Das hier recht herzlich begrüßen zum nächsten Vortrag innerhalb unserer Systemkollokiumsreihe

mit Vox heute zum Thema Active Directory. Mein Name ist Sebastian Schmidt, ich bin hier in der

Windows Abteilung am Rechenzentrum. Kurze Verfahrensgeschichte, der Vortrag wird

aufgezeichnet. Wenn jemand Fragen hat, die nicht mit in die Aufzeichnung sollen, bitte am Ende stellen.

Gut, was erwartet Sie heute? Ich will eine kurze Einführung geben, seit wann gibt es das Active Directory.

Was hat es mit Gruppenrichtlinien auf sich? Und am Schluss will ich eine kurze Live Demo geben,

in unser fau-weites Active Directory, die fau-ad. Active Directory gibt es seit Windows 2000, da hat

Microsoft das erste Mal 1999 oder wirklich 2000, da passen die Jahreszahlen noch zusammen zwischen

Erscheinungsdatum und Version. Das Active Directory in der heutigen Form, zumindest als Vorläufer

davon eingeführt und zwar als Verzeichnistdienst, beziehungsweise es gibt auch Microsoft, die von

einem Infrastrukturdienst sprechen.

Über ein Ticketsystem. Ich erhalte einmal, wenn ich mich erfolgreich identifiziert habe, ein

Ticket-Granting-Ticket, ein sogenanntes CGT und mit diesem Ticket-Granting-Ticket kann ich mich an

verschiedene Dienste wenden und darüber mir dann Dienst-Tickets holen, ohne noch mal einen

erneuten Passwort einzugeben. Ist, wenn es funktioniert, eine feine Sache. Was brauche ich

alles für Kerberos? Ich habe drei Parteien, ich habe einmal den Client, einmal den Dienst-Server,

als Beispiel den AD-Server, an dem ich mich identifizieren will und dann spielt da noch ein

Kerberos-Ticket und dieser Ticket-Granting-Server mit rein, damit das Ganze funktioniert.

Damit kann ich dann eine Identifizierung zwischen Client und Server herstellen, wenn es funktioniert

und mit diesem Ticket-Granting-Ticket und um man in the middle Attacken etwas schwerer zu machen,

habe ich Session-Keys zwischen Client, Kerberos-Server und dem Dienst-Server.

Das Ganze ist sehr stark zeitbasierend, diese Tickets haben einen Zeitstempel, das heißt auch,

dass wenn ich mit Kerberos irgendwie arbeite, müssen meine Uhren überall funktionieren,

sonst funktioniert das Ganze nicht. Gucken, ob man es sehen kann, ich habe hier mal ein Bild geklaut,

wie sowas funktionieren kann. Ich habe meinen Client oder meinen User, der sich identifizieren

will, hier eine Anfrage stattet, kriege ich von dir ein Ticket-Granting-Ticket, er bekommt dann

einen Key zurück und auch einen Session-Key, damit wendet er sich an den Ticket-Granting-Service,

kriegt sein Ticket-Granting-Ticket zurück und kann sich damit dann an seinen Dienst-Server hier wenden

und kriegt auch hier, wenn alles funktioniert, sein Session-Key und sein Session-Ticket zurück.

So ganz grob erklärt. An sich ist Kerberos ein weites Feld, über das man einen eigenen Vortrag

halten könnte, aber ich denke, so ganz grob ist hoffentlich das, was dahinter steht, klar geworden.

Das ist der Sessions-Mode. Gucken, wo ist meine Maus? Gut. Für den Dateizugriff und die Datei

Austausch, der auch eine wichtige Rolle spielt, vor allem in Bezug auf Gruppenrichtlinien,

das sehen wir dann später, kommt das ZIFFS-Protokoll oder ja ZIFFS zum Einsatz. Es ist eine erweiterte

Version vom Server Message Block, von dem SMB-Protokoll. Ist auch dafür da, dass ich

die Anbindung nach außen dateitechnisch anbieten kann und nutzt, da sind wir dann beim nächsten

Punkt, DNS-Service-Records, um eben die Dateiserver aufzufinden etc. Und nur der Vollständigkeit halber

sei hier angemerkt der Zugriff via ZIFFS von außerhalb des Uninetzes ist nur via VPN möglich.

Das hat firewall-technische Gründe, weil ZIFFS Standard oder gerne D-Ports sind, die auch von

Viren verwendet werden, deshalb ist das am Zugang zu unserem Außenanbindung geblockt,

aber nur der Vollständigkeit halber. Dann wären wir schon bei der vierten Komponente an der Stelle,

dem DNS, Domain Name System oder Domain Name Service, nachdem sich Microsoft mit Windows 2000

und Active Directory von NetBios und Winz verabschiedet hat. Es wird zwar der Abwärtskompatibilität

geschuldet noch unterstützt teilweise, aber es ist nicht mehr der präferierte Weg. Benötigt das

Active Directory seinen eigenen DNS, eigenen deshalb in Anführungszeichen, es kann natürlich

auch ein vorhandener sein, wo ich entsprechende Service Records hinterlege. Wie im letzten Punkt

schon steht, wenn ich das ganze mit einem Microsoft eigenen DNS mache, ist die Integration natürlich

am smoothesten drin, also muss ich mich wenig kümmern, weil Microsoft seine eigenen Produkte

doch so gut kennt, dass die miteinander arbeiten können, aber es muss kein Microsoft DNS sein,

auch ein BIND ist zum Beispiel unterstützt, zwar meines Wissens nach in nur einer, supported in