Stibo 17 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 Hallo zusammen, ich habe selbst bislang so gut wie nichts mit AD Trusts zu tun gehabt, daher verzeiht mir bitte, wenn meine Frage etwas "userhaft" vorkommt. ;) Wir haben hier den Fall, dass es zwei verschiedene ADs (Forests) gibt, nennen wir sie Office und Finance. Alle User haben einen Account in Domain Office, mit dem sie sich in der neuen Domain Finance anmelden sollen können. Dafür wird die Software Novell Identity Passwort Sync verwendet. Diese synchronisiert User & Passwörter zwischen den beiden Domains. Ich soll jetzt evaluieren, ob statt der Software ein Trust genutzt werden kann. Ich war immer der Meinung, dass bei einem Trust die Metadaten (UPN, Passwort, letzte Anmeldung etc...) ebenfalls gesynct werden, bis ein Kollege meinte, das ginge nicht. Eine Googlesuche später bin ich jetzt auch der Meinung, dass das nicht geht, frage mich aber, wie man das sonst mit einem Trust umsetzen kann. Das Ziel ist eben, dass User aus der Domain Office ihren dort bestehenden User mit demselben Passwort zur Anmeldung an der Domain Finance nutzen können. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 vor 4 Minuten schrieb Stibo: dass bei einem Trust die Metadaten (UPN, Passwort, letzte Anmeldung etc...) ebenfalls gesynct werden, bis ein Kollege meinte, das ginge nicht. Ein Trust syncht nichts. Der stellt wie der Name schon sagt sicher, dass die eine Seite der anderen Vetraut (und ggf. auch beidseitig). Wenn es die Nutzer in beiden Domains gibt, wozu dann ein Trust? Üblichweise wird ein Trust dazu genutzt, die Accounts aus einer Domain zu nutzen, sich an einer Ressource einer anderen Domain anzumelden (denn die vertraut ja den Konten) ;) Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 2. November 2020 Autor Melden Teilen Geschrieben 2. November 2020 vor 3 Minuten schrieb NorbertFe: Ein Trust syncht nichts. Der stellt wie der Name schon sagt sicher, dass die eine Seite der anderen Vetraut (und ggf. auch beidseitig). Wenn es die Nutzer in beiden Domains gibt, wozu dann ein Trust? Üblichweise wird ein Trust dazu genutzt, die Accounts aus einer Domain zu nutzen, sich an einer Ressource einer anderen Domain anzumelden (denn die vertraut ja den Konten) ;) Jetzt, wo ich das lese, macht das auf einmal Sinn, stimmt. Gleichzeitig fiel mir jetzt auch ein, wieso kein Trust erstellt wurde: es sollen nicht alle User aus dem AD Office auf die Ressourcen in Finance zugreifen dürfen, sondern nur ein paar bestimmte. Weil die sich aber anscheinend über mehrere OUs verteilen, gestaltete sich das wohl als schwierig. Leider fand das alles statt, bevor ich in der Firma anfing und die ausführenden Personen arbeiten nicht mehr hier; eine Dokumentation gibt es leider auch nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 vor 1 Minute schrieb Stibo: es sollen nicht alle User aus dem AD Office auf die Ressourcen in Finance zugreifen dürfen, sondern nur ein paar bestimmte. Dafür gibts selektive authentifizierung.. 1 Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 2. November 2020 Autor Melden Teilen Geschrieben 2. November 2020 Gerade eben schrieb NorbertFe: Dafür gibts selektive authentifizierung.. Danke, dann werde ich mich mit den Stichwörtern bewaffnet mal aufschlauen. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 Moin, noch mal etwas ausführlicher: Deiner Beschreibung nach ist ein Trust genau das, was ihr braucht. User aus Domäne A sollen ihr A-Konto verwenden, um auf Ressourcen der Domäne B zuzugreifen. Sie sollen dafür keine separaten Anmeldedaten verwenden müssen. Exakt dafür dient ein Trust. Der geht sogar noch einen Schritt weiter: Die User nutzen nicht nur dieselben Anmeldedaten (also denselben Namen und dasselbe Kennwort in beiden Domänen), sondern sie verwenden jeweils nur ein einziges Konto, nämlich das aus Domäne A. Wie Norbert schon sagt, kann man einen Trust einschränken. Dazu gibt es im Wesentlichen zwei Mechanismen: Selektive Authentifizierung legt fest, dass (alle) A-Benutzer nur auf ganz bestimmte Systeme von Domäne B zugreifen können. Das kann sinnvoll sein. Der zweite Mechanismus ist die normale Berechtigungssteuerung: Auch bei einem Trust können die B-Admins festlegen, dass nur bestimmte A-Benutzer bestimmte Ressourcen nutzen können - genau wie innerhalb derselben Domäne steuert man das über Gruppen und Berechtigungen. Beide Mechanismen lassen sich auch kombinieren, viele Admins lassen den ersten aber weg (meist allerdings deshalb, weil sie ihn gar nicht kennen). Voraussetzung ist, dass die Applikation(en) in Domäne B, die genutzt werden sollen, auch mit einem Trust klarkommen. Das ist in den meisten Fällen aber gegeben. Theoretisch ist es aber möglich, dass das bei eurer Finanz-Applikation nicht so ist und deshalb der sehr umständliche Weg mit dem Sync gegangen wurde. Gruß, Nils 3 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.