deltadragon
Goto Top

Zentrales Nutzermanagement Windows Server

Hallo zusammen,
Ich suche hier heute Euren Rat zum Thema Nutzermanagement auf einem Windows-V-Server

Kenntnisse
Ich bin zwar seit zehn Jahren Softwareentwickler (Java), habe jedoch vergleichsweise geringe Erfahrungen im Management von Servern. Das meiste wird von unseren Admins übernommen, damit wir uns rein auf die Entwicklung konzentrieren können. Ein paar Grundlagen sind jedoch vorhanden.

Wofür ist der Server
Ein paar Freunde, Kollegen und ich entschieden uns vor einigen Jahren, dass wir auch in unserer Freizeit an eigenen Projekten entwickeln wollen. Damals hatte ich einen Windows-V-Server gemietet und dort einige Dienste installiert (Git, Jenkins, NexusOSS, Kanbanboard, Wiki ...) - diese Dienste laufen hinter einem IIS, welcher hauptsächlich als Reverse-Proxy fungiert (um Subdomains wie git.mydomain.de anzusprechen und um HTTPS zu erzwingen)

Problemstellung
Aktuell haben wir uns dazu entschieden, den besagter Server komplett neu aufzusetzen Natürlich wollen wir auch beim neuen Server nicht in jedem Service die Nutzer einzeln managen, sondern das Nutzermanagement gerne an zentraler Stelle haben. Hierzu suche ich eine sinnvolle Lösung und damit Euren Rat.

Bisherige Lösung
Auf dem alten Server habe ich damals ein bisschen herumprobiert, schließlich die Rolle AD DS installiert und damit den ganzen Server zum Domänencontroller hochgestuft. Die Nutzer habe ich den Diensten dann via LDAP bezogen, wenn sie jeweils in einer bestimmten Gruppe für den Dienst waren.
Das hat auch alles soweit funktionert. Es kommt mir jedoch etwas übertrieben für unseren Zweck vor.
Ich bin mir letztlich auch nicht sicherob es generell so sinnig/sicher ist, den Domänencontroller auf dem System zu haben, wie die Produktionsumgebung und den IIS (vielleicht als kleine Zusatzfrage, falls dafür wer Zeit hat)

Was habe ich mir bisher grob angeschaut
Die nachfolgenden Punkte sollen damit nicht ausgeschlossen sein - bitte nicht falsch verstehen. Ich möchte nur der vollständigkeit halber angeben, was ich mir zusätzlich zum AD DS angeschaut habe und welche Probleme ich auf den ersten, groben Blick identifiziert hatte. Hierzu nehme ich natürlich gerne Ratschläge an.

1. AD LDS: Hier scheine ich entweder Nutzerattribute (wie Mail-Adresse beispielweise) händisch managen zu müssen oder weitere Arbeit investieren zu müssen (Skript/einfache GUI für die Attribute o.Ä.). Oder ich habe das falsche Tool für den Versuch gewählt. Auf den ersten Blick wirkte das Nutzermanagement jedenfalls recht umständlich - wobei sich eine einfache GUI oder ein Kommandozeilen-Tool sicherlich schnell bauen ließe und bestimmt auch schon existiert.

2. OpenLDAP: Hier schreckt mich ab, dass zwar gesagt wird, dass OpenLDAP zwar für alle möglichen Betriebssysteme geeignet ist, jedoch keine wirklichen Anleitungen für Windows zu finden waren und passende Installer/windows geeignete Builds über ein Jahr veraltet sind. Daher habe ich mich damit zunächst nicht weiter befasst.

Frage
Was könnt Ihr für ein zentrales Nutzermanagement für Dienste (wie Git, Jenkins, NexusOSS ... youNameIt) empfehlen?
Rahmenbedingungen:
- Windows Server 2019 mit IIS als Webserver
- Es handelt sich um einen V-Server, der über einen externen Anbieter gehostet wird
- Dienste beziehen (derzeit) Nutzerdaten über LDAP (bindDN)
- Zugriff zu einzelnen Diensten wird (derzeit) über Gruppen gesteuert
- "Registrierung" neuer Nutzer erfolgt ausschließlich durch mich
- Nutzer sollen ihr Passwort ändern können
- Nutzer sollen sich mit den hinterlegten Credentials an Diensten (Git, Jenkins...) anmelden können.


Für Euren Rat und Eure Erfahrung wäre ich sehr dankbar. Gerne nehme ich natürlich auch weitere Tipps und Vorschläge an, da ich eben nicht sonderlich erfahren mit Servern allgemein bin, aber hier natürlich auch lernen möchte.

Liebe Grüße

Content-Key: 1309845797

Url: https://administrator.de/contentid/1309845797

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: departure69
departure69 26.09.2021 aktualisiert um 19:07:53 Uhr
Goto Top
@DeltaDragon:

Hallo.

