7.11. Neusynchronisation mit dem Active Directory®

7.11.1. Überblick

Eine der Hauptstärken von IDERI note ist die tiefe Integration ins Active Directory®, die Windows Middlewareplattformen wie etwa MS Remote Procedure Calls und die in Windows integrierten Sicherheitsfunktionalitäten. Die passende Kombination aus diesen Technologien sowohl auf der Serverseite von IDERI note wie auf der Clientseite, macht überhaupt erst möglich, den IDERI note Client mit den Single Sign-On Funktionalitäten des Betriebssystems so zu betreiben, dass nach einer Benutzeranmeldung der IDERI note Client mit dem angemeldeten Benutzer läuft und sich mit der Identität dieses angemeldeten Benutzers über das Netzwerk am IDERI note Server authentifiziert.

Achtung

Active Directory® Neusynchronisation für den eiligen Leser

Mit der Active Directory® Neusynchronisation kann erreicht werden, dass bereits mit dem IDERI note Server verbundene IDERI note Clients eine veränderte Gruppenmitgliedschaft für den Nachrichtenempfang verwenden können, auch wenn die Änderung der Gruppenmitgliedschaft im Active Directory® erst nach Einloggen der Benutzer und nach dem Verbindungsaufbau ihres IDERI note Clients mit dem IDERI note Server stattgefunden hat. Damit sich eine Active Directory® Neusynchronisation von bereits mit dem IDERI note Server verbundenen Clients auf neu zu erstellende Nachrichten auswirken kann, sollten Sie folgende Reihenfolge der Operationen exakt einhalten:

  • Führen Sie zuerst die Änderung im Active Directory® durch.
  • Führen Sie anschliessend die Neusynchronisation der Clients im IDERI note Administrator durch.
  • Legen sie erst jetzt neue Nachrichten an, die die aktualisierten Gruppenmitgliedschaften der Clients ausnutzen sollen.

Für ausführliche Informationen über die Active Directory® Neusynchronisation in IDERI note lesen Sie bitte weiter in den folgenden Abschnitten:

7.11.2. Der Kerberos Ticket Cache und veraltete Informationen in der Anmeldesitzung

Wenn sich der IDERI note Client über das Netzwerk am IDERI note Server authentifiziert, benutzt er die eingebauten Funktionalitäten des dabei verwendeten Middleware-Protokolls, MS RPC. Teil dieses Authentifizierungs- und Anmeldeprozesses ist das Erzeugen einer Netzwerkanmeldesitzung auf dem IDERI note Server für jede Clientverbindung. Diese Netzwerkanmeldesitzung enthält Informationen über die Identität des Sicherheitsprinzipals (Active Directory® Benutzer oder Computer) und seine Gruppenmitgliedschaften im Active Directory®. Mit diesen Informationen kann der IDERI note Server feststellen, ob eine neue Nachricht für einen Benutzer angezeigt werden soll oder nicht. Die Gruppenmitgliedschaften im Active Directory® werden dabei in dem Moment festgelegt, wo sich der Benutzer mit seinen Anmeldedaten für das Active Directory® (Benutzername und Passwort, Smartcard, etc.) im Rahmen einer interaktiven Anmeldesitzung anmeldet. Dabei wird der “Kerberos Ticket Cache” der interaktiven Anmeldesitzung befüllt, der fortan bei jedem ausgehenden und authentifizierten Netzwerkzugriff auf sichere Weise über die integrierten Sicherheitsmechanismen von Windows an die dabei angesprochene Netzwerkressource übermittelt wird. Diese gecachten Infomationen kann dann die Netzwerkressource verwenden, um festzustellen, welche Art von Zugriff sie dem anfragenden Client erteilen kann. In dieser Hinsicht unterscheidet sich das Verhalten des IDERI note Clients in keiner Weise von anderen Programmen, etwa Explorer.exe beim Zuordnen eines Netzlaufwerks. Es gibt hier keinen eingebauten Mechanismus in der integrierten Sicherheitsfunktionalität von Windows, die es gestatten würde, der Netzwerkressource immer die aktuellsten Informationen zur Gruppenmitgliedschaft im Active Directory® zu übergeben, da dies in letzter Konsequenz zu exzessivem Netzwerkverkehr zwischen einem Client und seinem Domänenkontroller führen würde, und zwar für jede authentifizierte Netzwerkverbindung, die der Client initiiert.

Für die meisten Szenarien in einer Active Directory® Umgebung hat sich dieses Verfahren mit gecachten Informationen aus dem Kerberos Ticket Cache als guter Kompromiss zwischen Leistungsbedarf und Korrektheit der Gruppenauflösung erwiesen, auch vor dem Hintergrund, dass Änderungen bei den Gruppenmitgliedschaften im Active Directory® üblicherweise nur nach gründlicher Evaluation der zu erwartenden Konsequenzen vorgenommen werden und in ihrer Frequenz typischerweise geringer sind, als es der typischen Dauer der Anmeldesitzung eines Clients entspricht.

