Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)

Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.

Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.

Nachfolgend wird beschrieben, wie man die Verbindung zwischen dem Zertifikat und der Sicherheitsgruppe herstellt.

Voraussetzungen

Bevor die Konfiguration vorgenommen wird, sind folgende Schritte notwendig:

  • Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance. Im Zuge dessen wird der benötigte Object Identifier (OID) angelegt.
  • Erstellen oder Bearbeiten einer universellen Sicherheitsgruppe

Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance

Die Konfiguration einer Zertifikatvorlage für Authentication Mechanism Assurance wird im Artikel "Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)" beschrieben.

Erstellen oder Bearbeiten der universellen Sicherheitsgruppe

Die Authentication Mechanism Assurance funktioniert nur mit universellen Sicherheitsgruppen. Daran muss beim Erstellen der Sicherheitsgruppe gedacht werden, oder die bestehende Gruppe muss in eine universelle Grupoe umgewandelt werden.

Herstellen der Verbindung zwischen dem Object Identifier und der Sicherheitsgruppe

Anschließend muss der ADSI Editor (adsiedit.msc) aufgerufen werden, um die Verbindung herzustellen. Im obersten Knoten wird rechts geklickt und "Connect to…" ausgewählt.

Es wird eine Verbindung mit dem Default Naming Context hergestellt.

Nun wird zum Speicherort der universellen Gruppe navigiert und die Gruppe ausgewählt. Sie wird mit rechts angeklickt, und es wird "Properties" ausgewählt.

Wir benötigen das distinguishedName Attribut.

Dessen Inhalt wird kopiert und zwischengespeichert.

Nun wird wieder im obersten Knoten rechts geklickt und "Connect to…" ausgewählt.

Dieses Mal wird mit dem Configuration Kontext verbunden.

Nun wird in folgende Unterstruktur navigiert.

CN=OID,CN=Public Key Services,CN=Services,CN=Configuration

Nun muss das Objekt gesucht werden, welches den gewünschten Object Identifier beinhaltet. Dieser ist im Attribut msPKI-Cert-Template-OID gespeichert.

Im gefundenen Objekt wird das Attribut msDS-OIDToGroupLink bearbeitet.

Hier wird der zuvor kopierte Wert aus dem distinguishedName Attribut der Universellen Sicherheitsgruppe eingetragen.

Die Verbindung ist nun hergestellt. Dies kann beispielsweise geprüft werden, indem man nun versucht, der universellen Sicherheitsgruppe ein Mitglied zuzuweisen. Da die Gruppenmitgliedschaft dynamisch vergeben wird, sollte dies mit folgendem Fehler fehlschlagen:

The following Active Directory Domain Services error occurred: OID mapped groups cannot have members.

Weiterführende Links:

2 Gedanken zu „Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)“

Kommentare sind geschlossen.