AD-Infos auslesen und in MySQL integrieren
Hallo zusammen
ist es möglich mit einem Programm oder mit etwas anderem die AD unseres Domaincontrollers auszulesen und in eine MySQL zu kopieren und so den Benutzern es zu ermöglichen sich an dieser DB anzumelden mit den gleichen KW und Benutzerdaten?
Gruß Jörg
P.S.: Booaaa ganz schön langer Satz oben
ist es möglich mit einem Programm oder mit etwas anderem die AD unseres Domaincontrollers auszulesen und in eine MySQL zu kopieren und so den Benutzern es zu ermöglichen sich an dieser DB anzumelden mit den gleichen KW und Benutzerdaten?
Gruß Jörg
P.S.: Booaaa ganz schön langer Satz oben
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21301
Url: https://administrator.de/forum/ad-infos-auslesen-und-in-mysql-integrieren-21301.html
Ausgedruckt am: 06.04.2025 um 17:04 Uhr
4 Kommentare
Neuester Kommentar
Hmm, Jörg,
das Auslesen von Attributen ist technisch zwar nicht so schwierig, inhaltlich bei Deinen Anforderungen allerdings schon, so eine Single-Sign-On-Mimik auf AD aufzusetzen.
Die Hauptprobleme sind doch, dass AD zwar schon prinzipiell auch eine User- und User-Rechte-Verwaltung abbildet, aber Du hast nicht die Möglichkeit, weitere Rollen und Gruppenzugehörigkeiten zu definieren. Kannst also im AD nicht hinterlegen, dass Benutzer Heinz User-Rechte auf die SQL-DB Vertrieb hat, Fritz zusätzlich Stammdaten in dieser DB pflegen darf und Klaus der DB-Admin ist.
Somit kannst Du zwar User-ID, Name, Vorname aus dem AD exportieren, aber natürlich ohne (Klartext-) Passwort. Und Du kannst nicht sinnvoll nur alle künftigen MySQL-Berechtigten exportieren/auslesen, weil Du die gar nicht identifizieren kannst.
Wenn es eine Vereinfachung bedeutet, dass dann auf MySQl-Seite eine mit der AD-User-ID identische User-ID als Authentifizierung reicht und deshalb dieser Aufwand Sinn macht *achselzuck* ... ich sehe aber wenig Chancen für eine sinnvolle Datenübernahme, geschweige denn eine Chance zur programmatischen Synchronhaltung. Selbst wenn Du die Hürde noch überwinden würdest, dass in MySQL das gleiche Passwort wie in AD gilt (wie willst Du das denn knacken???), was machst Du denn, wenn der User im AD sein Passwort ändert?
Vielleicht habe ich ja Deinen Plan auch falsch verstanden - welche Attribute welcher Benutzergruppe würdest Du denn von AD abfragen und wann (einmalige Abfrage aller User-IDs oder jeweils Existenzprüfung einer User-ID bei Anmeldung an die Datenbank)?
Grüße Biber
das Auslesen von Attributen ist technisch zwar nicht so schwierig, inhaltlich bei Deinen Anforderungen allerdings schon, so eine Single-Sign-On-Mimik auf AD aufzusetzen.
Die Hauptprobleme sind doch, dass AD zwar schon prinzipiell auch eine User- und User-Rechte-Verwaltung abbildet, aber Du hast nicht die Möglichkeit, weitere Rollen und Gruppenzugehörigkeiten zu definieren. Kannst also im AD nicht hinterlegen, dass Benutzer Heinz User-Rechte auf die SQL-DB Vertrieb hat, Fritz zusätzlich Stammdaten in dieser DB pflegen darf und Klaus der DB-Admin ist.
Somit kannst Du zwar User-ID, Name, Vorname aus dem AD exportieren, aber natürlich ohne (Klartext-) Passwort. Und Du kannst nicht sinnvoll nur alle künftigen MySQL-Berechtigten exportieren/auslesen, weil Du die gar nicht identifizieren kannst.
Wenn es eine Vereinfachung bedeutet, dass dann auf MySQl-Seite eine mit der AD-User-ID identische User-ID als Authentifizierung reicht und deshalb dieser Aufwand Sinn macht *achselzuck* ... ich sehe aber wenig Chancen für eine sinnvolle Datenübernahme, geschweige denn eine Chance zur programmatischen Synchronhaltung. Selbst wenn Du die Hürde noch überwinden würdest, dass in MySQL das gleiche Passwort wie in AD gilt (wie willst Du das denn knacken???), was machst Du denn, wenn der User im AD sein Passwort ändert?
Vielleicht habe ich ja Deinen Plan auch falsch verstanden - welche Attribute welcher Benutzergruppe würdest Du denn von AD abfragen und wann (einmalige Abfrage aller User-IDs oder jeweils Existenzprüfung einer User-ID bei Anmeldung an die Datenbank)?
Grüße Biber