Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Typo3 - Ideen für zentrale Benutzerverwaltung?

Mitglied: Dani

Dani (Level 5) - Jetzt verbinden

31.08.2015, aktualisiert 23.07.2019, 3671 Aufrufe, 8 Kommentare

Guten Abend Kolleginnen und Kollegen,
wir haben bisher für alle unsere Typo3 Seiten im jeweils Backend die verschiedenen Benutzer verwaltet (Rechte, Gruppen, etc...). Zu Beginn (vor 4-5 Jahren) waren es einige Seiten. Inzwischen geht's in den 2stelligen Bereich. Die Jungs von der Benutzerverwaltung verlieren langsam den Überblick welcher Benutzer in welcher Site Zugang hat. Dazu kommt, dass der Helpdesk gerade nach den Ferien Paswörter im Tagesrhythmus zurücksetzen muss. Nach langem hin und her soll eine zentrale Benutzerverwaltung (Fronted und Backend) her.

Es geht mir erst einmal um die technische Umsetzung:
Grundsätzlich (unahängig von den verschiedenen Ideen) werden die Abfragen ausschließlich über LDAPs (Port 636) erfolgen. Zusätzlich wird der Zugriff von außen nur von bestimmten IP-Adressen möglich sein.

  • Meine erste Idee ist ein (Open)LDAP in die DMZ zustellen. Über eine entsprechende Baumstruktur die Benutzer der jeweiligen Site zu verwalten. Über ein (vorhandenes) Webinterface den Benutzer die Möglichkeit zu geben, das Passwort zu ändern und eine Passwort vergessen - Funktion bereitzustellen. Das hat aber zu Folge, dass wir eine zweite Benutzerverwaltung aufbauen, welche unabhängig von unseren Microsoft Active Directory läuft. Der Aufwand ist sicherlich überschau aber, aber halt zwei Baustellen die gepflegt und gewartet werden müssen.
  • Eine andere Idee war bis heute Abend, über einen Windows Server mit Hilfe einer AD LDS - Instanz nur die notwendigen Benutzer/Gruppen aus dem Active Directory zu klonen. Den Server steht natürlich in der DMZ. Aber leider werden keinerlei Passwörter synchronisiert ohne Tools wie z.B. FIM 2010. Somit fällt diese unter den Tisch.
  • Parallel zur (Open)LDAP Variante steht im Raum, einen RDOC (ohne DNS und GC) in der DMZ zu plazieren. Die Daten werden von einem fest zugewiesenen WRDC aus dem LAN repliziert. Die Kommunikation zwischen den beiden würde über die Windows-Firewall absichert/verschlüsselt (IPSec mit Zertifikaten). An dieser Idee stört mich, dass alle Objekte und Attribute in der DMZ verfügbar sind und ggf. bei einer Fehkonfiguration abgegriffen werden können.

Am sinnvollesten wäre aus meiner Sicht ein Microsoft ADFS-Proxy mit ADFS-Server. Aber laut meinen Informationen existiert keine Typo3 Extension im Repository, welche Benutzerverwaltung auf dieser Basis ermöglicht. Für LDAP gibt 2-3 Stück, welche vernünftigt funktionieren. Im schlimmsten Fall müssen wir das Geld in die Hand nehmen und eine Extension entwickeln lassen.

Hat jemand in der Vergangenheit solch eine zentrale Benutzerverwaltung erfolgreich/erfolgsos aufgebaut?
Gibt es aus eurer Sicht noch andere Ansätze/Ideen?


Schönen Abend,
Dani
Mitglied: certifiedit.net
31.08.2015 um 23:11 Uhr
Hallo Dani,

sind dies alles eigene Sites? Warum dann nicht eine "große" Installation?
Ich kenn Typo3 nun nur von einem Kunden, weiss daher nicht zu 1000% wie dies mit der MultiSiteUmgebung ist. Generell dürfte dies, HV ausgebaut sinnvoller sein als eine Querverästelung.

