Jump to content

User-/passwortsynchronisation zwischen zwei ADs - generelle Frage


Recommended Posts

Hallo zusammen,

 

ich habe selbst bislang so gut wie nichts mit AD Trusts zu tun gehabt, daher verzeiht mir bitte, wenn meine Frage etwas "userhaft" vorkommt. ;)

 

Wir haben hier den Fall, dass es zwei verschiedene ADs (Forests) gibt, nennen wir sie Office und Finance. Alle User haben einen Account in Domain Office, mit dem sie sich in der neuen Domain Finance anmelden sollen können.

Dafür wird die Software Novell Identity Passwort Sync verwendet. Diese synchronisiert User & Passwörter zwischen den beiden Domains.

 

Ich soll jetzt evaluieren, ob statt der Software ein Trust genutzt werden kann. Ich war immer der Meinung, dass bei einem Trust die Metadaten (UPN, Passwort, letzte Anmeldung etc...) ebenfalls gesynct werden, bis ein Kollege meinte, das ginge nicht.

Eine  Googlesuche später bin ich jetzt auch der Meinung, dass das nicht geht, frage mich aber, wie man das sonst mit einem Trust umsetzen kann. Das Ziel ist eben, dass User aus der Domain Office ihren dort bestehenden User mit demselben Passwort zur Anmeldung an der Domain Finance nutzen können.

Link to post
vor 4 Minuten schrieb Stibo:

dass bei einem Trust die Metadaten (UPN, Passwort, letzte Anmeldung etc...) ebenfalls gesynct werden, bis ein Kollege meinte, das ginge nicht.

Ein Trust syncht nichts. Der stellt wie der Name schon sagt sicher, dass die eine Seite der anderen Vetraut (und ggf. auch beidseitig). Wenn es die Nutzer in beiden Domains gibt, wozu dann ein Trust? Üblichweise wird ein Trust dazu genutzt, die Accounts aus einer Domain zu nutzen, sich an einer Ressource einer anderen Domain anzumelden (denn die vertraut ja den Konten) ;) 

Link to post
vor 3 Minuten schrieb NorbertFe:

Ein Trust syncht nichts. Der stellt wie der Name schon sagt sicher, dass die eine Seite der anderen Vetraut (und ggf. auch beidseitig). Wenn es die Nutzer in beiden Domains gibt, wozu dann ein Trust? Üblichweise wird ein Trust dazu genutzt, die Accounts aus einer Domain zu nutzen, sich an einer Ressource einer anderen Domain anzumelden (denn die vertraut ja den Konten) ;) 

 

Jetzt, wo ich das lese, macht das auf einmal Sinn, stimmt. :D

 

Gleichzeitig fiel mir jetzt auch ein, wieso kein Trust erstellt wurde: es sollen nicht alle User aus dem AD Office auf die Ressourcen in Finance zugreifen dürfen, sondern nur ein paar bestimmte. Weil die sich aber anscheinend über mehrere OUs verteilen, gestaltete sich das wohl als schwierig. Leider fand das alles statt, bevor ich in der Firma anfing und die ausführenden Personen arbeiten nicht mehr hier; eine Dokumentation gibt es leider auch nicht.

Link to post

Moin,

 

noch mal etwas ausführlicher: Deiner Beschreibung nach ist ein Trust genau das, was ihr braucht. User aus Domäne A sollen ihr A-Konto verwenden, um auf Ressourcen der Domäne B zuzugreifen. Sie sollen dafür keine separaten Anmeldedaten verwenden müssen. Exakt dafür dient ein Trust. Der geht sogar noch einen Schritt weiter: Die User nutzen nicht nur dieselben Anmeldedaten (also denselben Namen und dasselbe Kennwort in beiden Domänen), sondern sie verwenden jeweils nur ein einziges Konto, nämlich das aus Domäne A.

 

Wie Norbert schon sagt, kann man einen Trust einschränken. Dazu gibt es im Wesentlichen zwei Mechanismen: Selektive Authentifizierung legt fest, dass (alle) A-Benutzer nur auf ganz bestimmte Systeme von Domäne B zugreifen können. Das kann sinnvoll sein. Der zweite Mechanismus ist die normale Berechtigungssteuerung: Auch bei einem Trust können die B-Admins festlegen, dass nur bestimmte A-Benutzer bestimmte Ressourcen nutzen können - genau wie innerhalb derselben Domäne steuert man das über Gruppen und Berechtigungen. Beide Mechanismen lassen sich auch kombinieren, viele Admins lassen den ersten aber weg (meist allerdings deshalb, weil sie ihn gar nicht kennen).

 

Voraussetzung ist, dass die Applikation(en) in Domäne B, die genutzt werden sollen, auch mit einem Trust klarkommen. Das ist in den meisten Fällen aber gegeben. Theoretisch ist es aber möglich, dass das bei eurer Finanz-Applikation nicht so ist und deshalb der sehr umständliche Weg mit dem Sync gegangen wurde.

 

Gruß, Nils

 

  • Like 3
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...