Mit SSSD ins Active Directory und darüber hinaus
Fremde Welten
Zum Eingliedern von Linux-Systemen in Verzeichnisdienste wie Active Directory bietet das Fedora-Projekt mit dem System Security Services Daemon eine flexible Lösung auf Open-Source-Basis.
Zentrale Verzeichnisdienste sind eine wesentliche Voraussetzung für das Verwalten von Benutzeridentitäten und deren Berechtigungen. In heterogenen Umgebungen mit Windows-, Unix- und Linux-Systemen bieten sich hier zum einen Linux-basierte Lösungen wie FreeIPA oder Æ-DIR (siehe die Artikel „Gut verteilt“ sowie „Gut geschwenkt“ auf den Seiten 118 und 130), zum anderen aber natürlich Microsofts Active Directory (AD) förmlich an. Insbesondere ist bei AD jeder Domänen-Controller zugleich Kerberos- und LDAP-Server und stellt damit von Haus aus zwei zentrale Dienste für Authentifizierung und Autorisierung bereit. Neben solchen Komplettpaketen lässt sich die Infrastruktur unter Linux auch aus einzelnen Komponenten wie OpenLDAP und MIT-Kerberos aufbauen – wie das geht, beschreibt das iX-Tutorial aus den ersten drei Ausgaben dieses Jahrgangs [1–3].
Der vorliegende Artikel behandelt zunächst das Verknüpfen von Linux-Systemen mit einem Active Directory und erweitert diese Konfiguration dann um eine zusätzliche Verbindung zu einer Linux-basierten OpenLDAP-Infrastruktur. Die Anbindung erfolgt dabei über den System Security Services Daemon (SSSD, siehe „Onlinequellen“, [a]).