Verzeichnisdienste & Benutzermanagement
08 | 2022

Verzeichnisdienste & Benutzermanagement

Die Verwaltung der Mitarbeiterkonten ist das A und O in der Unternehmens-IT – sie bestimmt, ob die User problemlos arbeiten können und setzt gleichzeitig einen wichtigen Security-Standard im Netzwerk. Im August-Heft beleuchten wir den Schwerpunkt "Verzeichnisdienste & Benutzermanagement".
Editorial: Raus aus dem Teufelskreis
Wir stehen unter Beobachtung: Ob Firmen oder Privatpersonen, die Finanzaufsicht hat stets ein wachsames Auge auf unsere Bankgeschäfte – könnten wir doch beispielsweise organisierte kriminelle Banden finanzieren; am besten noch in Ländern, die zurzeit ganz oben auf der Sanktionsliste stehen. Doch geschieht genau das hierzulande jeden Tag vielfach – völlig legal und steuerlich absetzbar. Die Rede ist von Ransomware. Sind die Daten verschlüsselt und drohen die Angreifer gar mit Veröffentlichung von Interna, sind schnell alle Vorbehalte vergessen. Die Sicherheitsbehörden raten zwar von Lösegeldzahlungen ab, das war es aber auch schon.

Aktuell

News

Interview
Im März dieses Jahres warnte das Bundesamt für Sicherheit in der Informationstechnik vor der Nutzung von Kaspersky-Produkten vor allem in kritischen Umgebungen. Die mit weitreichenden Rechten ausgestatteten IT-Security-Programme könnten sich für Sabotage- und Spionagezwecke durch Russland missbrauchen lassen. Wir haben mit Christian Milde, dem Geschäftsführer Central Europe bei Kaspersky, darüber gesprochen, wie das Unternehmen mit der BSI-Warnung umgeht und konkret das Vertrauen in seine Software zurückgewinnen möchte. Ebenfalls Thema waren die aktuellen Entwicklungen beim Identitäts- und Zugriffsmanagement sowie im IoT-Bereich.

Trainings, Intensivseminare und Workshops
Ab November bieten wir unseren bislang eintägigen Kurs "Linux und Active-Directory-Integration" als zweitägiges Online-Intensivseminar an. Dabei widmet sich der zusätzliche Tag ausschließlich der praktischen Umsetzung des Gelernten. So erfahren die Teilnehmer anhand von Übungen am Rechner, wie sich Linux-Clients sicher in das Active Directory integrieren lassen, wie das Identitätsmanagement funktioniert und wie dies auch über Domaingrenzen gelingt. Viel Praxis bieten natürlich auch unsere anderen Online-Intensivseminare, sodass maximaler Lernerfolg garantiert ist.

Tests

FirstWare IDM-Portal Professional Edition 2020.4
Das FirstWare IDM-Portal vereinfacht das Benutzer-Management im Microsoft Active Directory – auch hybrid in Verbindung mit Azure AD. Das Portal hilft Admins dabei, typische Aufgaben zu delegieren oder Benutzer selbst im Self-Service zu befähigen. IT-Administrator hat sich die Lösung in der Praxis angesehen und war von ihrer Flexibilität begeistert.

Ory Cloud
Identitäten sind eine entscheidende Sicherheitskomponente aller modernen IT-Umgebungen. Deren Verwaltung ist so komplex, dass das Identity-und Access-Management mittlerweile eine eigene IT-Disziplin mit spezialisierten Herstellern ist. Ory Cloud baut seine Identitätsplattform aus Open-Source-Modulen und zeigt Stärken beim Identitätsmanagement und dem Einsatz von Social Sign-ins. Allerdings kommen Admins nicht um Eigenentwicklung vor dem Produktiveinsatz herum.

Semperis Directory Services Protector 3.6
Das Active Directory bildet die Schaltzentrale und das Rückgrat vieler IT-Infrastrukturen. Der Verzeichnisdienst ist daher beliebtes Ziel von Angreifern. Semperis Directory Services Protector überwacht das AD auf Schwachstellen, unerwünschte Änderungen sowie Indikatoren für eine Attacke und greift automatisch ein. IT-Administrator hat sich angesehen, wie sich die Software in der Praxis schlägt.

