Was ist ein Verzeichnisdienst?

Gemeinsam ermöglichen Verzeichnisdienste und IAM Unternehmen, Benutzerkonten, Authentifizierung, Zugriffskontrolle, Berechtigungen und andere wichtige Aspekte der Netzwerksicherheit zu kontrollieren.

Mit dem Aufkommen des Internets, des Cloud Computing und der Remote-Arbeit sind Verzeichnisdienste für Unternehmen unverzichtbar geworden, um verteilte Computing-Architekturen zur Verbesserung ihrer Kerngeschäftsprozesse zu nutzen. Verzeichnisdienste fungieren als eine Art Telefonbuch für Netzwerkressourcen und speichern Informationen über Benutzer, Geräte und andere Ressourcen, damit diese schnell und sicher eine Verbindung herstellen können.

Im Gegensatz zu herkömmlichen relationalen Datenbanken, die Informationen in Zeilen und Spalten organisieren, sind Verzeichnisdienste hierarchisch aufgebaut. Durch die Verwendung von Namespaces, einer Methode zur Klassifizierung von Netzwerkressourcen, damit diese leicht identifizierbar sind, ermöglicht die hierarchische Struktur von Verzeichnisdiensten Millionen von Benutzern und Geräten den Austausch von Informationen über ein Netzwerk.

Verzeichnisdienste basieren auf einem Client/Server-Modell, einer Standard-Netzwerkkonfiguration, bei der ein Programm als „Client“ und das andere als „Server“ fungiert. In einer Verzeichnisdienstdatenbank ist der Client in der Regel ein Benutzer, ein Gerät oder eine Anwendung.

Der Client sucht nach einer Ressource, die in der Verzeichnisdienst-Datenbank enthalten ist. Parallel dazu führt die Datenbank einen Authentifizierungsprozess durch, um zu prüfen, ob sie über die notwendigen Berechtigungen für den Zugriff auf die Ressource verfügt – ein Prozess, der als „Authentifizierung“ bezeichnet wird.

Der Authentifizierungsprozess steht im Mittelpunkt der Funktionalität der Verzeichnisdienste, da er feststellt, ob ein Benutzer oder Gerät auf seine angeforderte Ressource zugreifen kann. Die Authentifizierung erfolgt in drei Schritten: Akkreditierung, Verifizierung und Berechtigungen.

1. Berechtigungsnachweis: Der Benutzer oder das Gerät sendet seine Zugangsdaten für den Zugriff auf die angeforderte Ressourcen ein. Gemeinsame Beispiele für Anmeldedaten umfassen Benutzernamen, Passwörter und biometrische Daten, die zur Feststellung der Identität eines Nutzers verwendet werden können.
2. Verifizierung: Der Verzeichnisserver nutzt mehrere gängige Protokolle, um zu überprüfen, ob der Benutzer tatsächlich der ist, für den er sich ausgibt. Sobald die Identität eines Benutzers festgestellt wurde, stellt der Verzeichnisserver ein Authentifizierungsticket oder Token bereit, das der Benutzer anderen Anwendungen vorlegen kann, auf die er trifft.
3. Berechtigungen: Nachdem die Identität und die Anmeldedaten eines Benutzers überprüft wurden, gleicht die Verzeichnisdienstdatenbank die angegebenen Informationen mit ihren internen Zugriffskontrolllisten (ACLs) ab, um zu ermitteln, auf welche Ressourcen der Benutzer zugreifen darf.

Zusätzlich zum Authentifizierungsprozess können Verzeichnisserver auch auf andere gängige Protokolle zurückgreifen, um die Identität eines Benutzers zu bestätigen und festzulegen, auf welche Ressourcen er zugreifen darf:

• Lightweight Directory Access Protocol (LDAP): Das grundlegende Protokoll, das Verzeichnisdaten regelt, ermöglicht es Anwendungen, Verzeichnisdienstdatenbanken abzufragen und Benutzeridentitäten über TCP/IP-Netzwerke (Transmission Control Protocol/Internet Protocol) wie das Internet zu verwalten.

• Kerberos: Kerberos ist ein ticketbasiertes Authentifizierungsprotokoll, das zeitlich begrenzte Tickets oder Token ausgibt. Anwendungen können diese Tickets und Tokens wiederverwenden, um die Identität eines Benutzers zu überprüfen, anstatt ihn zur erneuten Eingabe seines Passworts aufzufordern. Kerberos wird von einigen der weltweit größten Verzeichnisdienste und Cloud-Anbieter eingesetzt, darunter Microsoft Active Directory (Azure Active Directory), Red Hat Enterprise Linux, AWS, Google Cloud und macOS.

