zitruslimmonade
Goto Top

AD und MYSQL synchronisieren

Hallo,
Ich muss mir eine möglichkeit überlegen wie ich AD Benutzer aus einer MySQL Datenbank übernehme und deren Passwörter dann auch synchronisiere bei veränderungen in der MySQL DB. Alternativ wäre auch ein Script auf PHP möglich, welche Benutzer in der AD pflegt (dem benutzer passwort ändern lässt.)

Hat da der ein oder andere so kurz vorm WE noch ne Idee ??

Danke
Chris

Content-ID: 103962

Url: https://administrator.de/forum/ad-und-mysql-synchronisieren-103962.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

60730
60730 12.12.2008 um 16:02:22 Uhr
Goto Top
Servus,

habt ihr eine Passwort Richtlinie in der default Domain Policy (std. ab w2k3)?

Wenn ja - sehe ich keinen Weg - bzw. hab ich da keinen gefunden.

"egal" wie - in meinem Fall per VBS "usr.Put" und "usr.SetInfo" usw. - ist es mir mit gesetzter Passwort Richtlinie (die ich auf keinen Fall rausnehmen will) - nicht gelungen.

Hintergrund: Der User wird kurzfristig ohne Passwort angelegt, und das verbietet die Passwort Richtlinie.
Wie man einen User gleich mit Passwort anlegen kann, ist mir trotz mehrwöchigem probieren, und Nasereiben nicht gelungen.

Aber vielleicht hat ja noch ein mitlesender eine Zündende Idee?

Gruß
n4426
n4426 12.12.2008 um 16:10:52 Uhr
Goto Top
Hallo,

im AD läst sich ein User auch ohne Passwort anlegne, wenn eine Passwort-Richtline existiert. Der User muss nur deaktivert sein. Vor dem aktivieren muss dann allerdings ein Passwort gesetzt werden.

mfg
andi
Zitruslimmonade
Zitruslimmonade 12.12.2008 um 16:29:15 Uhr
Goto Top
cool also wenn ich deinen post und den von TimoBeil kombiniere kann ich mittels der "usr.Put" und "usr.SetInfo" meine user updaten, allerdings wie rufe ich die auf dem server auf von einem fremden webserver (haben den webserver auf Linux basis auf nem anderen Server am start) mittels php ? hat da jemand eine Idee ?
60730
60730 12.12.2008 um 16:47:06 Uhr
Goto Top
Servus,

stimmt mit den deaktivierten Usern war doch was face-wink

Aber zurück zu deiner Frage:

  • Wie "fremd" ist der Webserver?
  • Und wie lange darf die aktualisierung dauern?

PHP ist ja nicht so komplex, als das es damit nicht gehen sollte.
Damit greifst du eine Datenbank ab, die exportierst du und importierst die dann auf deinen AD Server - wo das Script läuft.

Vorrausgesetzt, alle betroffenen Systeme sind nicht nur Spritzwasserdicht, sondern wirklich Dicht.

Alles andere ist purer Wahnsinn. *gg*

Gruß
Zitruslimmonade
Zitruslimmonade 12.12.2008 um 17:05:05 Uhr
Goto Top
mhh wie fremd... nich sooo fremd.. also ich kenn den Admin face-smile mich ... ist in nem anderen Subnetz untergebracht und nur mit minderen privilegien im subnetz des AD servers ausgestattet.
Also wenn ich dich jezt recht verstehe, der abgleich ist manuell ? also muss ich erst exportieren um dann zu importieren ? kann ich nich irgendwie was aufrufen lassen bei anlegen/bearbeiten eines users über das php script das die mysql datenbank pflegt ?

gruss
chris
60730
60730 12.12.2008 um 17:16:13 Uhr
Goto Top
Servus,

mit Fremd meinte ich "internet" Fremd und "fremdadministriert - was wohl bei dir nicht der Fall ist.

