Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

OS X Server App (Yosemite) Grundkurs

Open Directory Server

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Der Betrieb eines Netzwerks mit Open Directory ist die ideale Art der Verwaltung eines Netzwerks. Dabei meldet sich jeder einzelne Benutzer an einem zentralen Server an.

Transkript

Open Directory. Was ist ein Open Directory? Genau dieser Frage möchte ich hier in diesem Video nachgehen. Darüber hinaus werde ich Ihnen noch erklären, was es mit Kerberos auf sich hat. Fangen wir aber erst einmal mit Open Directory an. Der Begriff Open Directory, der beinhaltet schon, dass es ein offenes Verzeichnis ist. Es gibt nämlich hier ein Verzeichnisdienst. Was ich Ihnen in diesem Video erkläre gilt von der Idee her im Übrigen für alle Verzeichnisdienste. Die Grundstruktur ist eins zu eins übertragbar, auch auf die Lösungen von Microsoft. Dort nennt sich das Ganze dann Active Directory. Das Grundprinzip dieser Verzeichnisdienste ist immer wieder gleich. Schauen wir uns aber erst einmal ein Netzwerk ohne Open Directory an. Dort haben wir eine ganze Reihe von Computern, und jeder dieser Computer hat eine so genannte Benutzerdatenbank. Die merkt man im eigentlichen Sinne normalerweise nicht, aber wenn Sie mehr als einen Benutzer auf Ihrem PC oder Mac haben, dann haben Sie ja schon zweiten, dritten, vierten Benutzer angelegt, und diese Informationen müssen ja irgendwo abgespeichert werden. Nämlich in der Benutzerdatenbank. Wenn man sich jetzt anmeldet, gibt man Benutzername und Kennwort ein, und kann dann abhängig von den Rechten, die man hat, auf dem Computer etwas machen. So weit, so gut. Hat man nun einen einzigen PC, ist alles kein Problem. Jetzt hat man aber vielleicht ein kleines Unternehmen mit 5, 10, 15 Arbeitsplätzen, und man möchte, dass einige Benutzer sich vielleicht nicht nur an ihrem lokalen Rechner anmelden können, sondern auch an anderen Rechnern anmelden können. Dann muß ich jetzt an jedem dieser Rechner alle Benutzer immer wieder händisch einrichten. Wenn also beispielsweise ein Benutzer sich an 5 PCs anmelden soll, dann muß ich jeweils an diesen PCs in die Benutzerdatenbank diesen Benutzer hineinschreiben, muß jedes Mal das Kennwort festlegen, der Benutzer muß sich gegebenenfalls vielleicht sogar fünf unterschiedliche Kennwörter merken. Jetzt werden Sie vielleicht sagen, na ja, meistens ist das ja so, dass ein Benutzer an einem PC sitzt. So weit, so gut. Aber wenn wir nachher mit Netzwerkfreigaben arbeiten, so dass Sie vielleicht auf die Festplatte eines anderen PCs zugreifen wollen, dann muß auf diesem anderen PC, obwohl Sie gar nicht davor sitzen, muß ebenfalls in der Benutzerdatenbank der Benutzer mit Kennwort eingetragen werden. Damit man über die Ferne auf diese Festplatte, auf die Netzwerkfreigabe zugreifen kann. Bei 2, 3, 4 PCs ist das alles noch relativ überschaubar. Bei 10, 15, 20 PCs ist das de facto so nicht mehr handhabbar. Und genau da haben wir eben die Lösung mit dem Open Directory, mit den Verzeichnisdiensten. Wir haben hier einen zentralen Server und auf diesem zentralen Server liegt eine zentralisierte Benutzerdatenbank. Wenn jetzt ein Benutzer morgens seinen PC startet, dann wird die Anmeldung durchgeführt, und die Benutzerdatenbank liegt dann nicht auf dem lokalen Server. Sondern über das Netzwerk, wird auf diesem