Image of a man with code in the background

Der professionelle Aufbau von Domänen und der Einsatz von Domänencontrollern bringt Ordnung in IT-Infrastrukturen. Dies ist besonders wichtig, wenn Organisationen schnell wachsen. So kann deren IT dynamisch mitwachsen. Anderenfalls entwickelt sich die Infrastruktur zu einer Art „Flickenteppich“ vieler, kleiner Lösungen und unorganisierter Ressourcen, die dann zum Teil unabhängig voneinander agieren, sich möglicherweise gegenseitig behindern und somit einen hohen Wartungsaufwand bedeuten. Ganz zu schweigen von dem Aufwand der doppelten Benutzerpflege und den Risiken in Bezug auf Datenreplikation, Datenschutz und Ausfallsicherheit.

Im folgenden Beitrag verdeutlichen wir zuerst kurz, was überhaupt eine Domäne ist und beschreiben dann die Aufgaben eines Domänencontrollers. Abschließend gehen wir in die Praxis und schauen uns an, wie das Konzept „Domäne/Domänencontroller“ in Univention Corporate Server umgesetzt wurde.

Das Konzept der Domäne

Als Domäne wird ein konzeptionelles Gebilde bezeichnet, das sich durch einen gemeinsamen Sicherheits- und Vertrauenskontext auszeichnet. Das heißt, die Mitglieder der Domäne kennen und vertrauen sich untereinander. Externe Systeme und Benutzer haben entsprechend keinen Zugriff auf innerhalb der Domäne bereitgestellte Ressourcen und Dienste wie Rechner, Dateien usw.

Computer DomänenmodellStruktur einer Domäne

Mitglied in einer Domäne können beispielsweise Benutzer und Gruppen sein, aber auch Client-Rechner und Server-Systeme. Kernbestandteil einer solchen Domäne sind die Informationen darüber, wer Mitglied ist und wie sich dieses Mitglied authentisieren, also die eigene Mitgliedschaft nachweisen kann.

Der Domänencontroller: Definition und Aufgaben

Die Verwaltung dieser Informationen übernimmt mindestens ein Serversystem, das Mitglied der Domäne ist und aufgrund seiner Stellung als Domänencontroller bezeichnet wird. Es kontrolliert und verwaltet die Domäne bzw. die dazugehörigen Informationen. In kleinen Umgebungen reicht oft ein Domänencontroller aus, in mittleren und großen Umgebungen werden aus Gründen der Ausfallsicherheit und Lastverteilung in aller Regel mehrere solcher Domänencontroller eingesetzt, die ihren Informationsstand automatisiert untereinander abgleichen (Stichwort Replikation).

In einer solchen Domäne werden diverse Dienste angeboten, für die eine Authentifizierung notwendig ist. Das heißt, die Benutzer und Rechner müssen nachweisen, dass sie Mitglied in der Domäne sind, bevor sie Zugriff erhalten. Beispiele sind Datei- und Druckdienste. Zur Authentifizierung können verschiedene Verfahren eingesetzt werden, bspw. eine LDAP-Authentifizierung, RADIUS oder Kerberos (siehe weiter unten).

Domänen brauchen Namen

Eine Domäne hat auch immer einen Namen. Rechner wie Clients und Serversysteme, die darin Mitglied sind, verfügen über einen sogenannten Vollqualifizierten Domänen-Namen (FQDN), der sich aus dem Hostnamen und dem Domänen-Namen zusammensetzt:

Domänenname: intranet.example.org
FQDN:        ucs-01.intranet.example.org
     Hostname -^   | ^- Domänenname

Über diesen FQDN können Systeme und Dienste im Netzwerk identifiziert und gefunden werden.

Domänen-Dienste zur Authentifizierung

UCS spannt nun eine solche Domäne auf, verwaltet die Benutzer und Rechnerdaten, steuert darüber Zugriffsberechtigungen und bietet zur Authentifizierung verschiedene, auch unterstützende Dienste an.

Dazu gehören:

  • OpenLDAP als Verzeichnisdienst – bspw. mit der LDAP-Basis dc=intranet,dc=example,dc=org
  • Kerberos – bspw. mit dem Kerberos-Realm INTRANET.EXAMPLE.ORG
  • DNS – insbesondere Kerberos, aber auch viele weitere Dienste setzen eine funktionierende Namensauflösung via DNS voraus – bspw. mit der DNS Zone intranet.example.org
  • SAML – für webbasiertes Single Sign-On
  • Optional:
    • RADIUS – bspw. für WLAN
    • Active Directory – bspw. mit der LDAP-Basis DC=intranet,DC=example,DC=org
    • NetBIOS/WINS -bspw. INTRANET

Diese Dienste, die grundsätzlich auch unabhängig voneinander betrieben werden können, sind in UCS so vorkonfiguriert und verzahnt, dass sie innerhalb derselben Domäne gültig sind und funktionieren. Somit bietet UCS eine optimale Basis zum Betrieb einer heterogenen IT-Umgebung, in die sich verschiedenste Systeme und Dienste über die Domänenfunktionalität anbinden lassen.

Weitere Informationen über die in UCS integrierten Authentifizierungs-Services finden Sie unter Anmelde- und Authentifizierungsdienste.

Wir würden uns sehr freuen, wenn wir mit diesem kurzen Beitrag ewas Licht in den „Domänendschungel“ gebracht haben.

Open Source Software Consultant und Mitglied des Professional Services Teams bei Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.