Maximaler Komfort

Im Gegensatz zum Ende zu Ende Modus, welcher die Sicherheit an erste Stelle stellt, bietet der Master Key Modus maximalen Komfort. Es werden nicht nur Benutzer, Organisationseinheiten und Rollen, sondern auch deren Verknüpfungen, bzw. Zugehörigkeiten importiert. Eine Synchronisation zum Aktualisieren der Informationen und Zugehörigkeiten ist möglich. Das Active Directory wird in diesem Szenario als führendes System verwendet.

Erstellen des Profils

Die Profilverwaltung wird über das gleichnamige Icon in der Ribbon gestartet.

Im Profil müssen folgende Informationen angegeben werden:

  • Profilname
  • Eine optionale Beschreibung
  • Bei der Verschlüsselung wird der Master Key Modus ausgewählt
  • Unter Domäne wird angegeben, welche Domäne ausgelesen wird. Der hier hinterlegte Wert wird dann auch zur Authentifizierung verwendet,sofern unter Weitere Domänennamen keine alternativen Schreibweisen hinterlegt sind.
  • Es muss ein lokaler Benutzer (beispielsweise der Administrator) oder ein bereits importierter User angegeben werden. In dessen Namen findet der Import statt.
  • Zum Zugriff auf das AD ist ein Benutzer nötig. Dieser wird im Format Domäne\Benutzer angegeben. Es ist zwingend nötig, dass er Zugriff auf das AD hat.
  • zugehöriges Benutzerpasswort (Domänenkennwort) des Benutzers
  • Falls das AD dies verlangt, kann die Verbindung über SSL aufgebaut werden
  • Die Direktsuche ist bei sehr großen Strukturen zu empfehlen. Die Baumstruktur entfällt, Elemente können dann nur noch über die Suche gefunden und selektiert werden.
  • Mit dem Filter kann über eine LDAP-Query direkt ein AD-Pfad als Einstiegspunkt angeben werden.
  • Über Weitere Zuständige Benutzer oder Rollen kann definiert werden, wer alles die Synchronisation mit dem AD durchführen darf.
  • Unter Weitere Domänennamen können alternative Schreibweisen der Anmeldedomäne hinterlegt werden. Diese müssen dann der Schreibweise im Loginfenster entsprechen. Wird die Domäne beispielsweise mit jupiter.local oder einer IP Adresse angesprochen, so kann die Anmeldung nur dann mit jupiter\benutzer erfolgen, wenn jupiter hier hinterlegt ist.

Import

Der Import kann direkt in der Ribbon gestartet werden. Ein Assistent führt durch den kompletten Vorgang.

Organisationsstruktur

Zunächst wird gewählt, in welche Organisationseinheit der Import erfolgen soll. Existieren – wie in diesem Beispiel – noch keine Organisationseinheiten in der Datenbank, erfolgt der Import in die Hauptorganisationseinheit.

Active Directory Objekte

Im nächsten Schritt erfolgt zunächst die Auswahl des Profils, mit welchem importiert werden soll. Anschließend wählt man Organisationseinheiten und/oder Benutzer zum Import aus. Hierfür steht eine Suche bereit.

Hier ist zu sehen, dass die Organisationseinheiten Jupiter und Contoso Elemente beinhalten, welche importiert werden. Die Organisationseinheiten selbst werden nicht importiert. Die Gruppe 1099 Contractor wird inklusive aller Unterelemente importiert. Die Markierung der Gruppe Accounting zeigt an, dass sowohl die Gruppe selbst als auch ein Teil der Unterelemente importiert werden. Die Haken in der letzten Spalte sorgen dafür, dass die Elemente bei zukünftigen Synchronisationsläufen beachtet werden.

Es gibt verschiedene Symbole, welche die zu importierenden Elemente kennzeichnen.

Das Element selbst und alle eventuell vorhandenen Unterelemente werden importiert
Das Element selbst und ein Teil seiner Unterelemente werden importiert
Das Element wird nicht importiert, beinhaltet jedoch Elemente welche importiert werden

Über einen Rechtsklick in die Liste erhält man ein Kontextmenü, welches hilfreiche Funktionen zur Selektion der einzelnen Elemente bereitstellt.

Es gibt verschiedene Symbole welche darstellen welche Elemente importiert werden.