zentralisierten Server überprüft: "Hallo, gibt es hier diesen Benutzer Peter Schmitz? Stimmt das Kennwort? Ja, das Ganze stimmt." Und dann werden die Rechte quasi an den PC wieder zurückgespielt, und dann kann der Benutzer darauf zugreifen, kann auf die lokalen Daten zugreifen. Über dieses Rechtesystem kann dann eben der Benutzer auch auf die Festplatten der anderen PCs zugreifen, weil das alles in dieser zentralisierten Datenbank steht. Und hier müssen wir jetzt nur noch eine Benutzerdatenbank führen. Wie gesagt, gerade wenn man mehr als einen PC hat, wenn man 3, 5, 10, 20 PCs hat, dann kommt man ohne ein derartiges Prinzip eigentlich nicht aus. Vielleicht ahnen Sie aber jetzt schon, wo möglicherweise ein Problem bei einem derartigen Open Directory liegen könnte. Wenn nämlich jetzt hier dieser zentrale Server, warum auch immer, einen Ausfall hat, dann haben Sie da 20 PCs, 20 Mitarbeiter, keiner dieser Mitarbeiter kann sich aber jetzt anmelden, weil die Zentrale Benutzerdatenbank nicht erreichbar ist. Und damit hat keiner der Benutzer jetzt Rechte auf dem PC, der da gerade vor ihm steht. Das ist natürlich ein ernst zu nehmendes Problem, weil wir jetzt eine Fehlerquelle haben, die dafür sorgt, dass das komplette System lahm liegt. Technisch nennt man das meistens dann "Single Point of Failure". Und natürlich gibt es dafür eine Lösung, und die Lösung heißt, dass wir eben nicht eine Benutzerdatenbank haben, sondern dass wir mehr als eine Benutzerdatenbank haben. Und zwar verteilt auf mehrere Server. Jetzt werden Sie vielleicht einwerfen, na ja, dann muß ich ja wieder auf mehreren Benutzerdatenbanken das Ganze händisch einpflegen. Nein, genau das müssen Sie eben nicht machen, denn diese Systeme replizieren, so nennt sich das Ganze, selbstständig. Dann hat man in der Regel einen Master, das ist gerade das aktive System, und dann gibt es entsprechend viele Replikationen, das können 2, 3, 4, 5 unterschiedliche Server sein, bei denen hier diese Benutzerdatenbank Open Directory repliziert wird. Wenn wir jetzt in einem normalen, kleineren Unternehmen sind, haben wir jetzt vielleicht zwei Server. Die Wahrscheinlichkeit, dass beide Server jetzt gleichzeitig ausfallen, ist schon relativ gering. Wenn Sie dort vielleicht 40-50 Rechner stehen haben und 40-50 Mitarbeiter, die im Zweifelsfall arbeitslos sind, wenn beide zentrale Server ausfallen, dann wird man sich natürlich überlegen, auf einen dritten, vierten, fünften derartigen replizierten Server zurückzugreifen. Es gibt noch einen weiteren Grund, warum man mit derartigen replizierten Systemen arbeiten sollte, wenn man nämlich mehrere Standorte hat. Man hat vielleicht eine Geschäftsstelle in Berlin, eine in München, und die dritte vielleicht in Rio de Janeiro. Gerade die in Rio de Janeiro ist ja vielleicht mit der in München internettechnisch nicht so wahnsinnig schnell angebunden. Trotzdem wollen sie eine zentralisierte Datenbank haben. Dann kann man nämlich diese Replikation auch durchführen, das heißt die Mitarbeiter aus Rio de Janeiro können sich ganz normal lokal an ihrer lokalen Benutzerdatenbank anmelden. Und dann findet diese Replikation „im Stillen“ statt. So das nicht ganz so viele Daten über das Internet von einer Seite der Weltkugel auf die andere Seite der Weltkugel übertragen werden müssen. So weit, so gut. Wenn jetzt hier der Master ausfällt, übernimmt die