Profitap IOTA 1G
Bei trägen Applikationen fällt der Verdacht schnell auf das Netzwerk. Eine tiefgehende Fehleranalyse gerät ohne die passenden Hilfsmittel aber schnell zur Suche nach der Nadel im Heuhaufen. Die Appliance IOTA von Profi tap positioniert sich deshalb als Helfer zum Aufzeichnen und Analysieren von Netzwerkverkehr. Im Test zeigte sich, dass sich der Hersteller gerade für den schnellen Remote-Einsatz seines Werkzeugs Gedanken gemacht hat.

Praxis

Remotedesktop-Anwendungen im Vergleich
Sind Mitarbeiter im Home Office oder anderweitig auswärts tätig, benötigt die IT für den Support einen Fernzugriff. Hier kommt Remotedesktop-Software ins Spiel: Sie erlaubt den Fernzugriff und ist seit Jahren ein etabliertes Werkzeug in der Fernwartung. Doch zu evaluieren, welches Werkzeug hinsichtlich Performance, Features und Preis optimal ist, erweist sich für die Unternehmens-IT als echte Herausforderung. Wir betrachten beispielhaft acht Tools unterschiedlicher Ausprägungen.

Apple Business Essentials
Mit der Abkehr von der OS-X-Servervariante stellt Apple IT-Verantwortliche vor die Frage, wie sich Geräte aus Cupertino zukünftig zentral verwalten lassen. Offiziell verweist der Hersteller auf den Einsatz eines Mobile Device Managements von Drittanbietern, doch in den USA hat Apple mit Apple Business Essentials bereits ein eigenes Werkzeug dafür am Start. Da dies auch bald für den hiesigen Markt zu erwarten ist, werfen wir einen ersten Blick darauf.

Microsoft 365 Desired State Configuration
Die Desired State Configuration ist eine deklarative PowerShell-Erweiterung, die die einfache und transparente Konfiguration von Systemen und Anwendungen erlaubt. Damit ist möglich, Änderungen automatisch zu verfolgen und bei Bedarf wieder auf den gewünschten Zustand zurückzusetzen. Microsoft hat diese Erweiterung vor einiger Zeit für Microsoft 365 zur Verfügung gestellt. Wir beschreiben die recht aufwendige Ersteinrichtung und den Einsatz der Microsoft 365 Desired State Configuration.

Open-Source-Tipp
In diesem Monat geht es im Open-Source-Tipp weiter mit nützlichen Tools für die Kommandozeile. Diesmal dreht sich alles um den Fuzzy Finder, kurz fzf. Diesen können Sie innerhalb einer Shell als interaktiven Filter verwenden und zusammen mit anderen Kommandozeilentools einsetzen.

Security-Tipp
Die Verschlüsselung von Dateien garantiert das IT-Sicherheit-Schutzziel der Vertraulichkeit. Je nachdem, welches Verfahren zum Einsatz kommt, lassen sich auch die Integrität und die Zurechenbarkeit sicherstellen. Mit Age ist eine asymmetrische Verschlüsselung dabei einfacher möglich als etwa mit GnuPG. In diesem Security-Tipp zeigen wir, wofür und wie Sie Age in der Praxis verwenden können.

Tipps, Tricks und Tools
In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Schwerpunkt

Active Directory und Red Hat IdM per Vertrauensstellung verbinden
Microsofts Active Directory und Red Hats IdM sind zwei Werkzeuge für dieselbe Aufgabe: Verzeichnisdienste, um Benutzer und Ressourcen zu verwalten. Nicht selten finden sich im Unternehmen beide Produkte – und manchmal besteht der Bedarf, Nutzern aus der einen Domäne den Zugriff auf Dienste in der anderen zu ermöglichen. Per Cross-Forest-Vertrauens stellung ist das grundsätzlich möglich, die Einrichtung gestaltet sich aber nicht ganz trivial. Unser Workshop verrät, wie es funktioniert.

Identity- und Access-Management mit Keycloak
Bestehende Applikationen und Services einer Infrastruktur mit minimalem Aufwand um Single-Sign-on-Authentifizierungsfunktionen zu erweitern, hat sich das Open-Source-Werkzeug Keycloak auf die Fahnen geschrieben. Die Java-basierte Identity- und Access-Management-Software bietet eine moderne Benutzerverwaltung und lässt sich problemlos in bestehende Infrastrukturen integrieren.