Also wenn ich dich jezt recht verstehe, der abgleich ist manuell ?
"manuell" per Script gesteuert automatisch.

Aber kannst du das ganze geplante nochmal etwas ausführlicher beschreiben?

  • Komplettes anlegen der User oder nur Passwort abgleich bestehender?

  • Da du unter "windows" gepostet hast - der "Webserver" ist Win oder Tux?
Zitruslimmonade
Zitruslimmonade 12.12.2008 um 17:55:05 Uhr
Goto Top
Der webserver ist auf Linux, der Active Directory Server sebstverständlich auf Windows (daher in dieser Kategorie)
Also zur Zeit ist es folgendermaßen gelöst, die user haben für unsere Webapplicationen einen Benutzernamen und Passwort in der MySQL DB (wird jedes Semester durch meine Kollegen mittels eines PHP Scriptes gepflegt, Benutzer angelegt, gelöscht) Der Benutzer selbst hat die Möglichkeit mittels eines PHP Scripts sein Passwort zu ändern.
Nun möchte ich die Active Directory Benutzerdatenbank eben mit diesen Nutzern Füllen und weiterhin die möglichkeit belassen Das der nutzer sein PW ändern kann und meine Kollegen die Pflege weiterhin mittels des PHP Scriptes.
Da ich mich nicht permanent darum kümmern kann, sollte es entweder in-time abgeglichen werden oder periodisch.

Klar genug ? Ich hoffe ...
Danke
16568
16568 13.12.2008 um 09:48:33 Uhr
Goto Top
Hm, sowohl unter Windows mit IIS, als auch unter Linux mit Apache hatte ich da noch nie Probleme...

Unter Linux sollte LDAP zum gewünschten Erfolg verhelfen...


Lonesome Walker
Zitruslimmonade
Zitruslimmonade 13.12.2008 um 10:15:29 Uhr
Goto Top
wenn du da noch nie probleme hattest könntest du doch beide varianten mal detaliert beschreiben...
eventuell könnte ich das dann nämlich auch irgend wann mal behaupten...
gruss
chris
16568
16568 13.12.2008 um 14:03:08 Uhr
Goto Top
Wie wäre es, wenn Du mal die Suchmaschine Deines Vertrauens bemühen würdest???
(einfach nur mal LDAP eingeben, der erste Treffer bei Wikipedia sollte schon genug Informationen geben, was zu tun ist...)

Schließlich gibt es ja nur X Varianten, wie man was bewerkstelligen kann, und davon machen nur Y Versionen Sinn für das ein oder andere Szenario...


Lonesome Walker
Zitruslimmonade
Zitruslimmonade 13.12.2008 um 15:05:06 Uhr
Goto Top
sehr gute antwort .. ehrlich... Ich mein wenn hier einer zum 100000 sten mal frag wie man aus ner batch datei dateien in unterordner sortiert gibts ca 22 Antworten mit der Lösong... Frag ich hier nach ner Problemstellung die nicht in 10 Wörtern erklärt ist heissts "schau bei google"...
Und um auf deine LDAP Geschichte zu antworten, So habe ich bitte eine MySQL Datenbank und eine Active Directory, das LDAP sollte bitte aussen vor bleiben weil sich das mit anderen sachen beissen könnte. Allerdings hab ich ja nich nach den 27 verschiedenen Varianten gefrgt sondern wie du es gelöst hast da du ja nach eigenen Angaben nie Progbleme hattest, ich allerdings massiv.

grus
chris

PS: alle hier verwendeten Ziffern sind Grundlagen los und nur zur verdeutlichung genannt
16568
16568 13.12.2008 um 15:53:46 Uhr
Goto Top
Zitat von @Zitruslimmonade:
sehr gute antwort .. ehrlich... Ich mein wenn hier einer zum 100000
sten mal frag wie man aus ner batch datei dateien in unterordner
sortiert gibts ca 22 Antworten mit der Lösong... Frag ich hier
nach ner Problemstellung die nicht in 10 Wörtern erklärt ist
heissts "schau bei google"...