Bisherige Lösung
Auf dem alten Server habe ich damals ein bisschen herumprobiert, schließlich die Rolle AD DS installiert und damit den ganzen Server zum Domänencontroller hochgestuft. Die Nutzer habe ich den Diensten dann via LDAP bezogen, wenn sie jeweils in einer bestimmten Gruppe für den Dienst waren.
Das hat auch alles soweit funktionert. Es kommt mir jedoch etwas übertrieben für unseren Zweck vor.
Ich bin mir letztlich auch nicht sicher, ob es generell so sinnig/sicher ist, den Domänencontroller auf dem System zu haben, wie die Produktionsumgebung und den IIS (vielleicht als kleine Zusatzfrage, falls dafür wer Zeit hat)

Naja, ein Microsoft Windows Active Directory ist am Server bloß eine Rolleninstallation, die kein Brot frißt (also kaum Rechenleistung und kein Extra-Geld kostet). Und sie ist für die zentrale Benutzerverwaltung, aber auch die Verwaltung
von Geräten (soweit es um Berechtigungen) geht, wie gemacht bzw. extra und ausdrücklich dafür gedacht. Falsch wäre es also grundsätzlich nicht, ein Active-Directory zu gründen, auch bei nur 10 Usern.

Allerdings hast Du Recht damit, den DC besser nicht gleichzeitig mit anderen, wichtigen Aufgaben (Produktion) zu betreiben, die Regel hierzu lautet: Ein DC ist ein DC ist ein DC. Soll heißen, außer AD und noch DHCP und DNS sollte er eigentlich nichts großartiges darüber hinaus machen, vor allem dann nicht, wenn man nur einen DC hat (manche haben allerdings 2 davon). Und da Du nur ein Stück Blech hast, ist das nicht so passend.

Höchstens bei entsprechender Leistungsfähigkeit der physischen Maschine könntest Du aus ihr einen Hypervisor machen (VMware, Hyper-V, was auch immer) und separierte Maschinen (einen eigenen DC, einen eigenen Fileserver, einen eigenen IIS) darin virtualisieren.

Ansonsten weiß ich leider keine passendere Lösung für Dich.

Viele Grüße

von

departure69

Edit:

Sorry, jetzt erst gesehen, das ist ja bereits eine VM, also doch kein Blech vorhanden, das man noch virtualisieren könnte ...
Mitglied: DeltaDragon
DeltaDragon 26.09.2021 um 20:02:56 Uhr
Goto Top
Danke für Deine schnelle und ausführliche Antwort.

Mal so doof gefragt: Wenn man nur einen V-Server zur Verfügung hat: Wie groß ist denn hier die Gefahr, wenn der DC in der Produktivumgebung läuft?
Ich meine, wenn über einen Service das System korrumpiert wird, ist ja ohnehin das gesamte System hinüber - ob es nun den DC zerlegt oder nicht. In diesem Falle würde ich ohnehin über den Serverprovider die VM wegwerfen. Es käme in jedem Falle zu einem 100% Datenverlust (mal ab von den Backups, die ich natürlich mache). Der Domäne des DC gehören ja erstmal keine weiteren Rechner an.
Oder übersehe ich da etwas Elementares in meiner gedanklichen Naivität?
Mitglied: 148848
Lösung 148848 27.09.2021 um 00:33:20 Uhr
Goto Top
Hallo,

Damals hatte ich einen Windows-V-Server gemietet und dort einige Dienste installiert (Git, Jenkins, NexusOSS, Kanbanboard, Wiki ...) - diese Dienste laufen hinter einem IIS, welcher hauptsächlich als Reverse-Proxy fungiert (um Subdomains wie git.mydomain.de anzusprechen und um HTTPS zu erzwingen)

All diese Dienste auf einem einzelnen Server? Und dann noch die DC Rolle? Sehr schlechte Idee.
Ich persönlich würde die Dienste auf einzelnen Servern betreiben. So ein VPS bekommt man heutzutage für ein paar Euros. Einige Anbieter bieten sogar kostenlos zusätzliche Features wie eine Firewall oder VLAN an, sodass die Server dann auch etwas besser gesichert sind.

Muss es zwingend eine Windows Kiste sein? Ich persönlich würde euch eher zu Linux raten. Damit spart ihr euch eine ganze Menge an Ressourcen und auch die Lizenz könnt ihr euch dann sparen. Somit würden auch eurer Ausgaben sinken. Für Linux gebe es auch für euch sehr gute Alternativen wie z.B. FreeIPA oder Univention Corporation Server (UCS).

Auch die Sicherheit würde sich verbessern, denn es klingt für mich so, als würde eure Windows Kiste nackt im Netz hängen. Das kann man zwar machen aber wirklich nur dann, wenn man wirklich Ahnung hat von dem was man tut. Bedenke: wenn euer Server kompromittiert wurde, dann ist nicht nur euer System hinüber, sondern euer Server stellt für andere Teilnehmer eine potentielle Gefahr da. Server sind Hochleistungskisten und haben neben Enterprise Hardware üblicherweise eine ziemlich starke Anbindung. Daher werden gerne gekarperte Server für weitere Angriffe auf andere Systeme missbraucht. Als Server Admin bist du für deinen Server verantwortlich und kannst ggf. auch in Haftung genommen werden.

