Maximaler Komfort

Im Gegensatz zum Ende-zu-Ende-Modus, der die Sicherheit an erste Stelle stellt, bietet der Masterkey-Modus maximalen Komfort. Es werden nicht nur Benutzer, Organisationseinheiten und Rollen, sondern auch deren Verknüpfungen bzw. Zugehörigkeiten importiert. Eine Synchronisation zum Aktualisieren der Informationen und Zugehörigkeiten ist möglich. Das Active Directory wird in diesem Szenario als führendes System verwendet.

Relevante Rechte

Um ein neues Profil anzulegen, benötigen Sie folgende Rechte.

Benutzerrecht

  • Kann neue Active Directory Profile anlegen.
  • Organisationsstruktur Modul anzeigen.
  • Rollenmodul anzeigen.

Erstellen des Profils

Die Profilverwaltung starten Sie über das gleichnamige Icon in der Ribbon.

Im Profil geben Sie folgende Informationen an:

  • Profilname
  • Eine optionale Beschreibung
  • Bei der Verschlüsselung wählen Sie den Masterkey-Modus aus.
  • Unter Domäne legen Sie fest, welche Domäne ausgelesen wird. Der hier hinterlegte Wert wird auch zur Authentifizierung verwendet. Alternative Schreibweisen können sie unter Weitere Domänennamen hinterlegen.
  • Es muss ein Benutzer (beispielsweise der Administrator) angegeben werden, welcher den Import durchführt. Aus technischen Gründen können Sie hierfür nur lokale Benutzer verwenden.
  • Zum oben angegebenen Benutzer ist das zugehörige Benutzerpasswort (Domänenkennwort) nötig.
  • Die Direktsuche ist bei sehr großen Strukturen zu empfehlen. Die Baumstruktur entfällt. Sie finden und selektieren Elemente dann nur über die Suche.
  • Mit dem Filter können Sie über eine LDAP-Query direkt ein AD-Pfad als Einstiegspunkt angeben.
  • Für die Anbindung des AD an Password Safe können verschiedene Sicherheitsoptionen (Flags) – sogenannte AuthenticationTypes Enumeration – ausgewählt werden.
    • Secure
    • SecureSocketsLayer
    • ReadOnlyServer
    • Signing
    • Sealing
  • Über Weitere Zuständige Benutzer oder Rollen definieren Sie, wer alles die Synchronisation durchführen darf.
  • Unter Weitere Domänennamen können Sie alternative Schreibweisen der Anmeldedomäne hinterlegen. Diese müssen der Schreibweise im Loginfenster entsprechen. Wird die Domäne beispielsweise mit jupiter.local oder einer IP-Adresse angesprochen, kann die Anmeldung nur mit jupiter\benutzer erfolgen, wenn jupiter hinterlegt ist.

Import

Den Import starten Sie direkt in der Ribbon. Ein Assistent begleitet Sie durch den Vorgang.

Organisationsstruktur

Zunächst legen Sie fest, in welche Organisationseinheit der Import erfolgen soll. Existiert – wie in diesem Beispiel – noch keine Organisationseinheit, erfolgt der Import in die Hauptorganisationseinheit.

Active Directory Objekte

Im nächsten Schritt wählen Sie das Profil, mit welchem Sie importieren wollen. Anschließend wählen Sie die Organisationseinheiten und/oder Benutzer zum Import aus. Hier können Sie auf die Suche zurückgreifen.

Hier sehen Sie, dass die Organisationseinheiten Jupiter und Contoso Elemente beinhalten, die importiert werden. Die Organisationseinheiten selbst werden nicht importiert. Die Gruppe 1099 Contractor wird inklusive aller Unterelemente importiert. Die Markierung der Gruppe Accounting zeigt, dass hier die Gruppe selbst als auch ein Teil der Unterelemente importiert werden. Die Haken in der letzten Spalte sorgen dafür, dass die Elemente bei der zukünfigen Synchronisation beachtet werden.

Die zu importierenden Elemente werden mittels verschiedener Symbole gekennzeichnet.

Das Element selbst und alle eventuell vorhandenen Unterelemente werden importiert.
Das Element selbst und ein Teil seiner Unterelemente werden importiert.
Das Element wird nicht importiert, beinhaltet jedoch Elemente, die importiert werden.

Über einen Rechtsklick in die Liste gelangen Sie in ein Kontextmenü zur Selektion der einzelnen Elemente.

Im unteren Bereich legen Sie fest, ob die soeben für den Import selektieren Benutzer als Light oder Full Benutzer angelegt werden sollen.

Zusammenfassung

Hier sehen Sie, welche Objekte in welcher Form bearbeitet werden. In der Spalte Status wird dargestellt, ob das Objekt neu hinzugefügt, aktualisiert oder deaktiviert wird. In der letzten Spalte ist ersichtlich, in welche Organisationseinheit das Element importiert wird. Ganz unten ist die Anzahl der Objekte zu sehen.

