Wir sehen sowohl bei Linux als auch bei Windows eine steigende Nachfrage, und je größer ein Unternehmen ist, umso wahrscheinlicher ist der Einsatz mehrerer Softwareplattformen", erklärt Dave Wilson, Vice President Cross Platform Integration bei Quest Software. Somit seien Strategien gefragt, die unter Berücksichtigung mehrerer Betriebssysteme eine höhere Effizienz versprechen. Laut Wilson ist die Vereinheitlichung der System-Management-Werkzeuge ein nahe liegender Ansatz, um Mischumgebungen mit Windows, Unix, Linux oder Mac OS wirtschaftlich zu betreiben.
www.computerwoche.de/go/
*76406: Quest erwirbt Directory-Technik;
*74291: Microsoft unterstützt Linux - virtuell.
Zwei Stoßrichtungen
Seit der kürzlich vollzogenen Übernahme von Vintela zählt auch Quest zu den Anbietern derartiger Crossplatform-Lösungen. Die Portfolio-Erweiterung zielt auf zwei Einsatzgebiete: das Multiplattform-Management auf Basis der "Vintela Management Extensions" (VMX) sowie unternehmensweites Single-Sign-on mittels "Vintela Authentication Services" (VAS). Mit Hilfe von VMX sollen sich beispielsweise Linux-Rechner in ein Active Directory einbinden und über Microsofts Management- und Monitoring-Produkte "Systems Management Server" (SMS) und "Microsoft Operations Manager" (MOM) verwalten lassen.
Kerberos auf Unix
Auch im zweiten Bereich, den Authentication Services, sieht Wilson keine echte Alternative zu den bestehenden Windows-Techniken: "Die Kerberos-Authentifizierung von Windows XP ist allen vorhandenen Lösungen in der Unix- und Linux-Welt überlegen, zudem basiert sie auf Standards." Die Besonderheit des Microsoft-Verfahrens liege darin, dass der Benutzer beim Anmeldevorgang ein Kerberos-Ticket erhält, mit dem er sich an allen Kerberos-fähigen Systemen und Anwendungen wie Active Directory oder SAP GUI anmelden kann. Damit ist die Voraussetzung für firmenweites Single-Sign-on gegeben.
Unix/Linux verfügten im Gegensatz dazu über veraltete und teils sehr unsichere Authentisierungskonzepte. So benötigt unter Unix jeder Rechner eine separate Passwort-Datei. Eine andere Komponente ist das unter Unix gebräuchliche Network Information System (NIS) für die zentralisierte Benutzerverwaltung im Netz. Sie gilt als unsicher und hält beispielsweise den erhöhten Sicherheitsbestimmungen im Rahmen von Sarbanes-Oxley nicht mehr stand.
Eine weitere Unix-typische Authentisierungstechnik ist LDAP. Eines der Probleme hier ist laut Wilson die Vielzahl der Implementierungen. Außerdem bemängelt er das Punkt-zu-Punkt-Konzept von LDAP. Während mit Kerberos ein einziges, vom Windows-XP-Client abgeholtes Ticket ausreicht, um den User firmenweit an allen Anwendungen und Portalen anzumelden, muss unter LDAP in jeder Anwendung ein Passwort erneut eingegeben werden. Diese Lücke wird zwar oft mit Hilfe eines Meta-Verzeichnisdienstes geschlossen, doch dabei entsteht ein enormer Aufwand, denn die Verzeichnisse müssen untereinander ständig synchronisiert werden.
Auf der anderen Seite gibt es zwar eine Reihe von Kerberos-Implementierungen für Unix, diese sind Wilson zufolge jedoch oft nicht kompatibel mit Active Directory, sondern auf bestimmte Verzeichnisdienste wie etwa Sun One zugeschnitten. Hier will Quest einspringen. Über die Vintela Authentication Services sollen Microsofts Single-Sign-on-Mechanismen plattformübergreifend zur Verfügung stehen - außerdem treten Unix-Maschinen und ihre Benutzer unmittelbar einer Active-Directory-Domäne bei.
Group Policy eingebunden
Mittlerweile hat Quest das bislang eigenständige Produkt "Vintela Group Policy" in die Vintela Authentication Services integriert. Somit lassen sich auch die von Windows her bekannten Gruppenrichtlinien auf Unix-Systeme anwenden. Das Policy-Management wurde dabei erweitert: Neben den Unix-Systembefehlen "sudo" und "cron" werden nun auch Dateiverwaltung, Zugriffskontolle und Syslog mittels Gruppenrichtlinien genutzt. (ue)