MfG
Mitglied: BirdyB
Lösung BirdyB 27.09.2021 um 10:21:11 Uhr
Goto Top
Moin,

AD ist doch eigentlich genau das was du benötigst... Ich würde allerdings auch nochmal die Frage in den Raum werfen, ob es denn alles Windows sein muss. Auf einen DC solltest du wirklich nichts anderes mehr drauf packen.
Ansonsten schau dich doch mal bei der Serverbörse nach einem richtigen Blech in der Cloud um und virtualisiere den Kram. Das hat auch noch andere Vorteile z.B. beim Backup...

VG
Mitglied: DeltaDragon
DeltaDragon 27.09.2021 um 10:24:51 Uhr
Goto Top
Danke für Deine Antwort.

Der Server ist grundlegend über den Provider und auch (nach Anleitungen aus dem Netz) von uns abgesichert worden. In dem Paket ist auch beispielsweise die Firewall schon mit drin, wie Du beschrieben hast.

Grundsätzlich müsste es nicht unbedingt ein Windows-Server sein - wir haben es damals auch mit einem Linux-Server probiert, jedoch hat sich das als sehr demotivierend erwiesen. Daheim habe ich mit einer Linux-Kiste schon gewerkelt - allerdings als vollwertiger Desktop-Computer mit UI.
Auf dem Server funktionierte allerdings vieles nicht.
Zu manchen Services gibt es zig verschiedene Anleitung für die Einrichtung, die häufig irgendwo nicht funktionierten, wie angegeben (passende Softwareversionen, Distribution/OS-Version geprüft). Am Ende funktionierte immer irgendwas nicht, obwohl wir da über eine Woche gelesen, probiert und Fragen gestellt haben. Der Windows-Server funktionierte nach einem Tag. Da war letztlich die Entscheidung, einen Windows-Server zu nutzen - zumal wir alle Vollzeit arbeiten und irgendwann Geduld/Freizeit fehlten, um immer wieder "gefühlt gegen Wände zu rennen".
Bitte nicht als Kritik an Deiner Antwort oder an Linux selbst verstehen - nur als Background, wie es damals dazu kam und warum ich auch fünf Jahre später immer noch ein wenig vor Linux-Lösungen scheue. Ich will damit nicht sagen, dass eine Linux-Lösung nicht die bessere wäre und wir nicht darauf setzen sollten - letztlich sind es ja Anwender (=ich) Probleme.
Deswegen bitte nur als "Das ist der Hintergrund für die Entscheidung" verstehen und nicht als "Um Gottes Willen, NEIN!" Ich bin für Erfahrungen/Tipps sehr dankbar. Sonst hätte ich ja nicht gefragt face-smile

Liebe Grüße
Mitglied: DeltaDragon
DeltaDragon 27.09.2021 um 11:10:21 Uhr
Goto Top
Hallo BirdyB,
Danke auch für Deine Antwort. Leider hatten sich unsere Antworten überschnitten.
Zusammengefasst: Sicherlich sollte ich mich mit dem Thema Linux weiter befassen. Und das werde ich in der Zukunft auch. Bisher habe mich nicht so gut Erfahrungen davon abgehalten.

Mit Virtualisierung habe ich bisher nur einmal befasst - damals mit HyperV auf einem Dienstlaptop. Muss ich mir auch mal genauer anschauen.

Liebe Grüße
Mitglied: DeltaDragon
DeltaDragon 28.09.2021 um 20:36:39 Uhr
Goto Top
Soo, mich hat gestern dann doch noch der Rappel gepackt und ich habe einen Linux-Server (Ubuntu) besorgt.
Dieses Mal hatte ich keine Probleme mit der Konfiguration, dem Einrichten der Firewall, eines Apache-Webservers inklusive SSL und der Dienste... (ja, für den ersten Test war wieder alles auf einem Server - aber das diente jetzt nur einem ersten Test)
Keine Ahnung, warum es damals nicht geklappt hat - vielleicht war ich damals doch einfach nur zu "ungeschickt", zu jung oder/und zu unerfahren. Ich weiß es nicht. Jedenfalls gibt es mir das neuen Wind, es nochmal zu probieren.

Daher werde ich den Windows-Server tatsächlich durch mehrere Linux-Server ersetzen.

Ich möchte Euch für Eure Antworten, Ratschläge und Erfahrung - und letztlich damit auch den Anstoß, es nochmal mit Linux zu probieren.
Jetzt werde ich mir mal die alternativen Lösungen zum Thema Nutzerverwaltung anschauen.