280 Kapitel 6: Active Directory-Verbunddienste und -Rechteverwaltungsdienste
Praxistipp
Ian McLean
Vor einigen Jahren arbeitete ich an einem sehr großen Projekt mit, das die Zusammenar-
beit zwischen mehreren Organisationen ermöglichen sollte. Alle beteiligten Organisatio-
nen verteidigten verbissen die Sicherheit, Integrität und Unabhängigkeit ihrer Netzwerke.
Ich habe nichts dagegen einzuwenden, dass jemand hartnäckig auf der Sicherheit und In-
tegrität seines Netzwerks beharrt, aber die Unabhängigkeit kann manchmal ein Problem
werden, wenn Zusammenarbeit gefordert wird.
Aufgrund komplexer Gegebenheiten, die hier nicht weiter von Interesse sind, wurden
VPNs als geeignete Lösung ausgeschlossen. Vertrauensstellungen erforderten Zusam-
menarbeit, damit sie auf beiden Seiten eingerichtet werden konnten. Ich kann gar nicht
mehr zählen, wie oft ich Netzwerkadministratoren versichern musste, dass ich sie nicht
aufforderte, mir zu vertrauen. Ich wollte doch nur, dass sie mir erlaubten, ihnen zu ver-
trauen. Und sobald es um irgendwelche Firewalleinstellungen ging, verfielen alle fast in
Panik – ich will mich gar nicht mehr daran erinnern.
Als ich daher zu einem anderen Projekt stieß, das bei denselben Organisationen die ein-
fache Anmeldung implementieren sollte, war ich bezüglich Vertrauensstellungen, VPNs
und Firewalls sehr vorsichtig. Die zentrale Organisation, für die ich arbeitete, stellte die
Ressourcen zur Verfügung. Sie forderte nicht, auf die Ressourcen der Partnerorganisatio-
nen zugreifen zu können. Vielmehr erlaubte sie den anderen, ihre eigenen Ressourcen zu
nutzen. Ich brauchte eine Lösung, die es Geschäftspartnern erlaubte, auf einen bestimm-
ten, eingeschränkten Ressourcensatz zuzugreifen; dabei sollten die Partner möglichst
wenig, am besten gar keine Konfigurationsänderungen vornehmen müssen.
Damals gab es AD FS leider noch nicht, denn das ist genau die Aufgabe, für die es ent-
worfen wurde.
Grundlagen von AD FS
AD FS bietet die Möglichkeit einer einfachen Anmeldung, sodass Benutzer externer Web-
anwendungen sich über einen Browser authentifizieren und den Zugriff durchführen können.
Es greift auf den internen Authentifizierungsspeicher in der eigenen Domäne des Benutzers
zurück, um einen Client zu authentifizieren; es verwaltet keinen eigenen Speicher für diesen
Zweck. Außerdem überlässt es den ursprünglichen Authentifizierungsclients die Arbeit in
ihren eigenen Netzwerken und reicht diese Authentifizierung an AD FS-fähige Webanwen-
dungen weiter. Kommen wir noch einmal auf das Beispiel weiter oben in diesem Kapitel zu-
rück: Don Hall von Contoso sollte in Lage sein, sich mit seinem Konto d.hall@contoso.com
an der kennwortgeschützten Website von Northwind Traders anzumelden; er braucht dafür
keine zusätzlichen Anmeldeinformationen einzugeben.
Wird AD FS eingesetzt, brauchen Organisationen nur einen einzigen Authentifizierungs-
speicher für ihre eigenen Benutzer zu verwalten. Wenn Sie ein AD LDS-Verzeichnis für die
Extranetauthentifizierung benutzen, erhöht das den Verwaltungsaufwand, weil die Organisa-
tion neben ihrem eigenen, internen Speicher auch noch einen oder mehrere externe Speicher
pflegen muss. Die Benutzer müssen sich in diesem Fall mehrere Zugriffscodes und Kenn-
wörter merken, um sich an den verschiedenen Speichern anzumelden. Den meisten Benut-
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