Zitat aus meinem Profil:
Wenn du dir keine Mühe gibst, geb ich mir auch keine

Und um auf deine LDAP Geschichte zu antworten, So habe ich bitte eine
MySQL Datenbank und eine Active Directory, das LDAP sollte bitte
aussen vor bleiben weil sich das mit anderen sachen beissen
könnte.

Sagt wer?

Allerdings hab ich ja nich nach den 27 verschiedenen
Varianten gefrgt sondern wie du es gelöst hast da du ja nach
eigenen Angaben nie Progbleme hattest, ich allerdings massiv.

Lesen bildet, speziell bei einem SO UMFANGREICHEN THEMA!


Lonesome Walker
Zitruslimmonade
Zitruslimmonade 13.12.2008 um 16:56:58 Uhr
Goto Top
du bist echt lustig... wenn du nich hlfen magst lass es doch einfach.. provozier die leute doch nich alter.. und um auf deine frage zu antworten wer das sagt.. Ich sag das.. wie ich gewisse systeme auf meinen servern nutze und in wiefern das eventuell miteinander nich vereinbar ist solltest du mir überlassen das wär nett.. und solang du mir nich aufzeigen kannst das sich das risiko lohnt brauch ich mich vor dir nich rechtfertigen

Leute was ist mit euch los ?
Als ich anfing gabs zwischen admins imer so ne bande und man hat sich immer gegenseitig geholfen wenn einer mal nich weiter wuste.. und wenn mal einer vergessen hatte wie man ein netzwerkkabel auflegt hat man zwar geacht aber geantwortet und nich nen schild hochgehalten "schau doch bei google" .. Haben sich die Zeiten so geändert ?? Denkt mal drüber nach was ihr für besser haltet

gruss
chris

PS: mach dir mal keine Gedanken +ber meine Bildung.. das hab ich ganz gut im griff nur manchmal bietet einem das Berufsleben nicht den nötigen Spielraum alles auf 100 seiten nachzulesen.. dafür hab ich einfach nen zuweit gefächerten Aufgabenbereich...
16568
16568 13.12.2008 um 21:31:12 Uhr
Goto Top
Zitat von @Zitruslimmonade:
du bist echt lustig... wenn du nich hlfen magst lass es doch einfach..

Sorry, aber sonst gehts Dir schon gut?
Sei froh, daß ich Dir den Hinweis mit LDAP gegeben habe!

provozier die leute doch nich alter.. und um auf deine frage zu
antworten wer das sagt.. Ich sag das.. wie ich gewisse systeme auf
meinen servern nutze und in wiefern das eventuell miteinander nich
vereinbar ist solltest du mir überlassen das wär nett..

Klaaaaar, dann heul hier nicht rum
(und Dein "ALTER" bin ich auch nicht; das schreiben irgendwie nur Türkischstämmige und Pubertäre).
Du willst Hilfe, kein Thema, ich helfe gerne.
Du kommst aber nicht um KnowHow herum, welches nicht einfach mal so in 1-2 Stunden verstanden wird.

Gerne gebe ich Dir auch eine Schulung in Sachen Linux und LDAP.
Daß ich das kann, kannst Du hier sehen:
Position 3

Kostenpunkt: 5 Tage Schulung 7.500 Euro.

Ich denke, da ist es dann doch besser, selbst ein wenig zu büffeln, oder?

und
solang du mir nich aufzeigen kannst das sich das risiko lohnt brauch
ich mich vor dir nich rechtfertigen

Gut, ich mach meinen Job schon ein paar Jahre...
Und wie gesagt, ich habe auch keine Probleme...

Leute was ist mit euch los ?
Als ich anfing gabs zwischen admins imer so ne bande und man hat sich
immer gegenseitig geholfen wenn einer mal nich weiter wuste..