Samba als Domaincontroller
Ein Active-Directory-Domaincontroller dient als zentraler Anmeldeserver in heterogenen Netzen mit Windows-, Linux- und macOS-Clients. Diese Aufgabe muss dabei nicht zwingend ein Windows-Server stemmen. Auch der Open-Source-Dienst Samba kann als DC arbeiten, wie wir in diesem Workshop zeigen.

Benutzerverwaltung in Linux abhärten
Unzählige Möglichkeiten existieren, um die Benutzerverwaltung von Linux-Systemen abzuhärten – ganz gleich, ob zentrale Verzeichnisse zum Einsatz kommen oder die Verwaltung der User lokal erfolgt. Auf den allermeisten Systemen liegt ein Gros der Optionen für sichere Zugänge jedoch brach. Ablaufende Passwörter finden sich ebenso wenig wie ablaufende Accounts, und vielerorts funktioniert sogar der Login als Systemverwalter "root" per SSH noch. Der Artikel zeigt, wie Admins mit einfachen Bordmitteln die Benutzerverwaltung ihrer Systeme abhärten.

Azure AD Password Protection
Benutzer haben heutzutage von überall Zugriff auf Microsoft-Dienste und authentifizieren sich vielfältig gegen das Azure Active Directory. Redmond liefert standardmäßig eine umfassende Palette von Technologien und Richtlinien, die dem Zero-Trust-Ansatz folgt und für Sicherheit sorgt. Einen eher unscheinbaren, aber trotzdem guten Schutz bietet Password Protection – wir haben uns die Funktionsweise und die praktische Anwendung des Diensts angesehen.

Zertifikatbasierte Authentifizierung
Das Azure Active Directory unterstützt eine Reihe von passwortlosen Anmeldeverfahren. Smartcards und zertifikatsbasierte Anmeldung zählten bislang allerdings nicht dazu. Das ändert sich nun, denn die Certificate-based Authentication hält Einzug in der Microsoft-Cloud und schenkt bereits ausgerollten physischen Karten und Zertifikaten neue Einsatzzwecke. Wir zeigen in diesem Workshop, wie das Setup funktioniert.

AD-Verwaltung mit den NetTools
Die Vielfalt der Werkzeuge für den Active-Directory-Administrator ist umfangreich. Das fängt bei den integrierten Verwaltungstools von Windows Server an und geht hin zu einer Vielzahl an kostenlosen sowie kommerziellen Programmen. Wunderbar abrunden lässt sich dieser Werkzeugkoffer mit den kostenlosen NetTools: in Summe mehr als 90 kleinere und größere Helfer, die Fehlersuche und Verwaltung vereinfachen.

Identity- und Access-Management für den Mittelstand
Identity- und Access-Management findet sich bislang vor allem bei größeren Unternehmen. Dabei ist es für Firmen jeder Größe wichtig, digitale Identitäten – nicht nur von Mitarbeitern – und deren Zugriffsberechtigungen effizient und effektiv zu verwalten. Doch im Mittelstand herrscht chronischer Personalmangel und so ist es für IAM entscheidend, die eigenen Anforderungen genau zu definieren und die passenden Anbieter auszuwählen.

Rubriken

Buchbesprechung

Fachartikel online
Unser Internetauftritt versorgt Sie jede Woche mit neuen interessanten Fachartikeln. Als Heftleser können Sie über die Eingabe des Link-Codes schon jetzt exklusiv auf alle Online-Beiträge zugreifen.

Aus dem Forschungslabor
Heutige KI-Systeme – oder neuronale Netze – sind so komplex, dass selbst ihre Erschaffer die Vorgänge dahinter nicht mehr gänzlich nachvollziehen können. Ein Weg, um die Sicht von KIs auf unsere Welt besser zu verstehen, bietet Dall-E 2. Die KI erzeugt aus natürlich klingenden Beschreibungen beeindruckende Bilder und soll uns so dabei helfen, ihren Blick auf die Dinge besser zu verstehen.
Sichere Dir jetzt Dein Schnupperabo mit sechs Ausgaben zum Preis von drei!PrintausgabeE-Paper