Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Grundlagen der Active Directory-Verbunddienste 269
Standorte und -Dienste verwenden, um die Replikation zwischen AD LDS-Instanzen zu
verwalten.
Generieren von IFM (Install From Media). Mit diesem Feature können Sie einen kompakten
Ntdsutil.exe- oder Dsdbutil.exe-Prozess nutzen, um Installationsmedien für die
nächsten Installationen zu erstellen.
Da während des Instanzsetups eine dynamische Liste von LDIF-Dateien (LDAP Data
Interchange Format) zur Verfügung steht, können Sie während des AD LDS-Setups benutzerdefinierte
LDIF-Dateien verwenden. Sie brauchen sie lediglich zum Verzeichnis
%SystemRoot%\adam hinzuzufügen, dann werden sie zusätzlich zu den Standard-LDIF-
Dateien ausgeführt.
Mithilfe rekursiver Abfragen zu verknüpften Attributen können Sie die Gruppenmitgliedschaft
und den Stammbaum mit einer einzigen LDAP-Abfrage ermitteln.
Grundlagen der Active Directory-Verbunddienste
Ich werde immer häufiger gefragt, wie sich eine Lösung für Identitäten entwickeln lässt, die
über mehrere Plattformen hinweg funktioniert, sogar in Nicht-Windows-Umgebungen. Kunden
wollen eine Lösung, die sich ins Internet skalieren lässt, flexibel erweiterbar ist und eine
Identitätszugrifflösung enthält, die so sicher wie möglich ist. In diesen Fällen untersuche ich
immer, ob die Serverrolle Active Directory-Verbunddienste (Active Directory Federation
Services, AD FS) geeignet ist, die im Betriebssystem Microsoft Windows Server 2008 enthalten
ist. In den folgenden Abschnitten gebe ich einen Überblick über AD FS. AD FS soll
die Möglichkeit bieten, einen Benutzer über einmaliges Anmelden (Single-Sign-On, SSO)
gegenüber mehreren Webanwendungen über die gesamte Dauer einer bestimmten Sitzung zu
authentifizieren. AD FS erreicht das, indem es eine digitale Identität auf sichere Weise über
Sicherheitsgrenzen zur Verfügung stellt. Meines Wissens ist dies die sicherste Lösung.
Was ist AD FS?
Es ist nichts Ungewöhnliches, wenn man sich mehrere digitale Identitäten merken muss.
Das passiert mir oft, wenn ich versuche, eine Anwendung zu benutzen, die sich nicht in dem
Netzwerk befindet, in dem ich normalerweise arbeite. In diesem Fall liegen Ihre Anmeldeinformationen
(mit denen Sie sich bereits an Ihrem Netzwerk angemeldet haben) nicht im
selben Bereich (engl. realm) wie die Anwendung. Daher öffnet sich oft ein weiteres Anmeldedialogfeld,
in dem Sie noch einmal Anmeldeinformationen eingeben müssen, wenn Sie
auf die Anwendung zugreifen. Diese sekundären Anmeldeinformationen stehen für die Identität
Ihres Benutzers in dem Bereich, in dem sich die Anwendung befindet. Der Webserver,
der die Anwendung hostet, braucht diese Anmeldeinformationen normalerweise, um die
Autorisierungsentscheidung zu treffen, ob er Ihnen Zugriff erlaubt oder verweigert.
AD FS macht sekundäre Konten und ihre Anmeldeinformationen unnötig, weil es eine Vertrauensstellung
zur Verfügung stellt, mit der Sie die digitale Identität eines Benutzers und
die Zugriffsrechte auf Ihre vertrauenswürdigen Partner schützen können. In einer sogenannten
Verbundumgebung (engl. federated environment) verwaltet jede Organisation ihre eigenen
Identitäten (Benutzer). Jede Organisation erlaubt aber auch, Identitäten auf andere Organisationen
zu übertragen und von anderen Organisationen zu übernehmen. Das macht den
Vorgang für Endbenutzer nahtlos. Ein anderes häufiges Szenario ist die Bereitstellung von
Verbundservern in mehreren Organisationen, um B2B-Transaktionen (Business-to-Business)