9
Active Directory Abfrage über Internet best practise
Guten Abend zusammen,
folgendes Szenario:
Ein Windows Server 2016 Domänencontroller steht in Unternehmen A.
Zugriff von extern ist mit einer statischen IP möglich.
Bei einem externen Hoster liegt eine Webseite, dessen Anmeldung mit den AD Benutzern erfolgen soll. Es muss also mit dem AD in Unternehmen A abgeglichen werden.
Nun meine Frage:
Wie realisiert man so etwas am sichersten. Als erstes dachte ich natürlich an VPN, aber gibt es auch noch andere Möglichkeiten?
LDAPS? Ist das stand alone sicher genug?
Viele Grüße
folgendes Szenario:
Ein Windows Server 2016 Domänencontroller steht in Unternehmen A.
Zugriff von extern ist mit einer statischen IP möglich.
Bei einem externen Hoster liegt eine Webseite, dessen Anmeldung mit den AD Benutzern erfolgen soll. Es muss also mit dem AD in Unternehmen A abgeglichen werden.
Nun meine Frage:
Wie realisiert man so etwas am sichersten. Als erstes dachte ich natürlich an VPN, aber gibt es auch noch andere Möglichkeiten?
LDAPS? Ist das stand alone sicher genug?
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 569549
Url: https://administrator.de/contentid/569549
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Gruß.
Dani
LDAPS? Ist das stand alone sicher genug?
nein. Die Schlüsselwörter dafür sind SAML, oAuth, AD FS, WAP.Gruß.
Dani
1
Danke,
was wäre in dem Fall, wo auch schreibender Zugriff auf das AD möglich sein soll?
Oder sollte man das generell nicht übers internet machen?
was wäre in dem Fall, wo auch schreibender Zugriff auf das AD möglich sein soll?
Oder sollte man das generell nicht übers internet machen?
VPN ....
1
Moin,
Gruß,
Dani
was wäre in dem Fall, wo auch schreibender Zugriff auf das AD möglich sein soll?
In deiner Frage hast du geschrieben Authentifizierung. Jetzt willst du noch was im AD schreiben. Was hast du im Detail vor? Oder sollte man das generell nicht übers internet machen?
Hängt von der Eigensicherung ab. Denn eines ist klar, bei Lücken in der Website oder der Absicherung hängt der vermutliche Angreifer in deinem AD und somit kann er von dort sicherlich auch weiter sein Unwesen treiben.Gruß,
Dani
Schreiben wäre jetzt der nächste step bzw. eine weiter Überlegung.
Konkret geht es um eine Lernplattform für Schulen, die eben bei einem hoster als Webseite läuft.
Es sind auch Schnittstellen zu offiziellen Schulverwaltungsportalen vorhanden.
Die Lehrer sollen über die Webseite auch schüler anlegen könne, die dann im ad angelegt werden.
Frage auch nur für einen bekannten, deshalb die große Ahnungslosigkeit bei mir :/ sry.
Konkret geht es um eine Lernplattform für Schulen, die eben bei einem hoster als Webseite läuft.
Es sind auch Schnittstellen zu offiziellen Schulverwaltungsportalen vorhanden.
Die Lehrer sollen über die Webseite auch schüler anlegen könne, die dann im ad angelegt werden.
Frage auch nur für einen bekannten, deshalb die große Ahnungslosigkeit bei mir :/ sry.
Moin,
die Salamischeiben Taktik geht mir auf die Nerven! Entweder du stellst uns vollständig dar, wo was welche Server stehen und wie was zusammenhängt und was du vorhast oder wir lassen es an der Stelle gut sein. Mit jedem Kommentar von dir kommt wieder eine Neuigkeit auf den Tisch bzw. änderst du die Rahmenbedingungen. Wie soll man da einen aussagekräftigen Kommentar verfassen?!
Gruß,
Dani
die Salamischeiben Taktik geht mir auf die Nerven! Entweder du stellst uns vollständig dar, wo was welche Server stehen und wie was zusammenhängt und was du vorhast oder wir lassen es an der Stelle gut sein. Mit jedem Kommentar von dir kommt wieder eine Neuigkeit auf den Tisch bzw. änderst du die Rahmenbedingungen. Wie soll man da einen aussagekräftigen Kommentar verfassen?!
Frage auch nur für einen bekannten, deshalb die große Ahnungslosigkeit bei mir :/ sorry.
*kopfschüttel* Das macht natürlich auch noch Sinn. Wissenstransfer über Dritte...Gruß,
Dani
Zitat von @LukasD:
Frage auch nur für einen bekannten, deshalb die große Ahnungslosigkeit bei mir :/ sry.
Frage auch nur für einen bekannten, deshalb die große Ahnungslosigkeit bei mir :/ sry.
Genau dafür gibt es Dienstleister, vermutlich auch bei dir um die Ecke.
Das was ihr da treiben wollt hat so viele Fallstricke, daß eine Antwort Dir hier im Forum zwar beim Einrichten hilft, aber nicht beim Vermeiden der Fallstricke. Daten über einen frei zugänglichen Webserver in ein AD zu pusten ist ziemlich leichtsinnig. Um Benutzer anzulegen und zu verwalten sollte man auf jeden Fall über ein VPN gehen und nicht über einen öffentlich erreichbaren Webserver, selbst wenn der paßwortgesichert ist. Ich glaube, daß euer Konzept nicht ganz durchdacht ist.
lks
1
Hallo,
Grüße
lcer
Zitat von @LukasD:
Schreiben wäre jetzt der nächste step bzw. eine weiter Überlegung.
Konkret geht es um eine Lernplattform für Schulen, die eben bei einem hoster als Webseite läuft.
Es sind auch Schnittstellen zu offiziellen Schulverwaltungsportalen vorhanden.
Also personenbezogene Daten in größerem Umfang. Dafür sieht die DSGVO eine Datenschutzfolgenabschätzung vor. Besprich das mit Deinem Datenschutzbeauftragten. In Zweifelsfragen kann man dann auch vorab beim Landesdatenschutzbeauftragten nachfragen. Bevor Du an die Technische Umsetzung rangehst, musst Du die Rahmenbedingungen klären. Gibt es eigentlich einen Vertrag zur Auftragsdatenverarbeitung mit dem Hoster?Schreiben wäre jetzt der nächste step bzw. eine weiter Überlegung.
Konkret geht es um eine Lernplattform für Schulen, die eben bei einem hoster als Webseite läuft.
Es sind auch Schnittstellen zu offiziellen Schulverwaltungsportalen vorhanden.
Grüße
lcer
1
@icer00
Danke für deine Antwort. Ja, der Vertrag ist vorhanden.
Danke für deine Antwort. Ja, der Vertrag ist vorhanden.