Diese Vorgehensweise geht aber auch zu Lasten der Flexibilität, etwa wenn es zu dynamischen Änderungen der Gruppenmitgliedschaften im Active Directory® kommt, nachdem sich bereits IDERI note Clients an ihrem IDERI note Server angemeldet haben. Solche Änderungen schlagen sich üblicherweise nur dann in der Netzwerkanmeldesitzung des Clients am IDERI note Server nieder, wenn sich der Benutzer ab- und wieder anmeldet, wobei die Netzwerkanmeldesitzung des Clients am IDERI note Server dabei zuerst geschlossen und dann neu erstellt wird, dann mit den im Zuge der interaktiven Anmeldung aktualisierten Gruppenmitgliedschaften aus einem aktualisierten Kerberos Ticket Cache. Für Benutzer des IDERI note Adminstrators macht es dieses Verhalten aber sehr schwierig, ad-hoc Änderungen an Active Directory® Gruppenmitgliedschaften mit der Erwartungshaltung zu machen, dass sich diese sofort auf den Empfang von Nachrichten der aktuell verbundenen Clients auswirken. Wir werden dieses Dilemma mit einem einfachen Beispiel veranschaulichen:

Betrachten wir hierzu das Szenario aus Abschnitt 4.2 und 4.5, wo wir an unseren fiktiven Benutzer Albert Tross eine Reihe von Nachrichten geschickt haben. Stellen wir uns nun vor, dass der IDERI note Client von Albert Tross bereits mit seinem IDERI note Server auf dem Mitgliedsserver sv01.note.dev verbunden ist und nun eine neue Gruppe namens “IDERI note Benutzer” im Active Directory® angelegt wird, mit Albert Tross als deren Mitglied. Anschliessend wird eine neue Nachricht angelegt mit der neuen Gruppe “IDERI note Benutzer” als Empfänger. Aber nachdem das Pollingintervall des Clients von Albert Tross abgelaufen ist, beobachten wir, dass diese Nachricht gar nicht erscheint auf dem Desktop von Albert Tross, obwohl er doch nun Mitglied dieser neuen Gruppe ist. Was ist da los?

Was wir in diesem Beispiel sehen, sind die Auswirkungen eines veralteten Kerberos Ticket Cache, der mit der interaktiven Anmeldesitzung von Albert Tross assoziiert ist. Da die Informationen über Gruppenmitgliedschaften aus dem Kerberos Ticket Cache an den IDERI note Server bereits vor den Änderungen an den Active Directory® Gruppenmitgliedschaften übermittelt wurden, weiss der IDERI note Server nichts von diesen Änderungen und wird daher die Nachricht nicht an den Desktop von Albert Tross schicken.

7.11.3. Bereinigung des Kerberos Ticket Cache aus dem IDERI note Administrator

Damit der IDERI note Server mit aktualisierten Informationen über die Active Directory® Gruppenmitgliedschaften von Albert Tross arbeiten kann, müssen folgende Schritte unternommen werden:

  • Die aktuelle Netzwerkanmeldesitzung von Albert Tross auf dem IDERI note Server muss geschlossen werden.
  • Ein Prozess innerhalb der interaktiven Anmeldesitzung von Albert Tross auf dem Clientcomputer muss den Kerberos Ticket Cache dieser Anmeldesitzung bereinigen und mit den aktuellen Informationen vom Domänenkontroller befüllen.
  • Der IDERI note Clientprozess in der interaktiven Anmeldesitzung von Albert Tross muss seine Netzwerkanmeldesitzung auf dem IDERI note Server neu anlegen, wobei dieses Mal der Inhalt des aktualisierten Kerberos Ticket Caches an den Server übermittelt wird. In unserem fiktiven Beispiel würde das die neue Gruppenmitgliedschaft von Albert Tross in der Active Directory® Gruppe “IDERI note Benutzer” beinhalten.

Sämtliche dieser Schritte werden automatisch durchgeführt, wenn die Schaltfläche “Clients mit dem AD neu synchronisieren” im Feld “Start - Clients” der Multifunktionsleiste im IDERI note Administrator betätigt wird. Das Betätigen dieser Schaltfläche führt jedoch nicht unmittelbar zu irgendeiner Kommunikation mit den aktuell mit dem IDERI note Server verbundenen Clients. Stattdessen werden damit nur die aktuellen Clientverbindungen auf dem IDERI note Server “markiert” als Verbindungen, die eine Neusynchronisation mit dem Active Directory® benötigen, wodurch dieser Vorgang sehr schnell vonstatten geht. Wenn nun für irgendeinen dieser derart markierten Clients das Pollingintervall abläuft, wird der Client seine übliche Aktualisierung durchführen, ohne zu Wissen, dass der Server seine Verbindung als eine Verbindung markiert hat, die einer Neusynchronisation mit dem Active Directory® bedarf. Daher wird der Server diese Aktualisierungsanfrage des Clients verweigern und einen speziellen Fehlercode an den Client zurückgeben, der dem Client anzeigt, dass er die oben beschriebenen Schritte nun durchlaufen muss: Schliessen der Verbindung zum IDERI note Server, Bereinigen des Kerberos Ticket Cache und Neuaufnahme einer Verbindung zum IDERI note Server. Wenn der Client diese Schritte durchgeführt hat, verfügt er über eine Netzwerkanmeldesitzung auf dem IDERI note Server mit den aktuellen Active Directory® Gruppenmitgliedschaften. Um zu unserem oben skizzierten Beispiel mit der neuen Gruppe “IDERI note Benutzer” zurückzukehren: Eine Nachricht an diese Gruppe wird nun auf dem Desktop von Albert Tross angezeigt, wenn die Neusynchronisation der Clients aus dem IDERI note Administrator heraus nach der Änderung der Gruppenmitgliedschaften von Albert Tross und vor dem Anlegen einer Nachricht an diese Gruppe stattgefunden hat.

