Maximaler Komfort

Im Gegensatz zum Ende-zu-Ende-Modus, der die Sicherheit an erste Stelle stellt, bietet der Masterkey-Modus maximalen Komfort. Es werden nicht nur Benutzer, Organisationseinheiten und Rollen, sondern auch deren Verknüpfungen, bzw. Zugehörigkeiten importiert. Eine Synchronisation zum Aktualisieren der Informationen und Zugehörigkeiten ist möglich. Das Active Directory wird in diesem Szenario als führendes System verwendet.

Relevante Rechte

Folgende Optionen werden benötigt, um ein neues Profil anzulegen.

Benutzerrecht

  • Kann neue Active Directory Profile anlegen
  • Organisationsstruktur Modul anzeigen
  • Rollenmodul anzeigen

Erstellen des Profils

Die Profilverwaltung wird über das gleichnamige Icon in der Ribbon gestartet.

Im Profil müssen folgende Informationen angegeben werden:

  • Profilname
  • Eine optionale Beschreibung
  • Bei der Verschlüsselung wird der Masterkey-Modus ausgewählt
  • Unter Domäne wird angegeben, welche Domäne ausgelesen wird. Der hier hinterlegte Wert wird dann auch zur Authentifizierung verwendet, sofern unter Weitere Domänennamen keine alternativen Schreibweisen hinterlegt sind.
  • Es muss ein lokaler Benutzer (beispielsweise der Administrator) oder ein bereits importierter User angegeben werden. In seinem Namen findet der Import statt.
  • Zum Zugriff auf das AD ist ein Benutzer nötig. Dieser wird im Format Domäne\Benutzer angegeben. Es ist zwingend nötig, dass er Zugriff auf das AD hat.
  • zugehöriges Benutzerpasswort (Domänenkennwort) des Benutzers
  • Falls das AD dies verlangt, kann die Verbindung über SSL aufgebaut werden.
  • Die Direktsuche ist bei sehr großen Strukturen zu empfehlen. Die Baumstruktur entfällt. Elemente können dann nur noch über die Suche gefunden und selektiert werden.
  • Mit dem Filter kann über eine LDAP-Query direkt ein AD-Pfad als Einstiegspunkt angeben werden.
  • Über Weitere Zuständige Benutzer oder Rollen kann definiert werden, wer alles die Synchronisation mit dem AD durchführen darf.
  • Unter Weitere Domänennamen können alternative Schreibweisen der Anmeldedomäne hinterlegt werden. Diese müssen dann der Schreibweise im Loginfenster entsprechen. Wird die Domäne beispielsweise mit jupiter.local oder einer IP-Adresse angesprochen, kann die Anmeldung nur mit jupiter\benutzer erfolgen, wenn jupiter hier hinterlegt ist.

Import

Der Import kann direkt in der Ribbon gestartet werden. Ein Assistent führt durch den kompletten Vorgang.

Organisationsstruktur

Zunächst wird gewählt, in welche Organisationseinheit der Import erfolgen soll. Existieren – wie in diesem Beispiel – noch keine Organisationseinheit in der Datenbank, erfolgt der Import in die Hauptorganisationseinheit.

Active Directory Objekte

Im nächsten Schritt erfolgt zunächst die Auswahl des Profils, mit dem importiert werden soll. Anschließend wählt man Organisationseinheiten und/oder Benutzer zum Import aus. Hierfür steht eine Suche bereit.

Hier ist zu sehen, dass die Organisationseinheiten Jupiter und Contoso Elemente beinhalten, die importiert werden. Die Organisationseinheiten selbst werden nicht importiert. Die Gruppe 1099 Contractor wird inklusive aller Unterelemente importiert. Die Markierung der Gruppe Accounting zeigt an, dass sowohl die Gruppe selbst als auch ein Teil der Unterelemente importiert werden. Die Haken in der letzten Spalte sorgen dafür, dass die Elemente bei zukünftigen Synchronisationsläufen beachtet werden.

Es gibt verschiedene Symbole, welche die zu importierenden Elemente kennzeichnen.

Das Element selbst und alle eventuell vorhandenen Unterelemente werden importiert.
Das Element selbst und ein Teil seiner Unterelemente werden importiert.
Das Element wird nicht importiert, beinhaltet jedoch Elemente, die importiert werden.

Über einen Rechtsklick in die Liste erscheint ein Kontextmenü, das hilfreiche Funktionen zur Selektion der einzelnen Elemente bereitstellt.

Im unteren Bereich lässt sich festlegen, ob die soeben zum Import selektieren Benutzer als Light oder Full Benutzer angelegt werden sollen.

Zusammenfassung

Die letzte Seite fasst zusammen, welche Objekte in welcher Form bearbeitet werden. Es sind sowohl die Namen als auch die Beschreibungen der Elemente zu sehen. In der Spalte Status wird dargestellt, ob das Objekt neu hinzugefügt, aktualisiert oder deaktiviert wird. In der letzten Spalte ist ersichtlich, in welche Organisationseinheit das Element importiert wird. Ganz unten ist die Anzahl der Objekte zu sehen.