VG
Bitte warten ..
Mitglied: Dani
01.09.2015, aktualisiert um 11:19 Uhr
Moin Christian,
Warum dann nicht eine "große" Installation?
Es fängt schon an, dass verschiedene Typo3 - Versionen eingesetzt werden. Das ist wohl auf Grund der verschiedenene Extensions und des Wachstums (da ne Microsite, da ne Partnersite, etc...) zurückzuführen ist. Die Zusammenführung ist auf Grund der verschiedenen Zuständigenkeiten und der Komplextität von den einzelnen Seiten schwierig, ist aber ein langfristiges Ziel. Dazu kommt der Aufbau einer neuen Plattform in unserer DMZ für die Zusammenführung. Denn die jetzt verteilten Ressourcen müssten an min. zwei RZs bereitgestellt, installiert, konfiguiert, usw... werden. Das ist kurzfristig kaum realisierbar. Schon alleine bis das Design steht und die Kostenverteilung mit dem Töchterunternehmen geregelt ist, vergehen 6 Monate...


Gruß,
Dani
Bitte warten ..
Mitglied: eagle2
01.09.2015 um 12:01 Uhr
Hi Dani,

wir haben eine Zeit lang eine Extension fuer OpenID zum Backend-Login genutzt. Problem dabei ist, dass die Benutzer und Rechte in Typo3 weiterhin manuell angelegt werden muessen, der zentrale Vorteil war aber die Nutzung des eigenen Accounts (quasi SSO) und das damit entfallende separate Passwort (und die existierende PW-Reset-Seite).

Viele Gruesse
eagle2
Bitte warten ..
Mitglied: certifiedit.net
01.09.2015 um 12:57 Uhr
Zitat von Dani:

Moin Christian,
> Warum dann nicht eine "große" Installation?
Es fängt schon an, dass verschiedene Typo3 - Versionen eingesetzt werden. Das ist wohl auf Grund der verschiedenene
Extensions und des Wachstums (da ne Microsite, da ne Partnersite, etc...) zurückzuführen ist. Die Zusammenführung
ist auf Grund der verschiedenen Zuständigenkeiten und der Komplextität von den einzelnen Seiten schwierig, ist aber ein
langfristiges Ziel. Dazu kommt der Aufbau einer neuen Plattform in unserer DMZ für die Zusammenführung. Denn die jetzt
verteilten Ressourcen müssten an min. zwei RZs bereitgestellt, installiert, konfiguiert, usw... werden. Das ist kurzfristig
kaum realisierbar. Schon alleine bis das Design steht und die Kostenverteilung mit dem Töchterunternehmen geregelt ist,
vergehen 6 Monate...


Gruß,
Dani

Hi Dani,

nun, je nach Größe bin ich von keiner "halbe Stunde" Aktion ausgegangen. Aber da der Wildwuchs sowieso bekämpft werden sollte...

Denke auch eine Anpassung aller, bzw ein Großteil der Site und Subsites dürfte gleichermaßen eine längere Zeit dauern.

VG
Bitte warten ..
Mitglied: Dani
01.09.2015, aktualisiert um 13:26 Uhr
Hallo @eagle2,
wir haben eine Zeit lang eine Extension fuer OpenID zum Backend-Login genutzt.
Worin wäre der Vorteil gegenüber meine bisherigen Ideen?

Problem dabei ist, dass die Benutzer und Rechte in Typo3 weiterhin manuell angelegt werden muessen,
Wir wollen es eigentlich soweit automatiseren, dass jede Typo3 Instanz eine LDAP-Gruppe abfragt, die die berechtigten Benutzer enthält. Mit einer Task im Typo3 soll alle x Minuten ein Abgleich erfolgen und ggf. Benutzer importiert bzw. gelöscht werden. Somit können die Site-Admins der jeweiligen Tochter die entsprechenden Berechtigungen vergeben (wie bisher halt auch).

der zentrale Vorteil war aber die Nutzung des eigenen Accounts (quasi SSO) und das damit entfallende separate Passwort (und die existierende PW-Reset-Seite).
Das ist auch unser Ziel.


Gruß,
Dani
Bitte warten ..
Mitglied: eagle2
01.09.2015 um 15:06 Uhr
Hi Dani,

ueber OpenID laesst sich auch das AD integrieren, damit laeufst du dann aber in die gleiche Problematik wie Vorschlag 3 hinein, ein wirklicher Vorteil ist es also nicht.

Rein Interessehalber: Wie granular habt ihr denn die Zugriffsteuerung? In unserem Fall muesste jeder Benutzer in eine oder mehrere Typo3-Backend-Gruppen aufgenommen werden, je nach Berechtigung (wir haben ein recht komplexes Review-System mit verschiedenen Workspaces).