Importvorgang

Der Import wird durch den Server im Hintergrund durchgeführt. Die einzelnen Elemente tauchen daher nach und nach in der Liste auf. Je nach Menge der importierenden Daten kann dies längere Zeit in Anspruch nehmen. Wurde der Import beendet, wird ein entsprechender Hinweis angezeigt.

Importierte Benutzer und Organisationseinheiten

Die im Masterkey-Modus importierten Benutzer und Organisationseinheiten können in Password Safe nicht bearbeitet werden. Änderungen müssen im AD vorgenommen und synchronisiert werden. Somit ist das AD das führende System. Zugehörigkeiten in Rollen werden synchronisiert und müssen im AD gesetzt werden. Die User können aber in Organisationseinheiten oder Rollen, die in direkt in Password Safe angelegt wurden, aufgenommen werden.

Rechte

Beim Import bzw. der Synchronisation werden die Rechte wie folgt vergeben.

Neue Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? Wenn kein Preset hinterlegt ist Wenn kein Preset hinterlegt ist Nein
Werden Rechte aus einem Preset angewandt? Wenn Preset hinterlegt ist Wenn Preset hinterlegt ist Nein
Wird das “Hinzufügen” Recht vergeben? Nein Ja Nein
Wer bekommt den Rechte Schlüssel? Importierter Benutzer und alle mit “Berechtigen” Recht Alle Alle mit “Berechtigen” Recht

Geänderte Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? Wenn kein Preset hinterlegt ist Nein Nein
Werden Rechte aus einem Preset angewandt? Wenn Preset hinterlegt ist Nein Nein
Wird das “Hinzufügen”-Recht vergeben? Nein Nein Nein
Wer bekommt den Rechte-Schlüssel? Alle mit “Berechtigen”-Recht Keine Alle mit “Berechtigen”-Recht

Anmeldung an Password Safe

Benutzer, die Sie in diesem Modus importieren, können sich mit dem Domänenkennwort anmelden. Bei der Anmeldung muss keine Domäne angegeben werden. Die Anmeldung kann zusätzlich durch die Multi-Faktor-Authentifizierung ergänzt werden.

Berechtigungen auf importierte Objekte

Folgendes Beispiel veranschaulicht die Rechte, die auf die importierten Benutzer vergeben werden:

1. Im Masterkey-Modus wird immer Jeder auf den Benutzer lesend berechtigt.
2. Der *zuständige Benutzer” wird mit allen Rechten und dem Schlüssel berechtigt. Hierdurch ist gewährleistet, dass er den Benutzer zukünftig auch synchronisieren bzw. ändern kann.
3. Die weiteren zuständigen Benutzer werden wie der zuständige Benutzer berechtigt.
4. Der Masterkey des Active Directory Profils wird ebenfalls mit allen Rechten und Schlüsseln berechtigt, da hierüber synchronisiert wird.
5. Schlussendlich wird der Benutzer auf sich selbst berechtigt.

Synchronisation

Bei einer Synchronisation werden alle relevanten Informationen der Benutzer, Organisationseinheiten und Rollen (Namen, E-Mail, usw.) aktualisiert. Geänderte Zugehörigkeiten zu Rollen werden angepasst. Ebenso werden Benutzer entsprechend den Einstellungen im AD aktiviert bzw. deaktiviert. Wechseln Sie die Zugehörigkeit von Organisationseinheiten wechseln mittels Drag & Drop. Neue Benutzer und entsprechend definierte Rollen werden importiert.

Manuelle Synchronisation

Über die entsprechende Schaltfläche in der Ribbon können Sie die Synchronisation manuell starten.

Anschließend wählen Sie das gewünschte Profil aus und starten die Synchronisation. Wie auch der initiale Import läuft die Synchronisation im Hintergrund. Wurde die Synchronisation beendet, wird ein entsprechender Hinweis angezeigt.

Synchronisation über System Tasks

Die Synchronisation kann mittels System Tasks automatisiert werden.

Löschen bzw. Entfernen von Benutzern

Wird ein Benutzer im Active Directory entfernt, so wird er in Password Safe beim nächsten Sync ebenfalls gelöscht. Voraussetzung hierfür ist, dass der Benutzer als synchronisationsfähig importiert wurde.

Wollen Sie den Benutzer nur aus Password Safe, aber nicht aus dem AD löschen, so müssen Sie ihn aus der Datenbank heraus synchronisieren. Rufen Sie hierfür über Import den Assistenten auf. Im ersten Schritt wählen Sie eine Organisationseinheit aus. Diese hat beim reinen Löschen keine Auswirkung. Im zweiten Schritt suchen Sie dann den Benutzer, um beide Haken zu entfernen.

Nach dem Prüfen der Zusammenfassung schließen Sie den Vorgang ab. Der Benutzer wird aus der Datenbank synchronisiert.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.