Mit Verzeichnisdiensten wie LDAP – in der Unix-/Linux-Welt oder dem Active Directory (AD) in der Windows-Welt hat jeder Administrator, der mehr als einzelne PCs administriert, zu tun.

Für Unternehmen wie die ima GmbH, deren Aufgabe die Betreuung von Kunden-IT ist, stellt sich jedoch die Herausforderung, mehrere, auch unterschiedliche Verzeichnisdienste miteinander zu verbinden.

Wir bieten Dienste mehreren unserer Kunden an. Der übliche Weg ist, den Kunden in den Systemen einen eigenen Benutzer mit eigenem Passwort einzurichten. Nutzen beim Kunden mehrere Mitarbeiter diesen Zugang, so muss dieser weitergegeben werden. Und die Mitarbeiter der Kunden müssen sich weitere Zugangsdaten merken. Oder wir müssten mühsam für jeden Kundenmitarbeiter, der das System nutzen soll, einen eigenen Account anlegen.

Wir haben uns für einen eleganteren Weg entschieden: Wir verwalten unsere Systeme mit einem Verzeichnisdienst. Hier setzen wir einen LDAP-Dienst ein. Die Benutzer unserer Dienste werden also zentral verwaltet. Möchte sich ein Benutzer an einem Dienst beispielsweise unserem Meeting-System ima-Meetings anmelden, so fragt der Dienst beim LDAP-Server an, ob der Benutzer mit der angegebenen Kennung zugelassen oder abgewiesen werden soll.

Ein solcher zentraler Verzeichnisdienst erspart bei uns die Notwendigkeit, Benutzer mehrfach für alle Systeme bei uns anzulegen. Bislang war eine Kopplung mit den Verwaltungssystemen der Kunden noch nicht möglich, nach wie vor müsste jeder Kundenmitarbeiter einzeln angelegt werden.

Wir koppeln unseren zentralen Verzeichnisdienst mit den Verzeichnisdiensten, z. B. dem jeweiligen Active Directory, unserer Kunden. Jeder Kunde kann also selbst, in seinem eigenen System festlegen, welcher Mitarbeiter in unseren Systemen arbeiten darf, wer Tickets anlegen, Meetings verwalten, Abrechnungen einsehen darf.

In unserem LDAP-System finden dann entsprechende Mappings statt. Benutzernamen, Gruppennamen und Rechte werden automatisch umgeschrieben.

Meldet sich ein Mitarbeiter mit der Mailadresse, die in diesem Beispiel die Zugangskennung sein soll, „mitarbeiter1@firma1.de“ und seinem persönlichen Passwort, dass er in seiner Firma hat, bei uns an, so

  1. stellt unser System, im Beispiel an Hand der Mailadresse, automatisch fest, dass der Mitarbeiter zur „Firma 1“ gehört.
  2. Es wird bei uns abgeglichen, ob „Firma 1“ das Recht hat, das angefragte System zu nutzen und hier eigene Benutzer zu verwalten. Falls ja, wird
  3. automatisch beim Active Directory von „Firma 1“ angefragt, ob sich der Benutzer korrekt – also z. B. mit dem richtigen Passwort – authentifiziert hat.
  4. Nun wird abgefragt, ob diese Benutzer berechtigt ist, unseren Dienst zu nutzen, ob er also beispielsweise in der passenden Verwaltungsgruppe bei „Firma 1“ eingetragen ist.
  5. Und es wird abgefragt, welche Rechte der Benutzer in unserem System haben soll.

Analog wird mit „mitarbeiter1@firma2.de“ verfahren. Unser System fragt automatisch das Active Directory der „Firma 2“ ab.

Unser Angebot an IT-Dienstleister

Wir haben das System aus Eigeninteresse und für uns entwickelt. Aber viele unserer Marktbegleiter haben dasselbe Problem. Unser System baut auf Standardkomponenten auf. OpenLDAP mit Caching-, Meta-Backends, Rewrite-Regeln, VPN, Port-Weiterleitungen etc. Jeder kompetente IT-Dienstleister kann ein solches System ebenso aufsetzen. Wenn Sie dies selbst machen möchten, so kalkulieren sie jedoch einige Rückschläge und eine knappe Arbeitswoche eines Senior-Experten an Aufwand ein.

Alternativ bieten wir ihnen einen Know-How-Transfer an. Sprechen Sie uns an. Einzelheiten finden Sie auf unserer Webseite.

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Schreibe einen Kommentar