Viele Gruesse,
eagle2
Bitte warten ..
Mitglied: Dani
06.01.2019, aktualisiert um 12:42 Uhr
Guten Abend,
wir haben inzwischen eine finale Lösung erarbeitet und auch umgesetzt. Die Basis ist ein WAP-Server und AD FS Server Cluster. Inzwischen gibt es auch SAML Extensions für Wordpress, Typo3, Nextcloud, etc... welche eine längere Testphase in verschiedenen Umgebungen hinter sich haben und somit "gereift" sind.

Zusätzlich haben wir über ein OTP-System integiert. Dabei handelt es sich un ein Plugin für Microsoft AD FS und lässt sich über Vertrauensstellung in ADFS entsprechend aktivieren. Da wir das OTP System für andere Anwendungen bereits nutzen, hat ein Teil der betroffenen Nutzern ein Hardware-Token. Die restlichen Nutzer haben ebenfalls nun einbekommen.

Über enstprechende Vertrauenstellungen, jeweiligen Claims und Gruppenmitgliedschaften in Active Directory steuern wir, wer auf welche Internetseite zugreifen darf. Über weitere Token Claims weisen wir die Benutzer entsprechende Gruppen in dem jeweiligen CMS zu. Somit werden die Berechtigungen vollständig über das Active Directory Gruppen gesteuert.

Bezüglich der Problematik Active Directory Benutzerkonto wird durch Fehleingaben gesperrt, greifen wir auf ADFS Extranet Lockout zurück. Damit bleibt das Benutzerkonto im LAN aktiv und nutzbar.

Passwortänderungen sind nach wie vor nur im lokalen Netzwerk möglich. Grund dafür ist, dass für die Passwortänderung kein 2FA konfigurierbar ist.


Gruß,
Dani
Bitte warten ..
Der Kommentar von glady2000 wurde vom Moderator Dani am 23.07.19 ausgeblendet!
Mitglied: Dani
23.07.2019, aktualisiert um 15:59 Uhr
@glady2000
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
PHP
Typo3 Nachrichtenmodul
Frage von WPFORGEPHP6 Kommentare

Hallo, der Kunde wünscht sich die Möglichkeit von außen News in das Nachrichtenmodul (Tabelle tt_news ) möglichst durch das ...

CMS
Typo3 umzug 403
Frage von WPFORGECMS14 Kommentare

Hallo, ich habe versucht eine Typo3 Seite umzuziehen (gleiche Domain, neuer Server) Auf dem neuen Server läuft PLESK Nun ...

Batch & Shell
Script für Benutzerverwaltung
gelöst Frage von ALucaKBatch & Shell10 Kommentare

Ich bräuchte ein Script mit dem ich folgende 3 Dinge tun kann: 1. lokalen Administrator umbenennen 2. das Passwort ...

Router & Routing
OpenWrt Router Zentral verwalten
gelöst Frage von Hector-UserRouter & Routing3 Kommentare

Hallo, wir setzen in unserem Unternehmen Router (TP-Link) mit der Firmeware Openwrt ein. Hier sind unterschiedliche Firmewarestände und auch ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 2 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 3 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 3 TagenMicrosoft Office9 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 4 TagenFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Router & Routing
Macht es schon Sinn IPv6 Adressen einzusetzen ?
Frage von mario89Router & Routing11 Kommentare

Hallo Leute, bitte entschuldigt die vielleicht blöde frage, aber ich wollte gerne mal hören, ob im Professionellen Umfeld IPv6 ...

Batch & Shell
Batch - Datei über das Kontextmenü (Senden an) des Windows Explorer umbenennen
gelöst Frage von AlfornoBatch & Shell10 Kommentare

Hallo, ich möchte eine beliebige Word Datei mittels Batch umbenennen. Als Ergebnis soll der neue Dateiname das Änderungsdatum sowie ...

Switche und Hubs
Zwei VLANs über Trunks über zwei Layer3-Switche per Glasfaser verbinden
Frage von FreundlicherSwitche und Hubs9 Kommentare

Hi, leider habe ich weder in der Berufsschule aufgepasst, noch in der Ausbildung das Thema praktisch behandelt (kleiner Betrieb). ...

Batch & Shell
Batch variable in nächste batch mitnehmen
Frage von BytexxBatch & Shell8 Kommentare

Hallo ich möchte ein kleines .bat programm schreiben und habe eine frage. wie kann ich ein installations pfad herrausfinden ...