• Security Assertion Markup Language (SAML): SAML ist ein XML-basiertes Protokoll, das Single Sign-On (SSO) ermöglicht, ein Authentifizierungssystem, mit dem sich Benutzer mit einem einzigen Satz von Anmeldedaten bei mehreren Anwendungen anmelden können.

• Domain Name System (DNS): Das Domain Name System (DNS) ist ein Protokoll, das menschenfreundliche Domainnamen wie google.com und facebook.com in Internetprotokoll-(IP)-Adressen umwandelt, die Computer benötigen, um sich in einem Netzwerk gegenseitig zu identifizieren. DNS wird oft in Verzeichnisdienste integriert, um menschenlesbare Namen mit Ressourcen abzugleichen, sodass sie leichter identifiziert werden können.  

Mehrere Schlüsselkomponenten sind für die Funktionalität von Verzeichnisdiensten von entscheidender Bedeutung, da sie autorisierten Benutzern, Geräten und Anwendungen den Zugriff auf Verzeichnisinformationen ermöglichen. Hier ein genauerer Blick auf die einzelnen Komponenten.

• Verzeichnisserver: Der Verzeichnisserver ist ein physischer oder virtueller Server, der Daten speichert, damit diese in einem Verzeichnisdienst abgerufen und verwaltet werden können. Verzeichnisserver nutzen gängige Protokolle wie LDAP, LDAPS und DNS, um Informationen über Netzwerkressourcen in einer hierarchischen Struktur zu verwalten, auf die autorisierte Benutzer, Geräte und Anwendungen leicht zugreifen können.

• Verzeichnis-Clients: Ein Verzeichnis-Client ist eine Anwendung, mit der Vorgänge wie Benutzerauthentifizierung und Identitätsverwaltung auf einem Verzeichnisserver durchgeführt werden können. Wie die Verzeichnisserver verlassen sich auch die Verzeichnis-Clients für ihre Funktionalität auf die gängigen Verzeichnisdienstprotokolle.

• Directory Information Tree (DIT): Der DIT ist die hierarchische Organisation von Informationen in einem Verzeichnisdienst. Er besteht aus einzelnen Einträgen, die Benutzer, Gruppen, Anwendungen und Geräte repräsentieren. Eine robuste DIT-Struktur ermöglicht autorisierten Benutzern den schnellen und sicheren Zugriff auf Verzeichnisdaten, eine Kernfunktion von Verzeichnisdiensten.

• Schema: Verzeichnisschemata sind eine weitere Möglichkeit, Informationen innerhalb einer Verzeichnisdienstdatenbank zu definieren. Während DIT hierarchisch aufgebaut ist, definieren Schemata, wie einzelne Verzeichnisobjekte in einem Verzeichnisdienst gespeichert werden und welche eindeutigen Eigenschaften sie haben, wodurch sichergestellt wird, dass Daten in der gesamten Datenbank einheitlich definiert sind.

• Replikationstools: Replikationstools, auch als Replikationsserverinstanzen bezeichnet, sind Softwareprozesse, die die Replikation von Verzeichnisinformationen ermöglichen. Die Replikation von Verzeichnisinformationen bietet mehrere wichtige Funktionen von Verzeichnisdiensten, wie z. B. Fehlertoleranz und Notfallwiederherstellung (Disaster Recovery, DR).

Moderne Unternehmen sind in vielfältiger Hinsicht auf Verzeichnisdienste angewiesen. Von der Verbesserung der Sicherheit und Compliance bis hin zur Erreichung einer hohen Verfügbarkeit – hier finden Sie einen Überblick über die wichtigsten Vorteile von Verzeichnisdiensten für Unternehmen.

Anstatt von den Benutzern zu verlangen, sich beim Verschieben durch verschiedene Teile einer Datenbank mehrfach zu authentifizieren, verfolgen Verzeichnisdienste einen anderen Ansatz. Sie ermöglichen es Benutzern, sich einmalig zu authentifizieren und anschließend mithilfe eines Tokens oder Tickets ihre Identität nachzuweisen.

