Active Directory

Aus wiki@ANOnet
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Vertrauensstellungen

Der Server 2k3 unterstützt 6 Arten der Vertrauensstellungen:

Überordnungs-Unterordnungs-Vertrauensstellungen und Strukturstamm-Vertrauensstellungen

Active Directory erstellt zwischen über- und untergeordneten Domänen un einer Struktur automatisch transitive, bidirektionale Vertrauensstellungen. Das heisst, unter der Domain anonet.at wird die Domain sales.anonet.at angelegt, die beiden Domänen vertrauen sich gegenseitig. Wird weiters die Domain marketing.anonet.at unter anonet.at angelegt, vertraut in weiterer Folge automatisch marketing sales und umgekehrt

Externe Vertrauensstellungen

Wenn zwischen Domänen, die kein (gemeinsames) AD verwenden, eine Vertrauensbeziehung hergestellt werden muss, wird eine Externe Vertrauensstellung verwendet (z.B. 2k3 und NT4.0).

Externe Vertrauensstellungen sind nicht bidirektional, d.h. die vertrauende Domain ermöglicht Usern der vertrauenswürdigen Domain zwar den Zugriff auf ihre Objekte, das gilt jedoch nicht umgekehrt.

Um eine quasi bidirektionale Verbindung herzustellen muss zusätzlich eine entgegengesetzte Esterne Vertrauensstellung erzeugt werden.

Diese Vertrauensstellungen sind allerdings nicht transitiv, d.h. sie gelten nur für die Domains, für die sie angelegt worden sind, und werden nicht weitervererbt

Shortcut-Vertrauensstellungen

In einer komplexen Struktur, in der alle Domänen mit transtitven Vertrauensstellungen verbunden sind, können auch "Abkürzungen" definiert werden. Durch die "Direktverlinkung" einzelner Domänen können auf elegantem Wege Wartezeiten minimiert werden und Authentifizierungsvorgänge funktionieren mitunter wesentlich schneller

Bereichs-Vertrauensstellungen

Diese wurde unter 2k3 eingeführt. Nun kann eine 2k3-Domäne eine Vertrauensstellung mit einem Non-Windows-Bereich eingehen, welcher kerberos v5 als Sicherheitsprotokoll verwendet.

Diese Vertrauensstellungen können je nach belieben uni/bidirektional bzw. transitiv/nicht transitiv sein...

Gesamtstruktur-Vertrauensstellungen

Diese wurde ebenfalls erst mit 2k3 eingeführt. Sie soll die Verwaltung mehrerer Gesamtstrukturen erleichtern und erhöht dabei die Sicherheitsbeziehung zwischen diesen. So wird Usern der Zugriff auf Objekte einer anderen Gesamtstruktur ermöglicht, wobei weiterhin die von ser Struktur des Users bereitgestellte Einzelbenutzerkennung verwendet wird

Remotezugriff

Remotezugriffsprotokolle

PPP (Point-to-Point-Protokoll)

Ein gängiges Protokoll, welches ein- als auch ausgehende Verbindungen unterstützt

SLIP (Serial Line Internet Protokoll)

Ein älteres, unter Un*x entwickeltes Protokoll, welches von Routing und RAS nur für ausgehende Verbindungen unterstützt. Dieses Protokoll ist heute noch weit verbreitet

RAS-Protokoll

Dieses Protokoll dient der Unterstützung der NetBIOS-Namensgebung, und wird nur zwischen MS-Netzwerken verwendet. Es wird bei der Installation des Routing- und RAS-Servers automatisch mitinstalliert

NetBIOS-Gateway

Dient der Kompatibilität mit älteren RRAS-Servern, die kein TCP-IP unterstützen. Es dient im Speziellen der Umsetzung von NetBEUI in ein routebares Protokoll


Sicherheit durch Userauthentifizierung

PAP (Password Authentication Protokoll)

Dies ist die einfachste Form der Benutzerauthentifizierung. Allerdings werden bei PAP die Userdaten unverschlüsselt übertragen, wodurch das einfachste gleichzeitig das unsicherste Protokoll ist. Weiters ist es bei PAP nicht möglich, dass ein Client und ein Server einander authentifizieren. Alles in Allem sollte PAP nicht eingesetzt werden, wenn es nicht unbedingt notwendig ist

SPAP (Shiva Password Authentification Protokoll)

Shiva war ein privates Unternehmen, welches Remotezugriffe mittels Hardwaregeräte erstellte. Bei SPAP waren die Userdaten schwach aber doch verschlüsselt, die Daten gingen allerdings wieder in Klartext über die Leitung. SPAP wird nur seltenst eingesetzt. Auch hier gilt, dass, wenn eine sichere Verbindung benötigt wird, ein anderes Protokoll verwendet werden sollte

CHAP (Challenge Handshake Protokol)

Dieses Protokoll ist wesentlich sicherer als die beiden Vorherstehenden, denn der Server sendet eine "Herausforderung" an den Client, welche der mit seinen Anmeldeinformationen verschlüsselt. Diese verschlüsselte Information wird dann zum Server übertragen, der danach mit den entschlüsselten Daten die Identität des Users überprüft. Durch die MD5-Verschlüsselung der Herausforderung sowie der Antwort ist die Anfälligkeit für etwaige Angriffe wesentlich geringer.

MS-CHAP

Ist eine von MS modifizierte CHAP-Variante, welche es in zwei Versionen gibt. V2 ist wesentlich sicherer, wird allerdings erst ab w2k unterstützt

EAP (Extensible Authentication Protokol)

Dabei handelt es sich um ein allgemeines Protokoll für die PPP-Authentifizierung, welches verschiedene Auth-Mechanismen unterstützt. So kann bei der Verbindungsherstellung die Authentifizierungsmethode ausgehandelt werden. Dies können beinahe alle beliebten Authentifizierungsmethoden sein, auch Token oder Einmalkennwörter


Sicherheit durch Verbindungssteuerung

Im RRas-Server kann definiert werden, dass nur die Rufnummer 1234 eine Verbindung herstellen kann, bzw. dass bei Einlangen eines Rufes die Nummer 2345 zurückgerufen wird. Bei beiden Varianten wird die Zugriffssicherheit erhöht, bei Möglichkeit 2 ist ein weiterer Vorteil, dass anfallende Gesprächsgebühren von der Firma übernommen werden (Kostenersparnis)

Sicherheit durch Zugriffssteuerung

Mittels RAS-Richtlinien lassen sich Zugriffszeiten, Verschlüsselungsprotokolle uvm. für ganze Gruppen steuern, wodurch sich wiederum ein Sicherheitsgewinn erzielen lässt, da nicht jeder alles darf...

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge