisdienst in UCS das Herzstück, das in jeder UCS Domäne vorhanden sein muss.

Eine Brücke zwischen der Windows- und Linux-/Unix-Welt mit UCS und Samba schlagen

Active_Directory_mit_UCSMit der App Active Directory kompatibler Domänencontroller aus dem Univention App Center bietet UCS über die Samba-Software-Suite auch die Möglichkeit, eine Active Directory Domäne zu betreiben. Der eigens von Univention entwickelte Univention S4-Connector synchronisiert dabei alle relevanten Informationen zwischen dem OpenLDAP-Verzeichnisdienst und dem Samba-Verzeichnisdienst, sodass sich UCS hervorragend eignet, um sowohl die Windows- als auch die Linux/Unix-Welt in einem Domänennetzwerk zu vereinen. So setzt das Bundesamt für Strahlenschutz zum Beispiel seit Jahren UCS und Samba ein, um uneingeschränkt von den Vorteile der eingesetzten Linuxserver zu profitieren und gleichzeitig den Mitarbeitern an den verschiedenen Standorten die Arbeit mit Windows-Diensten und Clients zu ermöglichen.

Wir würden uns freuen, Ihnen mit diesem Artikel einen guten Einblick in die Aufgaben der Verzeichnisdienste Samba und Microsoft Active Directory gegeben zu haben. Wenn Sie mehr darüber wissen möchten, wie Sie mit UCS und Samba Microsoft- und Linux-basierte Anwendungen in Ihrer IT-Umgebung einfach miteinander kombinieren können, nehmen Sie gerne Kontakt zu uns auf.

Zu diesem Thema empfehlen wir Ihnen außerdem noch folgende Artikel bzw. Video-Tutorials:

Open Source Software Consultant und Mitglied des Professional Services Teams bei Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.