7.11.4. Einschränkungen und Grenzen

Zunächst einmal funktioniert das Bereinigen des Kerberos Ticket Caches natürlich nur für Clients in reinen und voll funktionsfähigen Kerberos-Umgebungen. Das schliesst von vornherein Arbeitsgruppenumgebungen sowie Clientverbindungen, die aus irgendeinem Grund NTLM als Authentifizierungsprotokoll gewählt haben, aus. Weiterhin wirkt sich das Bereinigen des Kerberos Ticket Caches auch nur auf - aus Sicht des Clients - ausgehende authentifizierte Netzwerkverbindungen aus. Dadurch hat das Bereinigen des Kerberos Ticket Cache auch nicht den gewünschten Effekt des Anlegens von Informationen mit den aktuellsten Gruppenmitgliedschaften für einen Clientprozess, der auf demselben Computer läuft wie der IDERI note Server. In diesem Fall erzeugt der Client beim Verbinden mit dem IDERI note Server nämlich implizit eine lokale Verbindung, keine ausgehende Verbindung. Für Clients, die in dieser Konstellation betrieben werden, kann die Gruppenmitgliedschaft auf dem IDERI note Server ausschliesslich durch Ausloggen und Wiedereinloggen der Benutzer aktualisiert werden.

Eine andere Einschränkung kommt ins Spiel, wenn unmittelbar nach einer Neusynchronisation mit dem Active Directory® Alarmmeldungen an Clients “gepusht” werden. Wird in IDERI note eine Pushoperation ausgeführt, werden dabei angesprochene Clients nur angewiesen, eine Aktualisierung ihres Zustands vor Ablauf ihres aktuellen Pollingintervalls vorzunehmen. In diesem Fall werden also nur diejenigen Clients derart angewiesen, das Ende des aktuellen Pollingintervalls vorzuziehen, die bereits vor der Änderung der Gruppenmitgliedschaften im Active Directory® legitime Nachrichtenempfänger der gepushten Nachricht sind. Im obigen Beispiel, wo eine neue Gruppe angelegt und Albert Tross deren Mitglied wird, führt das Pushen einer Alarmmeldung an diese Gruppe unmittelbar nach der Resynchronisation der Clients dazu, dass die Alarmmeldung auf dem Desktop von Albert Tross zwar angezeigt wird, aber erst nach Ablauf des aktuellen Pollingintervalls des Clients auf dem Desktop von Albert Tross.

7.11.5. Auswirkungen der Bereinigung des Kerberos Ticket Cache auf andere Prozesse

Das Bereinigen des Kerberos Ticket Cache wirkt sich nur auf neu erzeugte ausgehende Verbindungen mit Authentifizierung über integrierte Windows-Sicherheitsmechanismen aus. Existierende ausgehende Verbindungen oder bereits geöffnete Netzwerkressourcen sind davon nicht betroffen.

7.11.6. Sicherheit

Da dieses Produktmerkmal einerseits zu sehr viel mehr Netzwerkverkehr zwischen Clientcomputern und ihren Domänenkontrollern, andererseits zu mehr Last auf dem IDERI note Server führt, wenn Clients ihre Verbindungen schliessen und neu aufbauen, wird die Verwendung dieses Produktmerkmals über einen Sicherheitsdeskriptor gesteuert. Dieser kann über die Schaltfläche “AD-Synchronisation” im Feld “Einstellungen - Sicherheit” auf der Multifunktionsleiste des IDERI note Administrators eingesehen und verändert werden. In den Standardeinstellungen haben ausschliesslich Mitglieder der Gruppe Administratoren auf dem IDERI note Server die Berechtigung, eine Neusynchronisation der Clients mit dem Active Directory® durchzuführen. Dies kann aber leicht angepasst werden mit dem Sicherheitsdialog, der nach Betätigen dieser Schaltfläche erscheint. Die Berechtigung, mit der diese Befähigung erlaubt oder verweigert werden kann, ist mit “Clients mit dem AD neu synchronisieren” bezeichnet.