Home       Servicebereich  Projekte  Kontakt  

Logo LWsystems LWsystems bietet Ihnen Consulting und Support rund um die Integration von Samba in Ihre IT-Infrastruktur.

Domänen


Arbeitsgruppen und Domänen

Bei den Windows Netzwerken (Netzwerke, die mit den SMB/CIFS Protokollen arbeiten) wird vom logischen und administrativen Aufbau her grundsätzlich zwischen den Arbeitsgruppen- und Domänenbasierten Netzwerke unterschieden. Bei beiden Konfigurationsarten wird das Netzwerk in logische Untergruppen (Arbeitsgruppe bzw. Domäne) gegliedert.

Die Benutzer können mit Hilfe von Tools wie der ``Netzwerkumgebung'' ermitteln, welche Dienste von welchen Maschinen angeboten werden.

Arbeitsgruppen

Die Arbeitsgruppe (engl. Workgroup) ist ein reines Peer-to-Peer Netzwerk. Hier kann jede Arbeitsstation gleichzeitig als Server und Client arbeiten und lokale Ressourcen im Netzwerk als sogenannte Freigaben (Share) anbieten. Die Verwaltung der Zugriffsberechtigungen auf im Netzwerk zur Verfügung gestellten Ressourcen muß auf jeder Maschine einzeln durchgeführt werden. Eine zentrale Steuerung und Verwaltung ist nicht möglich.

Zugriffssteuerung

Die Kontrolle der Zugriffsberechtigungen kann bei den Arbeitsgruppen grundsätzlich auf Freigabeebene oder auf Benutzerebene vorgenommen werden.

Zugriffssteuerung auf Freigabeebene

Wird bei Konfiguration der Freigaben auf den einzelnen Maschinen die ``Zugriffssteuerung auf Freigabeebene'' (Share Level) angegeben, kann der Zugriff nur mit Hilfe eins Passworts eingeschränkt werden. Das System das die Freigabe anbietet prüft hier nur, ob der Client beim Zugriff das korrekte Passwort für den Zugriff übermittelt hat. Eine feinere Granulation der Berechtigungsverwaltung ist nicht möglich.

Ein Samba Server wird mit dieser Art der Zugriffssteuerung konfiguriert indem der Parameter ``security'' in der Konfigurationsdatei entsprechend eingestellt wird. 

  security = share

Aufgrund der unzureichenden Möglichkeiten der Berechtigungsverwaltung ist der Einsatz der Berechtigungsverwaltung auf Ebene der Freigaben oft schon bei kleineren Netzwerken kaum noch zu handhaben. Aufgrund der ausschließlichen Prüfung des Passworts ohne Berücksichtigung der Benutzerkennungen ist hiervon auch aus Sicherheitsgründen abzuraten.

Zugriffssteuerung auf Benutzerebene

Bei der ``Zugriffssteuerung auf Benutzerebene'' wird beim Zugriff geprüft ob der Client eine korrekte Benutzername- / Passwortkombination übermittelt hat. Im Peer-to-Peer Netzwerk wird hierbei die Benutzerdatenbank des jeweils als Server agierenden Systems herangezogen. Mit dieser Konfiguration kann der Zugriff auf die Freigaben individuell für jeden Benutzer eingestellt werden.

Ein Samba Server wird dafür mit dem Parameter 

  security = user
konfiguriert.

Anmeldung von Windows 95/98/ME Clients

Das unter Windows 95/98/ME eingesetzte (V)FAT-Dateisystem kennt keine Berechtigungsverwaltung. Jeder Benutzer hat vollen Zugriff auf die Maschine.

Daher kann die ``Anmeldung'' an eine Windows 95/98/ME Workstation auch nicht dazu dienen, den Zugriff des Benutzers auf die lokale Maschine einzuschränken. Das hier eingegebenen Passwort wird für den Zugriff auf Netzwerkressourcen benötigt.

Beim ersten Zugriff auf eine Netzwerkressource übermittelt das Clientsystem das vorher angegebene Passwort. Bei erfolgreichem Zugriff werden diese Authentisierungsinformationen für alle weiteren Zugriffe auf die Netzwerkressource angenommen.

Für den Fall, daß die Benutzername-/Passwortkombination für den den Zugriff auf die jeweilige Ressource nicht korrekt ist, wird eine Dialogbox gezeigt, in der der Benutzer einen Benutzernamen und Passwort für die Nutzung der Ressource angeben muß. Das Windows 95/98/ME System speichert diese Informationen in einer Datei im Systemverzeichnis (c:\windows). Für jeden Benutzer wird eine solche Datei mit dem Benutzernamen als Dateinamen und der Endung .pwl angelegt. Die Daten werden mit dem Benutzerpasswort der Workstation verschlüsselt. Die hier eingesetzte Verschlüsselung kann relativ einfach gebrochen werden, so daß ein potentieller Angreifer über diese Dateien Zugriff auf Authentisierungsdaten bekommen kann.

Domänen

Eine Domäne (engl. Domain) im Sinne eines Windows Netzwerks ist ein Verwaltungsbereich für alle Sicherheitsfunktionen des SMB-Netzwerks. Hier wird die Steuerung der Zugriffe auf die Ressourcen auf Benutzer bzw. Gruppenebene vorgenommen. Die Domäne stellt für alle angemeldeten Benutzer eine Single-Sign-On Funktionalität bereit. Ein weiteres Unterscheidungsmerkmal zur Arbeitsgruppe ist, daß alle Maschinen der Domäne einen Maschinenaccount für diese Domäne besitzen. Andernfalls kann sich niemand von dieser Maschine aus an der Domäne anmelden und somit die Dienste der Domäne auch nicht nutzen.

Diese Anforderungen bedingen eine zentrale Instanz zur Verwaltung der Freigaben, Berechtigungen und Benutzerdaten. Diese Instanz wird durch spezielle Server, die sogenannten Domänencontroller (DC) dargestellt. Für den Zugriff auf eine Netzwerkressource muß sich ein Benutzer an der Domäne angemeldet haben und die entsprechenden Zugriffsberechtigungen besitzen.

Die Arbeitsstation kann so konfiguriert werden, daß eine ausschließliche Anmeldung an der lokalen Maschine möglich ist. In diesem Fall kann jedoch auf keine Ressource im Netzwerk zugegriffen werden.


< zurück  | weiter >