Vertrauensfrage

Eine Vertrauensstellung zwischen FreeIPA und Active Directory aufbauen

Die wenigsten Unternehmen kommen ohne zentralen Verzeichnisdienst aus. Warum das so ist, und wie man auf Basis von Red Hat Enterprise Linux schnell einen LDAP-Server an den Start bringt, konnten Sie in der letzten Ausgabe lesen. Der gezeigte Weg fußt auf Red Hats IdM-Produkt. Dessen Kern bildet FreeIPA, das mit einer LDAP-Implementation arbeitet, die Red Hats Feder entspringt. Red Hat Identity Management bietet Administratoren den Vorteil, ein fertiges Produkt, Support und Dienstleistungen aus derselben Hand beziehen zu können. Zudem sprechen die Vorteile von IdM für sich: Wer etwa seine Dienste miteinander SSL sprechen lassen möchte, findet in IdM einen Mechanismus, der Hosts automatisch zum Verzeichnis hinzufügt, SSLZertifikate für sie ausstellt und auch die Konfiguration des SSH-Proxys zur Verwaltung der SSL-Schlüssel der Server übernimmt. Für den Admin bringt das die zusätzliche Sicherheit, dass er bemerkt, wenn sich bei einem Server der SSL-Schlüssel des SSH-Servers ändert; das könnte auf einen Angriff hindeuten.

Klar ist aber auch: Viele Unternehmen installieren Red Hat IdM heute als zusätzliches Produkt auf einer grünen Wiese, obgleich in anderen Abteilungen des Unternehmens womöglich schon ein Verzeichnisdienst existiert - in der Regel Microsofts Active Directory (AD). Und so kategorisch manch gutgläubiger Admin auch ausschließt, dass das neue IdM und das alte Active Directory jemals etwas mit einander zu tun haben werden - früher oder später entsteht unweigerlich das Bedürfnis, die beiden Dienste miteinander zu verbinden.

Eine Quelle der Wahrheit

Aus Compliance-Sicht sind wenige Dinge so sinnlos für. Im schlechtesten Fall zieht das desaströse Folgen nach sich: Wenn Mitarbeiter das Unternehmen verlassen und die Firma vergisst, deren Accounts auf der eigenen Infrastruktur zu deaktivieren, kann das etwa gemäß DSGVO empfindliche Strafen nach sich ziehen.