Importvorgang

Der Import wird im Hintergrund durch den Server durchgeführt. Die einzelnen Elemente tauchen also nach und nach in der Liste auf. Je nach Menge der importierenden Daten kann dies auch längere Zeit in Anspruch nehmen. Wurde der Import beendet, wird dies über einen Hint symbolisiert.

Importierte Benutzer und Organisationseinheiten

Die im Masterkey-Modus importierten Benutzer und Organisationseinheiten können in Password Safe nicht bearbeitet werden. Etwaige Änderungen müssen also im AD vorgenommen und synchronisiert werden. Somit wird das AD zum führenden System. Zugehörigkeiten in Rollen werden ebenfalls synchronisiert und müssen im AD gesetzt werden. In Organisationseinheiten oder Rollen, die in Password Safe erzeugt wurden, können die User direkt in Password Safe aufgenommen werden.

Rechte

Beim Import bzw. der Synchronisation werden die Rechte wie folgt vergeben.

Neue Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? Wenn kein Preset hinterlegt ist Wenn kein Preset hinterlegt ist Nein
Werden Rechte aus einem Preset angewandt? Wenn Preset hinterlegt ist Wenn Preset hinterlegt ist Nein
Wird das “Hinzufügen” Recht vergeben? Nein Ja Nein
Wer bekommt den Rechte Schlüssel? Importierter Benutzer und alle mit “Berechtigen” Recht Alle Alle mit “Berechtigen” Recht

Geänderte Objekte

Benutzer Gruppen Rollen
Werden Rechte von der OU vererbt? Wenn kein Preset hinterlegt ist Nein Nein
Werden Rechte aus einem Preset angewandt? Wenn Preset hinterlegt ist Nein Nein
Wird das “Hinzufügen”-Recht vergeben? Nein Nein Nein
Wer bekommt den Rechte-Schlüssel? Alle mit “Berechtigen”-Recht Keine Alle mit “Berechtigen”-Recht

Anmeldung an Password Safe

Benutzer, die in diesem Modus importiert werden, können sich mit dem Domänenkennwort anmelden. Es ist beachten, dass bei der Anmeldung keine Domäne angegeben werden muss. Selbstverständlich kann die Anmeldung zusätzlich durch die Multi-Faktor-Authentifizierung ergänzt werden.

Berechtigungen auf importierte Objekte

Folgendes Beispiel veranschaulicht die Rechte, die auf die importierten Benutzer vergeben werden:

1. Im Masterkey-Modus wird immer Jeder auf den Benutzer lesend berechtigt.
2. Der *zuständige Benutzer” wird mit allen Rechten und dem Schlüssel berechtigt. Hierdurch ist gewährleistet, dass er den Benutzer zukünftig auch synchronisieren, bzw. ändern kann.
3. Die weiteren zuständigen Benutzer werden – wie der zuständige Benutzer – berechtigt.
4. Der Masterkey des Active Directory Profils wird ebenfalls mit allen Rechten und Schlüsseln berechtigt, da hierüber synchronisiert wird.
5. Schlussendlich wird der Benutzer auf sich selbst berechtigt.

Synchronisation

Bei einer Synchronisation werden alle relevanten Informationen der Benutzer, Organisationseinheiten und Rollen (Namen, E-Mail, usw.) aktualisiert. Geänderte Zugehörigkeiten zu Rollen werden angepasst. Ebenso werden Benutzer – entsprechend den Einstellungen im AD – aktiviert bzw. deaktiviert. Falls die Zugehörigkeit von Organisationseinheiten gewechselt werden soll, kann das per Drag & Drop verwirklicht werden. Neue Benutzer und entsprechend definierte Rollen werden importiert.

Manuelle Synchronisation

Über die entsprechende Schaltfläche in der Ribbon kann die Synchronisation jederzeit manuell gestartet werden.

Anschließend wird das gewünschte Profil gewählt und die Synchronisation gestartet. Wie auch der initiale Import, läuft die Synchronisation im Hintergrund. Der Abschluss wird ebenfalls durch einen “Hint” angezeigt.

Synchronisation über System Tasks

Ebenso kann die Synchronisation automatisiert durchgeführt werden. Dies wird im Zuge der System Tasks ermöglicht.

Löschen bzw. Entfernen von Benutzern

Wird ein Benutzer im Active Directory entfernt, so wird er in Password Safe beim nächsten Sync ebenfalls gelöscht. Voraussetzung hierfür ist, dass der Benutzer als synchronisationsfähig importiert wurde.

Soll der Benutzer nur aus Password Safe, aber nicht aus dem AD gelöscht werden, so muss er aus der Datenbank heraus synchronisiert werden. Hierfür wird über Import der Assistent aufgerufen. Im ersten Schritt wird eine Organisationseinheit ausgewählt. Diese hat beim reinen Löschen keine Auswirkung. Im zweiten Schritt wird dann der Benutzer gesucht, um beide Haken zu entfernen.

Nach dem Prüfen der Zusammenfassung wird der Vorgang abgeschlossen. Der Benutzer wird aus der Datenbank synchronisiert.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.