Replikation die Arbeit – das Prinzip ist nun sicherlich verstanden. Kommen wir zu einem weiteren Thema. Damit hat man so im Alltag unter Mac OS 10 nicht so wahnsinnig viel zu tun. Zum Glück, muß man sagen. Aber unter der Haube wird das Ganze sehr eben intensiv verwendet. Und damit, wenn Sie vielleicht mal in einer Hilfedatei auf den Begriff stoßen, Sie mit dem Begriff etwas anfangen können, deswegen möchte ich das hier einmal erläutern. Nämlich das Prinzip Kerberos. Das funktioniert so. Der Benutzer meldet sich morgens an seinem PC an, sagt also: "Hier, Peter Schmitz heiße ich, das und das ist mein Kennwort". Dann guckt der PC hier in dem Open Directory nach und sagt: "Ja-ja, den Benutzer gibt es". Und über das Kerberos System wird nun der Benutzer freigeschaltet. Ich habe da hier dadurch symbolisiert, dass der Benutzer jetzt grün geschaltet wird. Der grüngeschaltete Benutzer hat jetzt nicht nur einen Zugang zu diesem lokalen PC bekommen, sondern der hat, wenn man so will, einen Ausweis erhalten, ein Ticket erhalten. Und in diesem Ausweis steht drin - dieser Benutzer darf das und jenes, und damit sind diesem Benutzer Rechte zugewiesen, nicht nur für den einen Server, sondern für alle Netzwerkdienste. Vorausgesetzt der Benutzer soll darauf Zugriff bekommen. Beispielsweise auf ganz anderen Server. Und das ist im Alltag eine durchaus praktische Sache. Das wird auch häufig mit der Begrifflichkeit "Single Sign-on" gemacht. Man muß sich jetzt nur bei einem Dienst anmelden, und alle anderen Dienste werden dadurch automatisch freigeschaltet. Beispielsweise man meldet sich morgens an seinem PC an, und über dieses Kerberos System wird auch automatisch dem Benutzer das Recht erteilt, die eigenen E-Mails abzurufen, auf den Web-Server zuzugreifen, auf den FTP-Server zuzugreifen, und so weiter, und so fort. Das hat für den Benutzer den riesigen Vorteil, er muß sich nur ein Kennwort merken, und nicht 27. Das hat aber nicht nur einen Komfortabilitätsgrund, sondern das hat auch einen Sicherheitsgrund. Wenn der Benutzer sich nur ein Kennwort merken muß, und man es ihm wirklich sinnvoll erklärt, dann kann man davon ausgehen, dass er hier wirklich ein sorgsam gewähltes Kennwort benutzt. Wenn der Benutzer sich allerdings morgens erstmals mit 7 Benutzernamen, vielleicht sogar mit 7 unterschiedlichen Benutzernamen und 7 unterschiedlichen Kennwörtern am System anmelden muß, dann ist irgendwann zu befürchten, dass der Benutzer einfach alle Kennwörter, alles, was er eingeben muß, weil er es sich nicht merken kann, mit einem PostIt an den Bildschirm dran klebt. Und hier über Kerberos ist das zum Glück nicht notwendig. Über dieses "Single Sign-on" meldet man sich einmal am System an und alle Komponenten, die dieses "Single Sign-on" unterstützen, werden über diesen einen Freischaltschlüssel dann für den Benutzer zugänglich. Ich habe Ihnen in diesem Video erklärt, was es mit dem Open Directory, genauer, was es mit Verzeichnisdiensten im Allgemeinen auf sich hat. Und ich habe Ihnen hier das Prinzip des "Single Sign-on" mit Hilfe von Kerberos erklärt.

OS X Server App (Yosemite) Grundkurs

Erweitern Sie Ihren Mac zum Server und nutzen Sie die Dienste, die diese kostengünstige App bereitstellt: Datei- oder Mail-Server, Backup-Zentrale, iPhone/iPad-Verwaltung uvm.

5 Std. 33 min (49 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!