Dieser Ansatz reduziert die Notwendigkeit, mehrere Passwörter zu erstellen und zu speichern, und ermöglicht die Durchsetzung einheitlicher Authentifizierungsrichtlinien für die gesamte Datenbank.

Verzeichnisdienste ermöglichen es Administratoren, ihre Vorgehensweise in Bezug auf Berechtigungen und Rollen zu zentralisieren und zu automatisieren. Beispielsweise können sie einen Benutzer oder eine Anwendung zu einer Gruppe hinzufügen und den Prozess automatisieren, ihnen Zugriff auf dieselben Ressourcen wie anderen Benutzern in dieser Gruppe zu gewähren.

Dieser Ansatz vereinfacht und rationalisiert Verwaltungsaufgaben und verringert die Wahrscheinlichkeit menschlicher Fehler bei manuellen Prozessen.

Moderne Verzeichnisdienste sind mit einigen der stärksten verfügbaren Verschlüsselungstools ausgestattet, die sicherstellen, dass Kommunikation und Ressourcen sicher bleiben und die Wahrscheinlichkeit eines Data Breach verringert.

Außerdem erfüllen viele gängige Protokolle, auf die Verzeichnisdienste angewiesen sind (zum Beispiel TLS, SSL, MFA und SAML), bereits die strengsten Standards für Datensicherheit, wie HIPAA und SOC 2.

Verzeichnisdienste sind dafür ausgelegt, Millionen von Authentifizierungsanfragen gleichzeitig zu verarbeiten, ohne dass ihre Leistung beeinträchtigt wird, was sie zu hochverfügbaren Systemen macht.

Durch die breite Verteilung von Replikaten der Verzeichnisdaten, auf die Benutzer zugreifen, können sie selbst bei der Verwaltung von überdurchschnittlich hohen Workloads Ausfallzeiten konsequent vermeiden.

Verzeichnisdienste lassen sich problemlos in lokale und cloudbasierte Umgebungen integrieren, wobei sowohl physische als auch virtuelle Ressourcen genutzt und nahtlos miteinander kombiniert werden können.

Programmierschnittstellen (APIs) helfen Teams dabei, Verzeichnisdienste einfach in gängige Systeme wie HR-Datenbanken, Kundenbeziehungsmanagement (CRM)-Systeme und weit verbreitete Webanwendungen zu integrieren.

Wie andere moderne, komplexe verteilte Systeme haben auch Verzeichnisdienste Schwierigkeiten, mit dem massiven Anstieg der Netzwerkdaten umzugehen, der durch neue Technologien wie künstliche Intelligenz (KI) und das Internet der Dinge (IoT) verursacht wird.

Da heute mehr Anwendungen, Benutzer und Geräte als jemals zuvor auf Informationen zugreifen und diese austauschen, stehen selbst die anspruchsvollsten Verzeichnisdienste vor neuen Herausforderungen.

Die Aufrechterhaltung der Datenkonsistenz (d. h. der Zustand, in dem alle Kopien oder Instanzen identisch bleiben) stellt seit jeher eine Herausforderung für Verzeichnisdienste dar.

Da Datenbanken immer größer und komplexer werden, um den Anforderungen neuer Technologien gerecht zu werden, ist es schwieriger, Datenreplikate auf dem neuesten Stand zu halten, was sich auf die Systemleistung auswirken kann.  

Die Bereitstellung eines ununterbrochenen Zugriffs auf Verzeichnisdienste für alle verschiedenen Benutzer und Anwendungen, die diesen benötigen, ist eine komplexe und ressourcenintensive Aufgabe.

Fehlertoleranz – die Fähigkeit, auch bei Ausfall von Komponenten und Systemen betriebsbereit zu bleiben – erfordert strenge Verfahrenstests und Redundanzen, da es sonst zu Systemausfällen und damit zu Ausfallzeiten kommen kann.

Verzeichnisdienste sind attraktive Ziele für Angreifer und Cyberbedrohungen, da sie wertvolle Informationen enthalten, die für die Kerngeschäftsprozesse der von ihnen unterstützten Organisationen von entscheidender Bedeutung sind.

Angreifer setzen eine Vielzahl gezielter Angriffe ein – darunter Ransomware und Identitätsdiebstahl –, um sich unbefugten Zugriff auf Verzeichnisdaten zu verschaffen und diese zum Schaden eines Unternehmens zu nutzen.