Das war damals, als nicht jeder Hobby-PC-Bastler geglaubt hat, Admin für ein größeres Netzwerk spielen zu müssen, und dann andere GUTE Admins kostenlos um Lösung (ich schreibe BEWUSST NICHT Hilfe!) angeschnorrt hat.

und wenn
mal einer vergessen hatte wie man ein netzwerkkabel auflegt hat man
zwar geacht aber geantwortet und nich nen schild hochgehalten
"schau doch bei google" ..

Wenn man bedenkt, wie faul die Leute geworden sind, anstelle selbst AKTIV zu werden, werden sie immer PASSIVER, machen sich's in ihrem Stuhl bequem, anstelle selbst mal ein wenig das Hirn einzuschalten, und den nötigen Query über die Suchmaschine seines Vertrauens abzusetzen (die Erfolgsquote der Suchergebnisse liegt mittlerweile konstant über 80%, je nach Suchmaschine und Such-Query)

Haben sich die Zeiten so
geändert ?? Denkt mal drüber nach was ihr für besser
haltet

EINDEUTIG: SELBST AKTIV ZU WERDEN, SPEZIELL DANN, WENN MAN EIN GUTER ADMIN WERDEN WILL...

PS: mach dir mal keine Gedanken +ber meine Bildung.. das hab ich ganz
gut im griff nur manchmal bietet einem das Berufsleben nicht den
nötigen Spielraum alles auf 100 seiten nachzulesen.. dafür
hab ich einfach nen zuweit gefächerten Aufgabenbereich...

LOL, Du bist ein Scherzkeks...
Was glaubst Du, wie breitgefächert mein Wissensgebiet/Aufgabengebiet ist?
Was glaubst Du, wie groß das Deiner/unserer Kollegen hier ist?

Hör auf mit der Mitleidstour :-p
LDAP ist genauso wie AD ein zu komplexes Thema, als einfach mal so aus dem Ärmel geschüttelt zu werden.
(bzw. LDAP ist, wenn man es richtig macht, nichts anderes als eine "Brücke" zum AD; schwer zu erklären...)


So long


Lonesome Walker
Zitruslimmonade
Zitruslimmonade 13.12.2008 um 23:00:39 Uhr
Goto Top
ich hab nie an deiner qualification gezweifelt. Nur mal so am Rande, Auch ich mache meinen Beruf schon ein paar Jährchen, habe eine normale Ausbildung als Programmierer und später zusatzqualifikationen zum Systemadministrator durchlaufen. Seitdem ich fertig bin habe ich in verschiedenen Projekten gearbeitet.
Ich hab bisher schon mit vielen Leuten zusammen gearbeitet, ne menge cooler Admins die alle Meister auf Ihren Gbieten waren. Glaub mir, sollte ich jemals eine Schulung in irgendeinem Bereich benötigen, ken ich jemanden der Sie mir für weniger als 7500€ gibt. Denn wenn man jemandem hilft, kann man damit rechnen das man auch hilfe bekommt wnn mans brauch.. Ich habs bisher ganz gut geschafft "0163xxx !!! ruf an bei computerproblemen" von administratoren zu unterscheiden. Ich versteh deinen Punkt allerdings nicht so ganz deine aggressive Haltung.
Wer weiss warum das so ist.. Allerdings muss ich es nicht gut finden und vielleicht kannst ja mal schaun ob es so richtig ist wie du deine Kollegen runter putzt. Eventuell bist mal in ner umgekehrten situation und dann willst auch nich so behandelt werden.
Und zum Thema Aufgabenbereih... da gibt es feine Unterschede zwischen wissensbereich und Aufgabenbereich... und dann ists auch noch etwas anderes wenn man etwas machen mag aus Hilfsbereitschaft oder weil man gern etwas gutes tun möchte.

Danke für deinen Post bezüglich des LDAP, solltest du es nicht wollen mir weiter zu helfen, lass es doch einfach... ist ja keine Schande wenn du die Einstellung hast...

gruss
Chris