Authentifizierung

Eine konsistente Authentifizierung ist das Fundament jeder sicheren IT-Infrastruktur.
Ich implementiere offene, zentrale Identitäts- und Berechtigungssysteme auf Basis von LDAP, Kerberos und SSSD, um Benutzer, Server und Dienste in einer einheitlichen Sicherheitsdomäne zu verbinden.
So entstehen nachvollziehbare Zugriffsstrukturen, die sich automatisieren, auditieren und langfristig pflegen lassen.

Architektur & Konzepte

Ich entwickle Authentifizierungskonzepte, die sowohl klassische Benutzerverwaltung als auch servicebasierte Zugriffe abdecken.
Im Vordergrund steht dabei die Integration bestehender Systeme – Windows, Linux, Web-Dienste – in eine gemeinsame Anmelde- und Rechtebasis.

  • LDAP-/Kerberos-basierte Benutzer- und Dienstauthentifizierung
  • Zentrale Passwort- und Schlüsselverwaltung
  • Single Sign-On (SSO) und zentrale Ticketverwaltung mit Kerberos
  • Integration von Web-Anwendungen über mod_authnz_ldap und mod_auth_kerb
  • Anbindung externer Systeme (z. B. Jenkins, Bookstack, Guacamole) an AD oder LDAP

Integration & Systemanbindung

Ich binde Linux-Server und Anwendungen in bestehende Active-Directory- oder Samba-AD-Domänen ein. Ziel ist eine nahtlose Authentifizierung unabhängig vom Betriebssystem.

  • Samba AD, SSSD, PAM, Winbind
  • Automatische Benutzer- und Gruppen-Provisionierung
  • Rechteverwaltung über POSIX-Attribute und ACLs
  • Authentifizierte Mounts und Shares (CIFS/NFS mit Kerberos-Tickets)
  • Key-based Authentication für automatisierte Prozesse

Automatisierung & Verwaltung

Benutzer- und Gruppenverwaltung wird bei mir vollständig automatisiert, versioniert und dokumentiert. So bleiben Änderungen nachvollziehbar und Zugriffsrechte konsistent über viele Systeme hinweg.

  • Ansible-Rollen zur Provisionierung von Benutzern, Gruppen und Policies
  • Synchronisation von LDAP-Daten mit Applikationen
  • Automatisierte Prüfung von Gruppenrechten und Rollen
  • Dokumentation in Bookstack / Markdown-basierte Inventories

Sicherheit & Compliance

Zentrale Authentifizierung erhöht die Transparenz, erfordert aber auch klare Sicherheitsrichtlinien.
Ich kombiniere technische Härtung mit organisatorischen Vorgaben und regelmäßiger Überprüfung.

  • Multi-Factor-Authentication (MFA) für privilegierte Zugänge
  • SSH-Key- und Zertifikatsmanagement
  • Regelmäßige Audit- und Passwort-Policy-Überwachung
  • OpenSCAP-basierte Compliance-Reports

Seminare

Passend zu den oben skizzierten Schwerpunkten bieten wir praxisnahe Seminare an. In kompakten Modulen arbeiten wir an realen Admin-Szenarien – vom sicheren Basis-Setup bis zu Automatisierung und Compliance. Die Inhalte sind distributionsspezifisch aufgebaut und lassen sich 1:1 in Ihrem Betrieb übernehmen. Termine, Formate (remote/vor Ort) und Inhouse-Optionen finden Sie in den Kursübersichten.

Identity-Architektur & Federation

Kurzprofil: eine Sicherheitsdomäne für Linux, Windows und Dienste.

Technik: Realm/Domain-Design, DNS/SRV/SPN, Kerberos-Tickets/Keytabs, SSSD (Caching/Failover), ID-Mapping (rid/ad/autorid), POSIX-Attribute, NFSv4/CIFS mit Kerberos.

Inhalte: Cross-Realm/Trusts, Rollen/OU-Strukturen, sudo/PAM als Policy-Code, Ticket-Lebenszyklen & Rotation, Offline-Login-Strategien, Audits & Reporting, Migrationspfade AD↔Samba.

Seminare zu Identity & Federation

SSH-Zugriff, Zertifikate & MFA

Kurzprofil: privilegierte Zugriffe kurzlebig, nachvollziehbar, revisionsfest.

Technik: SSH-CA/Certs, Bastion-Design, PAM/SSSD, MFA (TOTP/WebAuthn/U2F), Session-Recording, Vault/Gopass-Flows, Just-in-Time-Access.

Inhalte: Zertifikats-Lifecycle & Rollout, Command-Restrictions, Break-Glass-Prozesse, Approval-Workflows in CI, Key-Rotation, Audit-Pfade und automatisierte Rechte-Reviews.

Seminare zu SSH & MFA

Web-SSO & Dienste-Integration

Kurzprofil: Single Sign-On für Web/Apps ohne Inseln.

Technik: mod_authnz_ldap, mod_auth_kerb/SPNEGO, Service-Accounts & Keytabs, OIDC-Bridge (z. B. Keycloak/Dex) gegen AD/LDAP, Claims-/Rollen-Mapping, SCIM-Provisionierung.

Inhalte: SSO-Topologien, Attribut-/Claim-Design, App-Onboarding, Secrets-Handling, Token-Lebenszyklen & Rotation, Protokoll-Fallbacks, Compliance-Nachweise und Runbooks.

Seminare zu Web-SSO & Dienste

Häufig gestellte Fragen

In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Wir helfen gern persönlich.

LDAP, Kerberos, SSSD – wie greift das ineinander?

LDAP hält Identitäten/Attribute, Kerberos stellt Tickets für SSO aus, SSSD bindet Linux-Server an beides, cached Anmeldedaten und setzt Policies (sudo/PAM). Ergebnis: zentrale Benutzer, Offline-Logins, einheitliche Rechte – ohne lokale Accounts.

Windows AD oder Samba AD – was passt?

Besteht bereits ein Microsoft-Ökosystem, bleibt AD der Dreh- und Angelpunkt (Trusts, Group Policies). Für Open-Source-first-Umgebungen liefert Samba AD POSIX-Attribute und Kerberos/LDAP ohne Lizenzbindung. Wichtig: sauberes DNS/SRV, ID-Mapping (rid/ad/autorid) und klare Rollen.

Wie sichere ich Admin-Zugänge pragmatisch ab?

SSH-CA mit kurzlebigen Zertifikaten statt Schlüssel-Wildwuchs, MFA (TOTP/WebAuthn/U2F) auf Bastions, rollenbasierte sudo-Policies als Code, Keytab- und Passwort-Rotation, „Break-Glass“-Zugänge mit Audit-Trail und regelmäßigen Zugriffsaudits.