Verzeichnisdienste sind auf Unternehmensebene weit verbreitet und unterstützen eine Vielzahl von Anwendungsfällen. Hier sind einige der beliebtesten.

Verzeichnisdienste unterstützen das Identity und Access Management (IAM) durch nahtlose Authentifizierungsprozesse (z. B. Single Sign-On (SSO)), automatisierte Compliance-Funktionen und einen zentralisierten Ansatz für die Verwaltung digitaler Identitäten. IAM ist ein Cybersicherheits-Prozess, der sicherstellt, dass Teams Cloud-Anwendungen nutzen können, um effizient und sicher zusammenzuarbeiten.

Laut einem aktuellen Bericht belief sich der globale IAM-Markt im Jahr 2023 auf fast 18 Milliarden USD. Darüber hinaus wurde ein Wachstum von über 61 Milliarden USD bis zum Jahr 2032 prognostiziert, was einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 15,3 % entspricht.¹

Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode zur Überprüfung der Identität eines Benutzers anhand mehrerer Nachweise, wie beispielsweise Passwörtern und biometrischen Daten.

Verzeichnisdienste nutzen MFA, um Unternehmen zusätzliche Schutzebenen zu bieten, wenn Benutzer remote auf mehreren Geräten wie PCs, Tablets und Smartphones arbeiten. Verzeichnisbasierte MFA trägt zum Schutz sensibler Workloads und Informationen vor böswilligen Akteuren bei und gewährleistet die Einhaltung von Verzeichnisrichtlinien.

Verzeichnisdienste ermöglichen es Unternehmen, Open Source zu konfigurieren – Ökosysteme, in denen die zugrundeliegende Software kostenlos und für jeden zur Nutzung und Weiterentwicklung verfügbar ist.

Zum Beispiel ist OpenLDAP ein Open-Source-Verzeichnisserver und FreeIPA ein Open-Source-IAM-Tool. Beide ermöglichen Open-Source-Verzeichnisdienste für Unternehmen, die Linux, das weltweit beliebteste Open-Source-Betriebssystem (OS), einsetzen.

Die meisten modernen Unternehmen nutzen die Cloud als Teil ihrer digitalen Transformation, einem fortlaufenden Prozess zur Integration digitaler Technologien in alle Bereiche ihres Unternehmens. Verzeichnisdienste unterstützen sowohl Hybrid-Cloud- als auch Multicloud-Umgebungen, also IT-Architekturen, die verschiedene Arten von Cloud-Ressourcen kombinieren, um die IT-Infrastruktur zu optimieren.

Beispielsweise können fortschrittliche Verzeichnisdienstlösungen sowohl Private-Cloud- als auch Public-Cloud-Instanzen sichern, um eine schnelle und konsistente Authentifizierung für Benutzer und Anwendungen zu ermöglichen.

Verzeichnisdienste unterstützen Unternehmen bei der Optimierung kritischer Netzwerkressourcen wie Benutzergruppen, Drucker und Dateiserver durch die Integration mit DNS und anderen Netzwerksystemen.

IT-Manager nutzen Verzeichnisdienste, um Ressourcen in einem Netzwerk mit minimalem Aufwand zu konfigurieren und bereitzustellen, unabhängig von der Komplexität und der Anzahl der Benutzer. Verzeichnisdienste bieten eine zentrale Anlaufstelle für die Verwaltung von Netzwerkressourcen, vereinfachen die Administration und ermöglichen Benutzern über SSO und andere Formen der Authentifizierung sofortigen Zugriff auf die benötigten Ressourcen.

Der Aufstieg der KI – insbesondere der generativen KI (gen AI) – trägt nicht nur zur Automatisierung von Prozessen bei, die zuvor manuelle Eingaben erforderten, sondern verändert auch grundlegend Aspekte von Verzeichnisdiensten. Beispielsweise berichtet das IBM Institute of Business Value (IBV), dass allein in Hybrid-Cloud-Architekturen 68 % der Nutzer bereits eine Richtlinie oder einen Ansatz für den Einsatz generativer KI formalisiert haben.

Früher galten sie als statische Datenbanken, doch moderne Verzeichnisdienste mit KI-gestützten Funktionen werden immer intelligenter, anpassungsfähiger und sogar autonomer. Im Folgenden werden drei Beispiele für KI-gestützte Funktionen vorgestellt, die Verzeichnisdienste revolutionieren.