Das Element selbst und alle eventuell vorhandenen Unterelemente werden importiert
Das Element selbst und ein Teil seiner Unterelemente werden importiert
Das Element wird nicht importiert, beinhaltet jedoch Elemente welche importiert werden

Zusammenfassung

Die letzte Seite fasst zusammen, welche Objekte in welcher Form bearbeitet werden. Es sind sowohl die Namen als auch die Beschreibungen der Elemente zu sehen. In der Spalte Status wird dargestellt, ob das Objekt neu hinzugefügt, aktualisiert oder deaktiviert wird. In der letzten Spalte ist ersichtlich, in welche Organisationseinheit das Element importiert wird. Ganz unten ist die Anzahl der Objekte zu sehen.

Importvorgang

Der Import wird im Hintergrund durch den Server durchgeführt. Die einzelnen Elemente tauchen also nach und nach in der Liste auf. Je nach Menge der importierenden Daten kann dies auch längere Zeit in Anspruch nehmen. Wurde der Import beendet, wird dies über einen Hint symbolisiert.

Importierte Benutzer und Organisationseinheiten

Die im Master Key Modus importierten Benutzer und Organisationseinheiten können im Password Safe nicht bearbeitet werden. Etwaige Änderungen müssen also im AD vorgenommen und synchronisiert werden. Somit wird das AD zum führenden System. Zugehörigkeiten in Organisationseinheiten oder Rollen werden ebenfalls synchronisiert und müssen im AD gesetzt werden. In Organisationseinheiten oder Rollen, welche in Password Safe erzeugt wurden, können die User direkt in Password Safe aufgenommen werden.

Rechte

Beim Import bzw. der Synhronisation werden die Rechte wie folgt vergeben.

Neue Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? wenn kein Preset hinterlegt ist wenn kein Preset hinterlegt ist Nein
Werden Rechte aus einem Preset angewandt? wenn Preset hinterlegt ist wenn Preset hinterlegt ist Nein
Wird das “Hinzufügen” Recht vergeben? Nein Ja Nein
Wer bekommt den Rechte Schlüssel? Importierter Benutzer und alle mit “Berechtigen” Recht Alle Alle mit “Berechtigen” Recht

Geänderte Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? wenn kein Preset hinterlegt ist Nein Nein
Werden Rechte aus einem Preset angewandt? wenn Preset hinterlegt ist Nein Nein
Wird das “Hinzufügen” Recht vergeben? Nein Nein Nein
Wer bekommt den Rechte Schlüssel? Alle mit “Berechtigen” Recht Keine Alle mit “Berechtigen” Recht

Anmeldung an Password Safe

Benutzer, welche in diesem Modus importiert werden, können sich mit dem Domänenkennwort anmelden. Es gilt zu beachten, dass bei der Anmeldung keine Domäne angegeben werden muss. Selbstverständlich kann die Anmeldung zusätzlich durch die Multifaktor-Authentifizierung ergänzt werden.

Berechtigungen auf importierte Objekte

Die Rechte welche auf die importierten Benutzer vergeben werden, sollen mittels folgendem Beispiel verdeutlicht werden:

1. Im Masterkey Modus wird immer Jeder auf den Benutzer lesend berechtigt.
2. Der *zuständige Benutzer” wird mit allen Rechten und dem Schlüssel berechtigt. Hierdurch ist gewährleistet, dass er den Benutzer zukünftig auch synchronisieren bzw. ändern kann
3. und 4. Die weiteren zuständigen Benutzer oder Rollen werden – wie der zuständige Benutzer berechtigt
5. Der Masterkey des Active Directory Profils wird ebenfalls mit allen Rechten und Schlüssel berechtigt, da hierüber synchronisiert wird
6. Schlussendlich wird der Benutzer auf sich selbst berechtigt

Synchronisation

Bei einer Synchronisation werden alle relevanten Informationen der Benutzer, Organisationseinheiten und Rollen (Namen, E-Mail, usw.) aktualisiert. Geänderte Zugehörigkeiten zu Organisationseinheiten und Rollen werden angepasst. Ebenso werden Benutzer – entsprechend den Einstellungen im AD – aktiviert bzw. deaktiviert. Neue Benutzer und entsprechend definierten Rollen werden importiert.

Manuelle Synchronisation

Über die entsprechende Schaltfläche in der Ribbon kann die Synchronisation jederzeit manuell gestartet werden.

Anschließend wird das gewünschte Profil gewählt und die Synchronisation schlussendlich gestartet. Wie auch der initiale Import, läuft die Synchronisation im Hintergrund. Der Abschluss wird ebenfalls durch einen “Hint” angezeigt.

Synchronisation über System Tasks

Ebenso kann die Synchronisation automatisiert durchgeführt werden. Dies wird im Zuge der System Tasks ermöglicht.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.