Identity Management
Das Thema Identity Management ist ein Umfangreiches. Gerade in gewachsenen Umgebungen findet man meistens keine besonders homogene Situation vor. Teilweise haben Webservices ihren eigenen Nutzerstamm, teilweise sind Benutzer und Gruppen in einer Active Directory verwaltet. Oft werden Benutzer über Puppet oder Ansible verteilt oder gar manuell und lokal verwaltet; ein unbeherschbares Chaos.
Es sind die klassischen Beispiele wie der kündigende Mitarbeiter, dessen Zugänge gesperrt werden sollen. Verfügt man in solch einer Situation über kein vernünftiges Identity Management muss man:
- Viel Arbeit leisten und
- Angst haben Punkte zu vergessen
wenn man die ganzen Konten des Ex-Mitarbeiters aufräumen soll. Aber auch der Onboarding Prozess für neue Mitarbeiter gestaltet sich wesentlich einfacher:
- Benutzer anlegen
- Gruppenzuordnungen
- fertig
Büroumgebungen sind häufig Microsoft dominiert, weswegen dort die Microsoft Active Directory Standard ist. Für Umgebungen mit Linux oder Unix gibt es eine bessere Alternative: Red Hats FreeIPA.
Mit FreeIPA ist eine vollumfängliche Lösung um Benutzer und Gruppen zu verwalten, um diese möglichst überall zu nutzen. Es bietet neben LDAP auch Kerberos Unterstützung, weswegen es sich nicht nur für die Nutzerverwaltung (sssd) in Linux / Unix Systemen eignet. Es kann auch als Benutzerdatenbank für alle möglichen Webanwendungen dienen und bietet ebenso Unterstütztung für macOS und Windows an.
Zudem bringt es eine eigene DNS-Verwaltung (authorativ) mit, um DNS-Zonen über das schicke Webinterface zu pflegen. Die Oberfläche ist sehr intuitiv. Man findet sich dort als geübter Admin sehr schnell zurecht. Es ist sogar Mandantenfähig und stellt Kunden eine selbst administrierbare, eigene Oberfläche zur Verfügung.
Auch an Offline Benutzer wurde gedacht, so dass sich Mitarbeiter am Laptop mit dem Benutzer aus der FreeIPA Datenbank jederzeit anmelden können, auch wenn die Internetanbindung gerade nicht möglich ist. sudo-Berechtigungen lassen sich zentral steuern und NFS mounts darüber einbinden, zum Beispiel für das Home-Laufwerk der Nutzer.
FreeIPA ist ein unwahrscheinlich mächtiges Werkzeug, das in Unix oder Linux lastigen Umgebungen eine wertvolle Arbeitserleichterung und vor allen Dingen eine Steigerung der Sicherheit bietet.
Möglich ist auch ein Zusammenspiel zwischen FreeIPA und Active Directory mit Hilfe eines Cross Forest Trusts. Ich berate Sie gerne bei der Optimierung ihres Identity Management.