3
Onpremise Bitwarden mit AD-Anbindung und AD-Anmeldung
Hallo,
ich bräuchte mal einen Tipp.
Ich installieren hier gerade zum Test ein Onpremise-Bitwarden bei einem kleinen Kunden in einer VM.
Der Kunde hat ein lokales 2016-AD ohne Exchange. Email gibt es per IMAP. Kein O365.
Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.
Nur... Wie melden sich die Benutzer nun an?
Er will ja eine Email-Adresse haben. Eine Anmeldung mit ad\mustermann wäre mir lieber, aber das scheint nicht zu gehen. Oder doch?
Also mit der neuen Email-Adresse. Nun will er das Master-Password.
Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?
Alternativ kann ich "Enterprise SSO" auswählen.
Hier will er nun eine SSO Kennung. Um diese eintragen zu können muss ich alle Felder für SAML oder OpenID ausfüllen. Welches nimmt man da für AD? Ich habe keine Anleitung dazu gefunden. Alles nur O365.
Ich habe für ad.firma.de auch mal eine Domänen-Validierung ausgeführt weil das dort als Alternative aufgeführt war. Damit kann ich mich immer noch nicht mit mustermann@ad.firma.de und dem AD-Kennwort anmelden.
Bei den Benutzern steht auch "eingeladen" sehe ich gerade.
Diese Email kann natürlich nicht ankommen.
Jemand einen Tipp für mich?
Stefan
ich bräuchte mal einen Tipp.
Ich installieren hier gerade zum Test ein Onpremise-Bitwarden bei einem kleinen Kunden in einer VM.
Der Kunde hat ein lokales 2016-AD ohne Exchange. Email gibt es per IMAP. Kein O365.
Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.
Nur... Wie melden sich die Benutzer nun an?
Er will ja eine Email-Adresse haben. Eine Anmeldung mit ad\mustermann wäre mir lieber, aber das scheint nicht zu gehen. Oder doch?
Also mit der neuen Email-Adresse. Nun will er das Master-Password.
Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?
Alternativ kann ich "Enterprise SSO" auswählen.
Hier will er nun eine SSO Kennung. Um diese eintragen zu können muss ich alle Felder für SAML oder OpenID ausfüllen. Welches nimmt man da für AD? Ich habe keine Anleitung dazu gefunden. Alles nur O365.
Ich habe für ad.firma.de auch mal eine Domänen-Validierung ausgeführt weil das dort als Alternative aufgeführt war. Damit kann ich mich immer noch nicht mit mustermann@ad.firma.de und dem AD-Kennwort anmelden.
Bei den Benutzern steht auch "eingeladen" sehe ich gerade.
Diese Email kann natürlich nicht ankommen.
Jemand einen Tipp für mich?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72197393980
Url: https://administrator.de/contentid/72197393980
Printed on: June 15, 2024 at 20:06 o'clock
3 Comments
Latest comment
Hallo
Schon mal mit dem UPN probiert?
Upps ... hast du.
Eventuell ist in der Mail die ja nicht ankommen kann ein Einladungslink über den der Benutzer erst aktiviert werden muss?!
Manuel
Wie melden sich die Benutzer nun an? Er will ja eine Email-Adresse haben.
Schon mal mit dem UPN probiert?
Damit kann ich mich immer noch nicht mit mustermann@ad.firma.de und dem AD-Kennwort anmelden.
Upps ... hast du.
Bei den Benutzern steht auch "eingeladen" sehe ich gerade. Diese Email kann natürlich nicht ankommen.
Eventuell ist in der Mail die ja nicht ankommen kann ein Einladungslink über den der Benutzer erst aktiviert werden muss?!
Manuel
Moin!
Du könntest, statt der Fake-E-Mail ja einfach die richtige (mustermann@firma.de) angeben. Dann wird er einen Link erhalten um sein Master-PW zu setzen.
Wenn keine separate Anmeldung bzw. kein separates Login gewünscht ist, führt vermutlich kein Weg an der "Enterprise SSO" vorbei. Damit habe ich aber keine Erfahrung.
Zitat von @StefanKittel:
Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.
Wozu das denn? Wieso nicht einfach über die normale E-Mail?Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.
Also mit der neuen Email-Adresse. Nun will er das Master-Password.
Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?
Das Master-Passwort ist nicht für die komplette Installation, sondern per Bitwaren-Nomenklatur, dass persönliche Passwort, was der Benutzer benötigt, um sich anzumelden.Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?
Du könntest, statt der Fake-E-Mail ja einfach die richtige (mustermann@firma.de) angeben. Dann wird er einen Link erhalten um sein Master-PW zu setzen.
Wenn keine separate Anmeldung bzw. kein separates Login gewünscht ist, führt vermutlich kein Weg an der "Enterprise SSO" vorbei. Damit habe ich aber keine Erfahrung.
Hallo,
ok, es funktioniert anders als gedacht.
Beim anlegen oder imporieren per LDAP von Benutzern bekommen die eine Einladung.
Darin enthalten ist ein Link zum erstellen des Masterkennwortes. Damit muss man sich anmelden.
Mit dem AD-Kennwort könnte es gehen, aber das ist nicht gewünscht. Denn der Admin könnte das AD-Kennwort zurücksetzten, sich anmelden und hätte Zugriff auf alle Kennwörter des Benutzers.
Heist der Benutzer muss dies Kennwort bei der 1. Nutzung immer eingeben.
Das führt mich zu folgenden Frage: Wie kann ich dem Benutzer erleichtern sich das Kennwort zu merken ohne es aufzuschreiben?
Ein Yubikey der immer im PC steckt hilft da auch nicht.
Wie macht Ihr das?
Bitwarden Masterkennwort sicher und einfach?
Stefan
ok, es funktioniert anders als gedacht.
Beim anlegen oder imporieren per LDAP von Benutzern bekommen die eine Einladung.
Darin enthalten ist ein Link zum erstellen des Masterkennwortes. Damit muss man sich anmelden.
Mit dem AD-Kennwort könnte es gehen, aber das ist nicht gewünscht. Denn der Admin könnte das AD-Kennwort zurücksetzten, sich anmelden und hätte Zugriff auf alle Kennwörter des Benutzers.
Heist der Benutzer muss dies Kennwort bei der 1. Nutzung immer eingeben.
Das führt mich zu folgenden Frage: Wie kann ich dem Benutzer erleichtern sich das Kennwort zu merken ohne es aufzuschreiben?
Ein Yubikey der immer im PC steckt hilft da auch nicht.
Wie macht Ihr das?
Bitwarden Masterkennwort sicher und einfach?
Stefan